Isilon. Использование команды PowerScale OneFS «isi_auth_expert» для управления проблемами аутентификации
Summary: В этой статье объясняется, как использовать команду Isilon OneFS isi_auth_expert для управления аутентификацией.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Не требуется
Cause
Не требуется
Resolution
Введение
Администраторы могут запускатьisi_auth_expert для проверки среды аутентификации кластера PowerScale OneFS. Это поможет убедиться, что он правильно настроен, и определить условия, которые могут вызвать задержку доступа к данным в результате проблем аутентификации.
Teh
isi_auth_expert Команда выполняет ряд тестов, включая возможность подключения к сети и портам, а также задержку, привязку и смещение часов. Эти результаты можно использовать для выявления проблемной конфигурации или сетевого пути, вызывающего проблемы с доступом к данным.
Отдельные пользователи могут запустить этот инструмент:
- Когда существующие или новые пользователи сталкиваются с задержкой при подключении к сетевой папке или когда им предлагается ввести учетные данные при доступе к данным.
- Когда кластер сообщает о событиях, связанных с автономным режимом Active Directory или LDAP (Lightweight Directory Access Protocol)
- После изменения настроек поставщика проверки подлинности
- После того, как изменения конфигурации повлияли на сетевые пути между кластером и его поставщиками проверки подлинности
Примечание.: В файл добавлены новые проверки и параметры
isi_auth_expert в OneFS 7.2.1.5. Дополнительные сведения см. в разделе Дополнительные проверки и параметры в OneFS 7.2.1.5 и более поздних версиях этой статьи.
Инструкции
Чтобы запустить команду isi_auth_expert выполните следующие действия:
isi_auth_expertОтдельные пользователи также могут выполнить команду с одним или несколькими из параметров, перечисленных в таблице ниже:
| Параметр | Пояснение |
-h, --help |
Показать синтаксис этой команды |
-h, --debug |
Отображение сообщений отладки |
-v, --verbose |
Включить подробный (более надежный) вывод |
--no-color |
Отключение цветного вывода |
wcvirt1-1# isi_auth_expert Checking authentication process health ... done Checking LDAP provider 'ldaptest' server connectivity ... done Checking LDAP provider 'ldaptest' base dn ... done Checking LDAP provider 'ldaptest' object enumeration support ... done Checking LDAP provider 'ldaptest' group base dn ... done Checking LDAP provider 'ldaptest' user base dn ... done [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider 'ldaptest' was not found on LDAP server ldaptest.west.isilon.com. Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1 .wmc-ada.west.isilon.com on port 3268.
Реализованные тесты
При запуске isi_auth_expert выполняются следующие проверки:
Проверки процессов
Этот тест подтверждает, что процессы, связанные с аутентификацией (lsass, lwio и netlogon), запущены. Если какой-либо из процессов не запущен, возвращается сообщение об ошибке.
Active Directory
В следующем разделе описываются тесты, которые isi_auth_expert выполняется для каждого поставщика Active Directory (AD).
-
Проверка возможности
подключения контроллера домена Определите, имеет ли кластер базовое сетевое подключение хотя бы к одному контроллеру домена (DC) в домене AD.
Проверьте порты
постоянного токаУбедитесь, что для каждого контроллера домена кластер может подключаться к портам, связанным с AD, и что порты принимают подключения.
| Порт | Пояснение | Использование AD | Тип трафика |
|---|---|---|---|
| 88 | Порт 88 используется для трафика аутентификации Kerberos. | Аутентификация пользователей и компьютеров, тресты на уровне леса | Kerberos |
| 139 | Порт 139 используется для трафика NetBIOS и NetLogon. | Аутентификация пользователей и компьютеров, репликация | DFSN, NetBIOS Session Service, NetLogon |
| 389 | Порт 389 используется для запросов LDAP. | Каталоги, репликация, аутентификация пользователей и компьютеров, групповая политика, доверие | LDAP |
| 445 | Для репликации используется порт 445. | Репликация, аутентификация пользователей и компьютеров, групповая политика, доверие. | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
| 3268 | Порт 3268 используется для запросов к глобальному каталогу к протоколу LDAP. (используется, если в поставщике AD включен глобальный каталог) | Каталоги, репликация, аутентификация пользователей и компьютеров, групповая политика, доверие | LDAP GC |
LDAP
В следующем разделе описываются тесты, которые isi_auth_expert выполняется для каждого поставщика LDAP.
Возможности подключения по протоколу LDAP
- Проверьте возможность подключения к серверу LDAP, создав анонимную привязку LDAP и проверив результаты.
Поддержка перечисленных объектов LDAP
- Убедитесь, что каждый сервер LDAP поддерживает перечисленные объекты, проверив поддерживаемые элементами управления серверов LDAP. Для OneFS требуются либо выгружаемые элементы управления результатами, либо виртуальное представление списка и элементы управления сортировкой на стороне сервера.
Проверить настроенное base-dn
- Выполните тестовый запрос к настроенному base-dn, чтобы убедиться в совместимости конфигурации с сервером LDAP.
Проверить настроенное имя с базы данных пользователя
- Выполните тестовый запрос к настроенному user-base-dn, чтобы убедиться в совместимости конфигурации с сервером LDAP.
Проверить настроенное базовое-доменное имя группы
- Выполните тестовый запрос к настроенному group-base-dn, чтобы убедиться в совместимости конфигурации с сервером LDAP.
Другие проверки и параметры в OneFS 7.2.1.5 и более поздних версиях
Следующие проверки были добавлены в OneFS 7.2.1.5.
-
Active Directory
- Проверка задержки контроллера домена
- Проверка расхождения часов и задержки
- Проверка службы глобального каталога для пользователей (SFU)
- LDAP — проверка пользователя
- Kerberos — имя субъекта-службы (SPN) проверяет зоны и псевдонимы SmartConnect
isi_auth_expert Команда может вычислять два типа задержек: Задержка проверки связи и задержки LDAP для всех контроллеров домена. Если разность часов составляет менее пяти минут, команда возвращает: «Разница между поставщиком AD и вашим компьютером минимальна или отсутствует».
Также были добавлены следующие параметры.
| Параметр | Пояснение |
|---|---|
--ldap-user |
Проверяет поставщик LDAP для указанного пользователя |
--sfu-user |
Проверяет наличие определенного пользователя в глобальном каталоге Active Directory |
--admin-creds |
Введите учетные данные, необходимые при проверке глобального каталога Active Directory. |
Проверка атрибутов пользователя LDAP
Чтобы выполнить проверку атрибутов пользователя LDAP, необходимо выполнить команду isi_auth_expert с помощью команды --ldap-user=<user> где <user> — это пользователь, которого вы хотите проверить. Для работы поиска имя пользователя должно иметь форму "plain name". При проверке атрибутов пользователя LDAP устанавливается соединение с сервером LDAP и запрашивается у него сведения об указанном пользователе. Затем мы можем проверить результаты запроса, чтобы убедиться, что у пользователя есть все необходимые атрибуты, необходимые для аутентификации в любом домене.
Проверка SFU глобального каталога Active Directory
Сервер глобального каталога — это контроллер домена, содержащий информацию о домене, с которым он связан, и обо всех других доменах в лесу. Как и сервер LDAP, глобальный каталог содержит список данных, связанных с доменом, которым он управляет, в дополнение к частичной копии данных, получаемых от других контроллеров домена. Если в нем нет всех данных, совместно используемых контроллерами домена, могут возникнуть проблемы с проверкой подлинности.
Чтобы выполнить проверку SFU глобального каталога Active Directory, необходимо выполнить команду
isi_auth_expert с помощью команды --sfu-user=<user> и --admin-creds="[('<Domain>', '<User>', '<password>')]" параметры, где <user> — это пользователь SFU, которого вы хотите проверить, а "[('<Domain>', '<User>', '<password>')]" - это учетные данные isi_auth_expert команда должна обеспечивать выполнение поиска по глобальному каталогу в контроллере домена. При проверке глобального каталога действует следующее ограничение: Необходимо указать учетные данные администратора.
Проверка имени субъекта сервера (SPN)
Имена SPN могут привести к сбоям проверки подлинности, если они отсутствуют при присоединении к поставщику Kerberos или при изменении имени зоны SmartConnect. В строке isi_auth_expert определяет, являются ли SPN отсутствующими, устаревшими или неправильными. Эта функция запускается автоматически каждый раз, когда isi_auth_expert Выполняется команда.
Эта функция используется для проверки отсутствия имен SPN как в поставщиках Kerberos, так и в зонах SmartConnect. Команда собирает данные обо всех SPN, связанных с поставщиками и зонами SmartConnect, и проверяет наличие необходимых SPN.
Если вы используете псевдонимы SmartConnect, он также проверяет соответствие с этими псевдонимами. Вы можете использовать метод
isi auth ads spn или isi auth krb5 spn команды для перечисления, проверки или исправления отсутствующих имен SPN.Affected Products
Isilon, PowerScale OneFSArticle Properties
Article Number: 000126268
Article Type: Solution
Last Modified: 29 Apr 2024
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.