PowerScale: OneFS: Jak vytvořit účty SPN pro povolení ověřování Kerberos pomocí položek DNS SmartConnect

Summary: Článek o vytváření účtů SPN, které umožňují ověřování Kerberos pomocí položek DNS SmartConnect.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Úvod

Chcete-li se připojit ke clusteru podle názvu bez zadání uživatelského jména a hesla v prostředí založeném na službě Active Directory, je nutné použít ověřování Kerberos. 

Při přístupu ke clusteru pomocí ověřování Kerberos vytvoří klient s clusterem lístek protokolu Kerberos. To je založeno na názvu DNS, který klient používá pro připojení. Ve výchozím nastavení cluster registruje pouze název clusteru pro platné lístky protokolu Kerberos. To může způsobit odmítnutí lístku Kerberos při použití položek DNS založených na SmartConnect k připojení. Může také přinutit uživatele, aby znovu zadal své uživatelské jméno a heslo pro přístup ke clusteru.




 

Postup

Pokud chcete podporovat více lístků protokolu Kerberos, je nutné zaregistrovat další účty SPN (hlavní název služby) pro počítač clusteru v doméně služby Active Directory. To lze provést pomocí příkazu isi auth . Tato operace se neprovádí automaticky, protože vyžaduje účet správce v doméně Active Directory.

Pro každý název DNS je nutné vytvořit dvě položky hlavního názvu služby (SPN).

Registrace účtů SPN:

  1. Spuštěním následujícího příkazu z příkazového řádku zobrazte seznam zón SmartConnect nakonfigurovaných v clusteru: 
    isi networks list pools
  2. Spuštěním následujícího příkazu zobrazte seznam registrovaných názvů SPN a nahraďte <doménu> DNS plně kvalifikovaným názvem domény DNS: 
    isi auth ads spn list --domain=<DNS domain>
  3. Porovnejte seznam zón SmartConnect se seznamem názvů SPN a určete, které účty SPN je nutné zaregistrovat.
     

    Pokud máte například zónu SmartConnect s názvem dnsnl.domain.local, zkontrolujte seznam hlavního názvu služby (SPN) a zjistěte, zda existují položky pro tento název DNS. Pro každý účet hlavního názvu služby (SPN) zaregistrovaný v doméně Active Directory by měly existovat dvě položky

  4. Pokud požadované položky účtu SPN neexistují, přidejte je pomocí následujících příkazů. Kde< správce> je uživatelský účet s oprávněními správce domény, <cluster.domain.local> je název DNS používaný pro připojení ke clusteru a <název> domény je plně kvalifikovaný server názvů domén: 
    isi auth ads spn create --user=<Administrator> --spn=cifs/<cluster.domain.local> --domain=<domain name>
isi auth ads spn create --user=<Administrator> --spn=host/<cluster.domain.local> --domain=<domain name>

     

    DŮLEŽITÝ!
    Při přidávání hlavních názvů služby (SPN) je nutné zadat uživatelské jméno správce služby AD. Pokud tak neučiníte, zobrazí se následující chyba:

    Chyba Ldap: Nezdařila se změna atributu[19]

    Po spuštění příkazu budete vyzváni k zadání hesla správce.

  5. Spuštěním následujícího příkazu potvrďte, že účty SPN, které jste vytvořili, jsou nyní uvedené: 
    isi auth ads spn list --domain=<DNS domain>

Additional Information

Doplňkové informace

Existující účty SPN můžete také odebrat pomocí příkazu isi auth .

Chcete-li odebrat účty hlavního názvu služby (SPN), spusťte následující příkazy: nahraďte správce> uživatelským účtem, který má oprávnění správce k doméně, a nahraďte<<cluster.domain.local> názvem DNS s názvem, který chcete odebrat:

isi auth ads spn delete --user=<Administrator> --spn=cifs/<cluster.domain.local>
isi auth ads spn delete --user=<Administrator> --spn=host/<cluster.domain.local>

 

Affected Products

Isilon

Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000022042
Article Type: How To
Last Modified: 28 Nov 2025
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.