PowerScale: OneFS: Sådan oprettes SPN-konti for at tillade Kerberos-godkendelse ved hjælp af SmartConnect DNS-poster

Summary: Artikel om, hvordan du opretter SPN-konti for at tillade Kerberos-godkendelse ved hjælp af SmartConnect DNS-poster.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Indledning

Hvis du vil oprette forbindelse til en klynge efter navn uden at angive et brugernavn og en adgangskode i et Active Directory-baseret miljø, skal Kerberos-godkendelse bruges. 

Når du åbner en klynge med Kerberos-godkendelse, opretter klienten en Kerberos-billet med klyngen. Dette er baseret på det DNS-navn, som klienten bruger til at oprette forbindelse. Som standard registrerer klyngen kun klyngens navn for gyldige Kerberos-billetter. Dette kan medføre, at Kerberos-billetten afvises, når du bruger SmartConnect-baserede DNS-poster til at oprette forbindelse. Det kan også tvinge brugeren til at indtaste brugernavn og adgangskode igen for at få adgang til klyngen.




 

Procedure

Hvis du vil understøtte flere Kerberos-billetter, skal du registrere yderligere SPN-konti (tjenestens hovednavn) for klyngecomputeren på Active Directory-domænet. Du kan gøre dette ved hjælp af kommandoen isi auth . Denne handling udføres ikke automatisk, da det kræver en administratorkonto på Active Directory-domænet.

For hvert DNS-navn skal der oprettes to SPN-poster.

Sådan registreres SPN-konti:

  1. Kør følgende kommando fra kommandolinjen for at få vist en liste over SmartConnect-zoner, der er konfigureret på klyngen: 
    isi networks list pools
  2. Kør følgende kommando for at få vist de SPN-navne, der er registreret, og erstat <DNS-domænet> med det fulde domænenavn på DNS-domænet: 
    isi auth ads spn list --domain=<DNS domain>
  3. Sammenlign listen over SmartConnect-zoner med listen over SPN-navne for at bestemme, hvilke SPN-konti der skal registreres.
     

    Hvis du f.eks. har en SmartConnect-zone med navnet dnsnl.domain.local, skal du kontrollere SPN-listen for at se, om der er poster for det pågældende DNS-navn. Der skal være to poster for hver SPN-konto, der er registreret i Active Directory-domænet

  4. Hvis de påkrævede SPN-kontoposter ikke findes, skal du køre følgende kommandoer for at tilføje dem. Hvor< Administrator> er en brugerkonto, der har administratorrettigheder til domænet, er cluster.domain.local> det DNS-navn, der bruges til at oprette forbindelse til klyngen,< og <domænenavnet> er den fuldt kvalificerede DNS-server: 
    isi auth ads spn create --user=<Administrator> --spn=cifs/<cluster.domain.local> --domain=<domain name>
isi auth ads spn create --user=<Administrator> --spn=host/<cluster.domain.local> --domain=<domain name>

     

    VIGTIG!
    Du skal angive et AD-administratorbrugernavn, når du tilføjer SPN'erne. Hvis du ikke gør det, vil du modtage følgende fejl:

    Ldap-fejl: Attributten kunne ikke ændres[19]

    Når du har kørt kommandoen, bliver du bedt om at indtaste administratoradgangskoden.

  5. Kør følgende kommando for at bekræfte, at de SPN-konti, du har oprettet, nu vises: 
    isi auth ads spn list --domain=<DNS domain>

Additional Information

Yderligere oplysninger

Du kan også fjerne eksisterende SPN-konti ved hjælp af kommandoen isi auth .

Hvis du vil fjerne SPN-konti, skal du køre følgende kommandoer, erstatte <Administrator> med en brugerkonto, der har administratorrettigheder til domænet, og erstatte <cluster.domain.local> med DNS-navnet med det navn, du vil fjerne:

isi auth ads spn delete --user=<Administrator> --spn=cifs/<cluster.domain.local>
isi auth ads spn delete --user=<Administrator> --spn=host/<cluster.domain.local>

 

Affected Products

Isilon

Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000022042
Article Type: How To
Last Modified: 28 Nov 2025
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.