PowerScale: OneFS: Erstellen von SPN-Konten, um die Kerberos-Authentifizierung mithilfe von SmartConnect-DNS-Einträgen zuzulassen

Verfahren

Zur Unterstützung mehrerer Kerberos-Tickets müssen Sie zusätzliche SPN-Konten (Service Principal Name) für den Clustercomputer in der Active Directory-Domain registrieren. Dazu können Sie den Befehl isi auth verwenden. Dieser Vorgang wird nicht automatisch durchgeführt, da ein Administratorkonto in der Active Directory Domain erforderlich ist.

Für jeden DNS-Namen müssen zwei SPN-Einträge erstellt werden.

So registrieren Sie SPN-Konten:

1. Führen Sie den folgenden Befehl in der Befehlszeile aus, um die SmartConnect-Zonen aufzulisten, die auf dem Cluster konfiguriert sind:

   isi networks list pools

2. Führen Sie den folgenden Befehl aus, um die registrierten SPN-Namen aufzulisten, und ersetzen Sie <DNS-Domain> durch den vollständig qualifizierten Domainnamen der DNS-Domain:

   isi auth ads spn list --domain=<DNS domain>

3. Vergleichen Sie die Liste der SmartConnect-Zonen mit der Liste der SPN-Namen, um festzustellen, welche SPN-Konten registriert werden müssen.
    

   Wenn Sie beispielsweise eine SmartConnect-Zone mit dem Namen dnsnl.domain.local haben, überprüfen Sie die SPN-Liste, um festzustellen, ob Einträge für diesen DNS-Namen vorhanden sind. Es sollten zwei Einträge für jedes in der Active Directory-Domäne registrierte SPN-Konto vorhanden sein

4. Wenn die erforderlichen SPN-Kontoeinträge nicht vorhanden sind, führen Sie die folgenden Befehle aus, um sie hinzuzufügen, wobei <Administrator> ein Nutzerkonto mit Administratorrechten für die Domain, cluster.domain.local> der DNS-Name ist, der für die Verbindung mit dem Cluster verwendet wird,< und <domain name der vollständig qualifizierte Domain Name Server>:

   isi auth ads spn create --user=<Administrator> --spn=cifs/<cluster.domain.local> --domain=<domain name>
   isi auth ads spn create --user=<Administrator> --spn=host/<cluster.domain.local> --domain=<domain name>

    

   WICHTIG!
   Sie müssen beim Hinzufügen der SPNs einen AD-Administratornutzernamen angeben. Wenn Sie dies nicht tun, erhalten Sie die folgende Fehlermeldung:

   LdapError: Attribut [19] konnte nicht geändert werden

   Nachdem Sie den Befehl ausgeführt haben, werden Sie aufgefordert, das Administratorkennwort einzugeben.
   
   

5. Führen Sie den folgenden Befehl aus, um zu bestätigen, dass die von Ihnen erstellten SPN-Konten jetzt aufgelistet werden:

   isi auth ads spn list --domain=<DNS domain>

Weitere Informationen

Sie können vorhandene SPN-Konten auch mit dem Befehl isi auth entfernen.

Um SPN-Konten zu entfernen, führen Sie die folgenden Befehle aus, ersetzen Sie administrator> durch ein Nutzerkonto,< das über Administratorrechte für die Domain verfügt, und <ersetzen Sie cluster.domain.local> durch den DNS-Namen mit dem Namen, den Sie entfernen möchten:

isi auth ads spn delete --user=<Administrator> --spn=cifs/<cluster.domain.local>
isi auth ads spn delete --user=<Administrator> --spn=host/<cluster.domain.local>