PowerScale: OneFS: Cómo crear cuentas SPN para permitir la autenticación Kerberos mediante entradas de DNS de SmartConnect

Procedimiento

Para admitir varios vales de Kerberos, debe registrar cuentas adicionales de SPN (nombre principal de servicio) para la computadora del clúster en el dominio de Active Directory. Puede hacer esto mediante el comando isi auth . Esta operación no se realiza automáticamente, ya que requiere una cuenta de administrador en el dominio de Active Directory.

Para cada nombre DNS, se deben crear dos entradas del SPN.

Para registrar cuentas SPN:

1. Ejecute el siguiente comando desde la línea de comandos para enumerar las zonas de SmartConnect que están configuradas en el clúster:

   isi networks list pools

2. Ejecute el siguiente comando para enumerar los nombres del SPN que están registrados, reemplazando <el dominio> DNS por el nombre de dominio calificado del dominio DNS:

   isi auth ads spn list --domain=<DNS domain>

3. Compare la lista de zonas de SmartConnect con la lista de nombres de SPN para determinar qué cuentas de SPN se deben registrar.
    

   Por ejemplo, si tiene una zona de SmartConnect denominada dnsnl.domain.local, compruebe la lista de SPN para ver si hay entradas para ese nombre DNS. Debe haber dos entradas para cada cuenta del SPN registrada en el dominio de Active Directory

4. Si no existen las entradas necesarias de la cuenta SPN, ejecute los siguientes comandos para agregarlas, donde <Administrador> es una cuenta de usuario que tiene derechos administrativos en el dominio, <cluster.domain.local> es el nombre DNS utilizado para conectarse al clúster y <nombre de dominio> es el servidor de nombres de dominio calificado:

   isi auth ads spn create --user=<Administrator> --spn=cifs/<cluster.domain.local> --domain=<domain name>
   isi auth ads spn create --user=<Administrator> --spn=host/<cluster.domain.local> --domain=<domain name>

    

   ¡IMPORTANTE!
   Debe especificar un nombre de usuario de administrador de AD al agregar los SPN. Si no lo hace, recibirá el siguiente error:

   Error de LDAP: No se pudo modificar el atributo[19]

   Después de ejecutar el comando, se le solicitará que ingrese la contraseña de administrador.
   
   

5. Ejecute el siguiente comando para confirmar que las cuentas del SPN que creó ahora aparecerán en la lista:

   isi auth ads spn list --domain=<DNS domain>

Información adicional

También puede eliminar las cuentas del SPN existentes mediante el comando isi auth .

Para quitar cuentas de SPN, ejecute los siguientes comandos: reemplace <Administrator> por una cuenta de usuario que tenga derechos administrativos en el dominio y reemplace <cluster.domain.local> por el nombre DNS con el nombre que desea quitar:

isi auth ads spn delete --user=<Administrator> --spn=cifs/<cluster.domain.local>
isi auth ads spn delete --user=<Administrator> --spn=host/<cluster.domain.local>