PowerScale: OneFS: Kerberos-todennuksen salliminen palvelun päänimitilien luomiseksi SmartConnectin DNS-merkintöjen avulla
Summary: Artikkeli palvelun päänimitilien luomisesta Kerberos-todennuksen sallimiseksi SmartConnect DNS -merkintöjen avulla.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Johdanto
Jos haluat muodostaa yhteyden klusteriin nimen perusteella antamatta käyttäjätunnusta ja salasanaa Active Directory -pohjaisessa ympäristössä, on käytettävä Kerberos-todennusta.
Kun klusteria käytetään Kerberos-todennuksella, asiakas muodostaa klusterin mukana Kerberos-lipun. Tämä perustuu DNS-nimeen, jota asiakas käyttää yhteyden muodostamiseen. Oletuksena klusteri rekisteröi klusterin nimen vain kelvollisille Kerberos-lipuille. Tämä saattaa aiheuttaa sen, että Kerberos-lippu hylätään, kun yhteyden muodostamiseen käytetään SmartConnect-pohjaisia DNS-merkintöjä. Se voi myös pakottaa käyttäjän kirjoittamaan käyttäjänimensä ja salasanansa uudelleen, jotta hän voi käyttää klusteria.
Toimenpide
Jos haluat tukea useita Kerberos-lippuja, sinun on rekisteröitävä klusteritietokoneelle lisää SPN-tilejä (palvelun päänimi) Active Directory -domainissa. Voit tehdä tämän käyttämällä isi auth -komentoa. Tätä toimintoa ei suoriteta automaattisesti, koska se vaatii ylläpitäjän tilin Active Directory -domainissa.
Kullekin DNS-nimelle on luotava kaksi palvelun päänimen nimimerkintää.
SPN-tilien rekisteröiminen:
- Näytä klusterissa määritettyjen SmartConnect-vyöhykkeiden luettelo suorittamalla seuraava komento komentorivillä:
isi networks list pools - Näytä rekisteröityjen palvelun päänimien luettelo suorittamalla seuraava komento korvaamalla <DNS-toimialue> DNS-toimialueen täydellisellä toimialuenimellä:
isi auth ads spn list --domain=<DNS domain> - Vertaa SmartConnect-vyöhykkeiden luetteloa palvelun päänimien luetteloon ja selvitä, mitkä palvelun päänimet on rekisteröitävä.
Jos sinulla on esimerkiksi SmartConnect-vyöhyke nimeltä dnsnl.domain.local, tarkista palvelun päänimen luettelosta, onko kyseiselle DNS-nimelle merkintöjä. Kutakin Active Directory -toimialueelle rekisteröityä palvelun päänimeä kohden tulee olla kaksi merkintää
- Jos vaadittuja palvelun päänimen tilimerkintöjä ei ole, lisää ne seuraavilla komennoilla, joissa <järjestelmänvalvoja> on käyttäjätili, jolla on järjestelmänvalvojan oikeudet toimialueeseen, cluster.domain.local> on DNS-nimi, jolla muodostetaan yhteys klusteriin,< ja <toimialuenimi> on täydellinen toimialuenimipalvelin:
isi auth ads spn create --user=<Administrator> --spn=cifs/<cluster.domain.local> --domain=<domain name> isi auth ads spn create --user=<Administrator> --spn=host/<cluster.domain.local> --domain=<domain name>TÄRKEÄ!
Sinun on määritettävä AD-järjestelmänvalvojan käyttäjänimi, kun lisäät palvelun päänimiä. Jos et tee niin, näyttöön tulee seuraava virheilmoitus:LDAP-virhe: Määritteen muokkaus epäonnistui[19]
Kun olet suorittanut komennon, sinua pyydetään antamaan järjestelmänvalvojan salasana.
- Varmista seuraavalla komennolla, että luomasi palvelun päänimen tilit näkyvät nyt luettelossa:
isi auth ads spn list --domain=<DNS domain>
Additional Information
Lisätietoja
Voit poistaa olemassa olevia SPN-tilejä myös isi-todennuskomennolla .
Voit poistaa palvelun päänimen tilit suorittamalla seuraavat komennot korvaamalla <Administrator-vaihtoehdon> käyttäjätilillä, jolla on toimialueen järjestelmänvalvojan oikeudet, ja korvaamalla <cluster.domain.local> DNS-nimellä nimellä, jonka nimen haluat poistaa:
isi auth ads spn delete --user=<Administrator> --spn=cifs/<cluster.domain.local>
isi auth ads spn delete --user=<Administrator> --spn=host/<cluster.domain.local>
Affected Products
IsilonProducts
Isilon, PowerScale OneFSArticle Properties
Article Number: 000022042
Article Type: How To
Last Modified: 28 Nov 2025
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.