PowerScale: OneFS: Come creare account SPN per consentire l'autenticazione Kerberos utilizzando voci DNS SmartConnect
Summary: Articolo su come creare account SPN per consentire l'autenticazione Kerberos utilizzando le voci DNS SmartConnect.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Introduzione
Per connettersi a un cluster in base al nome senza fornire un nome utente e una password in un ambiente basato su Active Directory, è necessario utilizzare l'autenticazione Kerberos.
Quando si accede a un cluster utilizzando l'autenticazione Kerberos, il client stabilisce un ticket Kerberos con il cluster. Si basa sul nome DNS utilizzato dal client per la connessione. Per impostazione predefinita, il cluster registra solo il nome del cluster per i ticket Kerberos validi. Ciò potrebbe causare il rifiuto del ticket Kerberos quando si utilizzano voci DNS basate su SmartConnect per la connessione. Potrebbe inoltre forzare l'utente a immettere nuovamente il nome utente e la password per accedere al cluster.
Procedura
Per supportare più ticket Kerberos, è necessario registrare account SPN (nome dell'entità servizio) aggiuntivi per il computer cluster nel dominio Active Directory. A tale scopo, utilizzare il comando isi auth . Questa operazione non viene eseguita automaticamente in quanto richiede un account amministratore sul dominio Active Directory.
Per ogni nome DNS, è necessario creare due voci SPN.
Per registrare gli account SPN:
- Eseguire il seguente comando dalla riga di comando per elencare le zone SmartConnect configurate nel cluster:
isi networks list pools - Eseguire il comando seguente per elencare i nomi SPN registrati, sostituendo <il dominio> DNS con il nome di dominio completo del dominio DNS:
isi auth ads spn list --domain=<DNS domain> - Confrontare l'elenco delle zone SmartConnect con l'elenco dei nomi SPN per determinare quali account SPN devono essere registrati.
Ad esempio, se si dispone di una zona SmartConnect denominata dnsnl.domain.local, controllare l'elenco SPN per verificare se sono presenti voci per tale nome DNS. Devono essere presenti due voci per ogni account SPN registrato nel dominio Active Directory
- Se le voci dell'account SPN richieste non esistono, eseguire i seguenti comandi per aggiungerle; dove <Administrator> è un account utente che dispone di diritti amministrativi per il dominio, <cluster.domain.local> è il nome DNS utilizzato per connettersi al cluster e <il nome> di dominio è il server dei nomi di dominio completo:
isi auth ads spn create --user=<Administrator> --spn=cifs/<cluster.domain.local> --domain=<domain name> isi auth ads spn create --user=<Administrator> --spn=host/<cluster.domain.local> --domain=<domain name>IMPORTANTE!
Quando si aggiungono gli SPN, è necessario specificare un nome utente amministratore AD. In caso contrario, verrà visualizzato il seguente errore:LdapError: Impossibile modificare l'attributo[19]
Dopo aver eseguito il comando, verrà richiesto di inserire la password dell'amministratore.
- Eseguire il comando seguente per verificare che gli account SPN creati siano ora elencati:
isi auth ads spn list --domain=<DNS domain>
Additional Information
Informazioni aggiuntive
È inoltre possibile rimuovere gli account SPN esistenti utilizzando il comando isi auth .
Per rimuovere gli account SPN, eseguire i seguenti comandi, sostituendo Administrator> con un account utente che dispone dei diritti di amministratore per il dominio e sostituendo<<cluster.domain.local> con il nome DNS con il nome che si desidera rimuovere:
isi auth ads spn delete --user=<Administrator> --spn=cifs/<cluster.domain.local>
isi auth ads spn delete --user=<Administrator> --spn=host/<cluster.domain.local>
Affected Products
IsilonProducts
Isilon, PowerScale OneFSArticle Properties
Article Number: 000022042
Article Type: How To
Last Modified: 28 Nov 2025
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.