PowerScale: OneFS: SmartConnect DNS 항목을 사용하여 Kerberos 인증을 허용하는 SPN 계정을 생성하는 방법

절차

여러 Kerberos 티켓을 지원하려면 Active Directory 도메인의 클러스터 컴퓨터에 대한 추가 SPN(서비스 사용자 이름) 계정을 등록해야 합니다. isi auth 명령을 사용하여 이 작업을 수행할 수 있습니다. 이 작업은 Active Directory 도메인에서 관리자 계정이 필요하므로 자동으로 수행되지 않습니다.

각 DNS 이름에 대해 두 개의 SPN 항목을 만들어야 합니다.

SPN 계정을 등록하려면 다음을 수행합니다.

1. 명령줄에서 다음 명령을 실행하여 클러스터에 구성된 SmartConnect 영역을 나열합니다.

   isi networks list pools

2. 다음 명령을 실행하여 등록된 SPN 이름을 나열하고 DNS 도메인>을 DNS 도메인의 정규화된 도메인 이름으로 바꿉<니다.

   isi auth ads spn list --domain=<DNS domain>

3. SmartConnect 영역 목록을 SPN 이름 목록과 비교하여 등록해야 하는 SPN 계정을 결정합니다.
    

   예를 들어 dnsnl.domain.local이라는 SmartConnect 영역이 있는 경우 SPN 목록을 확인하여 해당 DNS 이름에 대한 항목이 있는지 확인합니다. Active Directory 도메인에 등록된 각 SPN 계정에 대해 두 개의 항목이 있어야 합니다

4. 필요한 SPN 계정 항목이 없는 경우 다음 명령을 실행하여 추가합니다. 여기서 <Administrator>는 도메인에 대한 관리 권한이 있는 사용자 계정이고, cluster.domain.local>은 클러스터에 연결하는 데 사용되는 DNS 이름이고,<<domain name>은 정규화된 도메인 이름 서버입니다.

   isi auth ads spn create --user=<Administrator> --spn=cifs/<cluster.domain.local> --domain=<domain name>
   isi auth ads spn create --user=<Administrator> --spn=host/<cluster.domain.local> --domain=<domain name>

    

   중요하다!
   SPN을 추가할 때 AD 관리자 사용자 이름을 지정해야 합니다. 이렇게 하지 않으면 다음과 같은 오류가 발생합니다.

   LdapError 크랙: 특성 수정 실패[19]

   명령을 실행한 후 관리자 암호를 입력하라는 메시지가 표시됩니다.
   
   

5. 다음 명령을 실행하여 만든 SPN 계정이 이제 나열되는지 확인합니다.

   isi auth ads spn list --domain=<DNS domain>

추가 정보

isi auth 명령을 사용하여 기존 SPN 계정을 제거할 수도 있습니다.

SPN 계정을 제거하려면 다음 명령을 실행하여 Administrator>를 도메인에 대한 관리 권한이 있는 사용자 계정으로 바꾸<고 cluster.domain.local>을 제거하려는 DNS 이름으로 바꿉<니다.

isi auth ads spn delete --user=<Administrator> --spn=cifs/<cluster.domain.local>
isi auth ads spn delete --user=<Administrator> --spn=host/<cluster.domain.local>