PowerScale: OneFS: SPN-accounts maken om Kerberos-authenticatie toe te staan met behulp van SmartConnect DNS-vermeldingen

Procedure

Als u meerdere Kerberos-tickets wilt ondersteunen, moet u extra SPN-accounts (naam service-principal) registreren voor de clustercomputer op het Active Directory-domein. U kunt dit doen met behulp van de opdracht isi auth . Deze bewerking wordt niet automatisch uitgevoerd omdat hiervoor een beheerdersaccount op het Active Directory Domain is vereist.

Voor elke DNS-naam moeten twee SPN-vermeldingen worden gemaakt.

SPN-accounts registreren:

1. Voer de volgende opdracht uit vanaf de opdrachtregel om de SmartConnect-zones weer te geven die op het cluster zijn geconfigureerd:

   isi networks list pools

2. Voer de volgende opdracht uit om de geregistreerde SPN-namen weer te geven, waarbij het DNS-domein> wordt vervangen< door de volledig gekwalificeerde domeinnaam van het DNS-domein:

   isi auth ads spn list --domain=<DNS domain>

3. Vergelijk de lijst met SmartConnect-zones met de lijst met SPN-namen om te bepalen welke SPN-accounts moeten worden geregistreerd.
    

   Als u bijvoorbeeld een SmartConnect-zone hebt met de naam dnsnl.domain.local, controleert u de SPN-lijst om te zien of er vermeldingen voor die DNS-naam zijn. Er moeten twee vermeldingen zijn voor elk SPN-account dat is geregistreerd in het Active Directory-domein

4. Als de vereiste SPN-accountvermeldingen niet bestaan, voert u de volgende opdrachten uit om ze toe te voegen. <Waarbij Administrator> een gebruikersaccount is met beheerdersrechten voor het domein, <cluster.domein.local> de DNS-naam is die wordt gebruikt om verbinding te maken met het cluster en <de domeinnaam> de volledig gekwalificeerde domeinnaamserver is:

   isi auth ads spn create --user=<Administrator> --spn=cifs/<cluster.domain.local> --domain=<domain name>
   isi auth ads spn create --user=<Administrator> --spn=host/<cluster.domain.local> --domain=<domain name>

    

   BELANGRIJK!
   U moet de gebruikersnaam van een AD-beheerder opgeven bij het toevoegen van de SPN's. Als u dit niet doet, ontvangt u de volgende foutmelding:

   LdapError: Kan kenmerk niet wijzigen[19]

   Nadat u de opdracht hebt uitgevoerd, wordt u gevraagd het beheerderswachtwoord in te voeren.
   
   

5. Voer de volgende opdracht uit om te controleren of de SPN-accounts die u hebt gemaakt nu worden vermeld:

   isi auth ads spn list --domain=<DNS domain>

Aanvullende informatie

U kunt ook bestaande SPN-accounts verwijderen met de opdracht isi auth .

Als u SPN-accounts wilt verwijderen, voert u de volgende opdrachten uit: vervang Administrator> door een gebruikersaccount met beheerdersrechten voor het domein en vervang<<cluster.domein.local> door de DNS-naam door de naam die u wilt verwijderen:

isi auth ads spn delete --user=<Administrator> --spn=cifs/<cluster.domain.local>
isi auth ads spn delete --user=<Administrator> --spn=host/<cluster.domain.local>