PowerScale: OneFS: Slik oppretter du SPN-kontoer for å tillate Kerberos-godkjenning ved hjelp av SmartConnect DNS-oppføringer

Summary: Artikkel om hvordan du oppretter SPN-kontoer for å tillate Kerberos-godkjenning ved hjelp av SmartConnect DNS-oppføringer.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Innledning

Hvis du vil koble til en klynge etter navn uten å angi brukernavn og passord i et Active Directory-basert miljø, må Kerberos-godkjenning brukes. 

Når du åpner en klynge ved hjelp av Kerberos-godkjenning, oppretter klienten en Kerberos-billett med klyngen. Dette er basert på DNS-navnet som klienten bruker til å koble til. Som standard registrerer klyngen bare klyngenavnet for gyldige Kerberos-billetter. Dette kan føre til at Kerberos-billetten nektes når du bruker SmartConnect-baserte DNS-oppføringer til å koble til. Det kan også tvinge brukeren til å skrive inn brukernavn og passord på nytt for å få tilgang til klyngen.




 

Fremgangsmåte

Hvis du vil støtte flere Kerberos-billetter, må du registrere flere SPN-kontoer (navn på tjenestekontohaver) for klyngedatamaskinen på Active Directory-domenet. Du kan gjøre dette ved hjelp av kommandoen isi auth . Denne operasjonen utføres ikke automatisk da den krever en administratorkonto på Active Directory-domenet.

For hvert DNS-navn må det opprettes to SPN-oppføringer.

Slik registrerer du SPN-kontoer:

  1. Kjør følgende kommando fra kommandolinjen for å liste opp SmartConnect-sonene som er konfigurert på klyngen: 
    isi networks list pools
  2. Kjør følgende kommando for å liste opp SPN-navnene som er registrert, og erstatt <DNS-domenet> med det fullstendige domenenavnet for DNS-domenet: 
    isi auth ads spn list --domain=<DNS domain>
  3. Sammenlign listen over SmartConnect-soner med listen over SPN-navn for å finne ut hvilke SPN-kontoer som må registreres.
     

    Hvis du for eksempel har en SmartConnect-sone kalt dnsnl.domain.local, kontrollerer du SPN-listen for å se om det finnes oppføringer for det DNS-navnet. Det bør være to oppføringer for hver SPN-konto som er registrert i Active Directory-domenet

  4. Hvis de nødvendige SPN-kontooppføringene ikke finnes, kjører du følgende kommandoer for å legge dem til. Administrator<> er en brukerkonto som har administrative rettigheter til domenet, cluster.domain.local> er DNS-navnet som brukes til å koble til klyngen,< og <domenenavnet> er den fullstendig kvalifiserte domenenavnserveren: 
    isi auth ads spn create --user=<Administrator> --spn=cifs/<cluster.domain.local> --domain=<domain name>
isi auth ads spn create --user=<Administrator> --spn=host/<cluster.domain.local> --domain=<domain name>

     

    VIKTIG!
    Du må angi et AD-administratorbrukernavn når du legger til SPNene. Hvis du ikke gjør dette, får du følgende feilmelding:

    LdapError: Failed to modify attribute[19]

    Etter at du har kjørt kommandoen, blir du bedt om å skrive inn administratorpassordet.

  5. Kjør følgende kommando for å bekrefte at SPN-kontoene du opprettet, nå er oppført: 
    isi auth ads spn list --domain=<DNS domain>

Additional Information

Tilleggsinformasjon

Du kan også fjerne eksisterende SPN-kontoer ved hjelp av kommandoen isi-autorisasjon .

Hvis du vil fjerne SPN-kontoer, kjører du følgende kommandoer, erstatter <administratoren> med en brukerkonto som har administrative rettigheter til domenet, og erstatter <cluster.domain.local> med DNS-navnet med navnet du vil fjerne:

isi auth ads spn delete --user=<Administrator> --spn=cifs/<cluster.domain.local>
isi auth ads spn delete --user=<Administrator> --spn=host/<cluster.domain.local>

 

Affected Products

Isilon

Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000022042
Article Type: How To
Last Modified: 28 Nov 2025
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.