PowerScale: OneFS: Tworzenie kont SPN w celu zezwolenia na uwierzytelnianie Kerberos przy użyciu wpisów DNS SmartConnect

Summary: Artykuł na temat tworzenia kont SPN w celu zezwolenia na uwierzytelnianie Kerberos przy użyciu wpisów DNS SmartConnect.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Wprowadzenie

Aby połączyć się z klastrem według nazwy bez podawania nazwy użytkownika i hasła w środowisku opartym na usłudze Active Directory, należy użyć uwierzytelniania Kerberos. 

Podczas uzyskiwania dostępu do klastra przy użyciu uwierzytelniania Kerberos klient ustanawia bilet Kerberos z klastrem. Jest to oparte na nazwie DNS używanej przez klienta do nawiązywania połączenia. Domyślnie klaster rejestruje nazwę klastra tylko dla ważnych biletów Kerberos. Może to spowodować odrzucenie biletu Kerberos podczas korzystania z wpisów DNS opartych na SmartConnect do nawiązywania połączenia. Może to również wymusić na użytkowniku ponowne wprowadzenie nazwy użytkownika i hasła w celu uzyskania dostępu do klastra.




 

Procedura

Aby obsługiwać wiele biletów Kerberos, należy zarejestrować dodatkowe konta SPN (głównej nazwy usługi) dla komputera klastra w domenie Active Directory. Możesz to zrobić za pomocą polecenia isi auth . Ta operacja nie jest wykonywana automatycznie, ponieważ wymaga konta administratora w domenie Active Directory.

Dla każdej nazwy DNS należy utworzyć dwa wpisy nazwy SPN.

Aby zarejestrować konta SPN:

  1. Uruchom następujące polecenie z wiersza polecenia, aby wyświetlić listę stref połączeń inteligentnych skonfigurowanych w klastrze: 
    isi networks list pools
  2. Uruchom następujące polecenie, aby wyświetlić listę zarejestrowanych nazw SPN, zastępując <domenę> DNS w pełni kwalifikowaną nazwą domeny DNS: 
    isi auth ads spn list --domain=<DNS domain>
  3. Porównaj listę stref SmartConnect z listą nazw SPN, aby określić, które konta SPN muszą być zarejestrowane.
     

    Jeśli na przykład masz strefę SmartConnect o nazwie dnsnl.domain.local, sprawdź listę nazw SPN, aby sprawdzić, czy istnieją wpisy dla tej nazwy DNS. Dla każdego konta SPN zarejestrowanego w domenie Active Directory powinny być dwa wpisy

  4. Jeśli wymagane wpisy konta SPN nie istnieją, uruchom następujące polecenia, aby je dodać: gdzie< Administrator> to konto użytkownika z uprawnieniami administracyjnymi do domeny, cluster.domain.local> to nazwa DNS używana do łączenia się z klastrem,< a <nazwa> domeny to w pełni kwalifikowany serwer nazw domen: 
    isi auth ads spn create --user=<Administrator> --spn=cifs/<cluster.domain.local> --domain=<domain name>
isi auth ads spn create --user=<Administrator> --spn=host/<cluster.domain.local> --domain=<domain name>

     

    WAŻNY!
    Podczas dodawania nazw SPN należy określić nazwę użytkownika administratora usługi AD. Jeśli tego nie zrobisz, pojawi się następujący błąd:

    LdapError: Nie udało się zmodyfikować atrybutu[19]

    Po uruchomieniu polecenia zostaniesz poproszony o wprowadzenie hasła administratora.

  5. Uruchom następujące polecenie, aby potwierdzić, że utworzone konta SPN są teraz wyświetlane: 
    isi auth ads spn list --domain=<DNS domain>

Additional Information

Informacje dodatkowe

Istniejące konta SPN można również usunąć przy użyciu polecenia isi auth .

Aby usunąć konta SPN, uruchom następujące polecenia, zastępując <Administratora> kontem użytkownika z uprawnieniami administracyjnymi do domeny i zastępując <cluster.domain.local> nazwą DNS nazwą, którą chcesz usunąć:

isi auth ads spn delete --user=<Administrator> --spn=cifs/<cluster.domain.local>
isi auth ads spn delete --user=<Administrator> --spn=host/<cluster.domain.local>

 

Affected Products

Isilon

Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000022042
Article Type: How To
Last Modified: 28 Nov 2025
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.