PowerScale. OneFS. Создание учетных записей SPN для разрешения аутентификации Kerberos с использованием записей DNS SmartConnect
Summary: Статья о том, как создать учетные записи SPN для аутентификации Kerberos с использованием записей DNS SmartConnect.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Введение
Чтобы подключиться к кластеру по имени без указания имени и пароля в среде на основе Active Directory, необходимо использовать проверку подлинности Kerberos.
При доступе к кластеру с использованием аутентификации Kerberos клиент создает в кластере сертификат Kerberos. Это зависит от DNS-имени, которое клиент использует для подключения. По умолчанию имя кластера регистрируется только для действительных билетов Kerberos. Это может привести к отклонению билета Kerberos при использовании для подключения записей DNS на основе SmartConnect. Это также может заставить пользователя повторно ввести имя пользователя и пароль для доступа к кластеру.
Последовательность действий
Для поддержки нескольких билетов Kerberos необходимо зарегистрировать дополнительные учетные записи SPN (имя субъекта-службы) для компьютера кластера в домене Active Directory. Это можно сделать с помощью команды isi auth . Эта операция не выполняется автоматически, так как для нее требуется учетная запись администратора в домене Active Directory.
Для каждого DNS-имени необходимо создать две записи SPN.
Чтобы зарегистрировать учетные записи SPN, выполните следующие действия.
- Выполните следующую команду в командной строке, чтобы вывести список зон SmartConnect, настроенных в кластере:
isi networks list pools - Выполните следующую команду, чтобы вывести список зарегистрированных имен SPN, заменив <домен> DNS полным доменным именем домена DNS:
isi auth ads spn list --domain=<DNS domain> - Сравните список зон SmartConnect со списком имен SPN, чтобы определить, какие учетные записи SPN необходимо зарегистрировать.
Например, если у вас есть зона SmartConnect с именем dnsnl.domain.local, проверьте список SPN, чтобы узнать, есть ли записи для этого DNS-имени. Для каждой учетной записи SPN, зарегистрированной в домене Active Directory, должно быть две записи
- Если необходимые записи учетных записей SPN не существуют, выполните для их добавления следующие команды, где <Администратор> — это учетная запись пользователя с административными правами на домен, cluster.domain.local> — имя DNS, используемое для подключения к кластеру,< а <доменное имя> — это полностью квалифицированный сервер доменных имен:
isi auth ads spn create --user=<Administrator> --spn=cifs/<cluster.domain.local> --domain=<domain name> isi auth ads spn create --user=<Administrator> --spn=host/<cluster.domain.local> --domain=<domain name>ВАЖНЫЙ!
При добавлении имен SPN необходимо указать имя пользователя администратора AD. Если вы этого не сделаете, вы получите следующее сообщение об ошибке:LdapError: Не удалось изменить атрибут[19]
После выполнения команды будет предложено ввести пароль администратора.
- Выполните следующую команду, чтобы убедиться, что созданные учетные записи SPN:
isi auth ads spn list --domain=<DNS domain>
Additional Information
Дополнительная информация
Можно также удалить существующие учетные записи SPN с помощью команды isi auth .
Чтобы удалить учетные записи SPN, выполните следующие команды, заменив <учетную запись администратора> учетной записью пользователя с правами администратора в домене, а< cluster.domain.local> на имя DNS, которое требуется удалить:
isi auth ads spn delete --user=<Administrator> --spn=cifs/<cluster.domain.local>
isi auth ads spn delete --user=<Administrator> --spn=host/<cluster.domain.local>
Affected Products
IsilonProducts
Isilon, PowerScale OneFSArticle Properties
Article Number: 000022042
Article Type: How To
Last Modified: 28 Nov 2025
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.