PowerScale: OneFS: Så här skapar du SPN-konton för att tillåta Kerberos-autentisering med SmartConnect DNS-poster

Summary: Artikel om hur du skapar SPN-konton för att tillåta Kerberos-autentisering med SmartConnect DNS-poster.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Introduktion

För att kunna ansluta till ett kluster efter namn utan att ange användarnamn och lösenord i en Active Directory-baserad miljö måste Kerberos-autentisering användas. 

Vid åtkomst till ett kluster med Kerberos-autentisering upprättar klienten en Kerberos-biljett med klustret. Detta baseras på det DNS-namn som klienten använder för att ansluta. Som standard registrerar klustret endast klusternamnet för giltiga Kerberos-biljetter. Detta kan leda till att Kerberos-biljetten nekas när du använder SmartConnect-baserade DNS-poster för att ansluta. Det kan också tvinga användaren att ange sitt användarnamn och lösenord igen för att få åtkomst till klustret.




 

Procedur

Om du vill ha stöd för flera Kerberos-biljetter måste du registrera ytterligare SPN-konton (tjänstens huvudnamn) för klusterdatorn på Active Directory-domänen. Du kan göra detta med kommandot isi auth . Den här åtgärden utförs inte automatiskt eftersom den kräver ett administratörskonto på Active Directory-domänen.

För varje DNS-namn måste två SPN-poster skapas.

Så här registrerar du SPN-konton:

  1. Kör följande kommando från kommandoraden för att visa en lista över de SmartConnect-zoner som är konfigurerade i klustret: 
    isi networks list pools
  2. Kör följande kommando för att visa en lista över de SPN-namn som är registrerade och ersätt <DNS-domänen> med det fullständigt kvalificerade domännamnet för DNS-domänen: 
    isi auth ads spn list --domain=<DNS domain>
  3. Jämför listan över SmartConnect-zoner med listan över SPN-namn för att avgöra vilka SPN-konton som måste registreras.
     

    Om du till exempel har en SmartConnect-zon med namnet dnsnl.domain.local kontrollerar du SPN-listan för att se om det finns poster för det DNS-namnet. Det ska finnas två poster för varje SPN-konto som är registrerat i Active Directory-domänen

  4. Om de obligatoriska SPN-kontoposterna inte finns kör du följande kommandon för att lägga till dem, där <Administratör> är ett användarkonto som har administratörsbehörighet till domänen, <cluster.domain.local> är det DNS-namn som används för att ansluta till klustret och <domännamnet> är den fullständigt kvalificerade domännamnsservern: 
    isi auth ads spn create --user=<Administrator> --spn=cifs/<cluster.domain.local> --domain=<domain name>
isi auth ads spn create --user=<Administrator> --spn=host/<cluster.domain.local> --domain=<domain name>

     

    VIKTIG!
    Du måste ange ett AD-administratörsanvändarnamn när du lägger till SPN:erna. Om du inte gör det får du följande fel:

    LdapFel: Kunde inte ändra attribut[19]

    När du har kört kommandot uppmanas du att ange administratörslösenordet.

  5. Kör följande kommando för att bekräfta att de SPN-konton som du skapade nu visas: 
    isi auth ads spn list --domain=<DNS domain>

Additional Information

Ytterligare information

Du kan också ta bort befintliga SPN-konton med kommandot isi auth .

Om du vill ta bort SPN-konton kör du följande kommandon, ersätter <Administratör> med ett användarkonto som har administratörsbehörighet till domänen och ersätter <cluster.domain.local> med DNS-namnet med det namn som du vill ta bort:

isi auth ads spn delete --user=<Administrator> --spn=cifs/<cluster.domain.local>
isi auth ads spn delete --user=<Administrator> --spn=host/<cluster.domain.local>

 

Affected Products

Isilon

Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000022042
Article Type: How To
Last Modified: 28 Nov 2025
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.