PowerScale:OneFS:如何建立 SPN 帳戶,以允許使用 SmartConnect DNS 項目進行 Kerberos 驗證

Summary: 有關如何建立 SPN 帳戶以允許使用 SmartConnect DNS 項目進行 Kerberos 驗證的文章。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

簡介

若要透過名稱連線至叢集,而不在 Active Directory 型環境中提供使用者名稱和密碼,必須使用 Kerberos 驗證。 

使用 Kerberos 認證存取叢集時,用戶端會與叢集建立 Kerberos 工單。這是基於用戶端用於連接的 DNS 名稱。依預設,叢集僅會註冊叢集名稱以取得有效 Kerberos 工單。使用以 SmartConnect 為基礎的 DNS 項目連線時,這可能會導致 Kerberos 票證遭拒。它還可能強制使用者重新輸入其使用者名和密碼以訪問群集。




 

程序

若要支援多個 Kerberos 票證,必須在 Active Directory 域上為群集電腦註冊其他 SPN(服務主體名稱)帳戶。您可以使用 isi auth 命令來執行此操作。此作業不會自動執行,因為它需要 Active Directory 網域上的系統管理員帳戶。

對於每個 DNS 名稱,必須創建兩個 SPN 條目。

若要註冊 SPN 帳戶:

  1. 從命令列執行下列命令,列出在叢集上設定的 SmartConnect 區域: 
    isi networks list pools
  2. 執行以下命令以列出已註冊的 SPN 名稱,並將 DNS 域>替換為< DNS 域的完全限定功能變數名稱: 
    isi auth ads spn list --domain=<DNS domain>
  3. 將 SmartConnect 區域清單與 SPN 名稱清單進行比較,以確定必須註冊哪些 SPN 帳戶。
     

    例如,如果您有一個名為 dnsnl.domain.local 的 SmartConnect 區域,請檢查 SPN 清單以查看是否有該 DNS 名稱的條目。在 Active Directory 網域中註冊的每個 SPN 帳戶應有兩個項目

  4. 如果所需的 SPN 帳戶條目不存在,請運行以下命令以添加它們,其中 <管理員> 是對域具有管理許可權的用戶帳戶, <cluster.domain.local> 是用於連接到群集的 DNS 名稱, <功能變數名稱> 是完全限定的功能變數名稱伺服器: 
    isi auth ads spn create --user=<Administrator> --spn=cifs/<cluster.domain.local> --domain=<domain name>
isi auth ads spn create --user=<Administrator> --spn=host/<cluster.domain.local> --domain=<domain name>

     

    要!
    添加SPN時,必須指定AD管理員使用者名。如果不這樣做,您將收到以下錯誤:

    LdapError:無法修改屬性[19]

    運行命令后,系統將提示您輸入管理員密碼。

  5. 執行以下命令以確認現在列出了您建立的 SPN 帳戶: 
    isi auth ads spn list --domain=<DNS domain>

Additional Information

其他資訊

您還可以使用 isi 身份驗證 命令刪除現有的 SPN 帳戶。

若要刪除 SPN 帳戶,請運行以下命令,將管理員>替換為<對域具有管理許可權的使用者帳戶,並將 cluster.domain.local> 替換為<要刪除的名稱的 DNS 名稱:

isi auth ads spn delete --user=<Administrator> --spn=cifs/<cluster.domain.local>
isi auth ads spn delete --user=<Administrator> --spn=host/<cluster.domain.local>

 

Affected Products

Isilon

Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000022042
Article Type: How To
Last Modified: 28 Nov 2025
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.