PowerScale: OneFS: Як створити SPN-акаунти для дозволу автентифікації Kerberos за допомогою DNS-записів SmartConnect

Summary: Стаття про те, як створити SPN-акаунти для дозволу автентифікації Kerberos за допомогою DNS-записів SmartConnect.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Введення

Щоб підключатися до кластера за іменем без вказівки імені користувача та пароля в середовищі на базі Active Directory, необхідно використовувати автентифікацію Kerberos. 

Під час доступу до кластера за аутентификациями Kerberos клієнт встановлює квиток Kerberos у кластері. Це базується на DNS-імені, яке клієнт використовує для підключення. За замовчуванням кластер реєструє назву кластера лише для дійсних квитків Kerberos. Це може призвести до відмови у квитку Kerberos при використанні DNS-записів на основі SmartConnect для підключення. Це також може змусити користувача знову ввести ім'я користувача та пароль для доступу до кластера.




 

Процедура

Для підтримки кількох квитків Kerberos необхідно зареєструвати додаткові облікові записи SPN (ім'я основного сервісу) для кластерного комп'ютера в домені Active Directory. Це можна зробити за допомогою команди автентифікації isi . Ця операція не виконується автоматично, оскільки для неї потрібен обліковий запис адміністратора в домені Active Directory.

Для кожного DNS-імені потрібно створити два записи SPN.

Для реєстрації SPN-акаунтів:

  1. Виконайте наступну команду з командного рядка, щоб перелічити зони SmartConnect, налаштовані на кластері: 
    isi networks list pools
  2. Виконайте таку команду, щоб перелічити зареєстровані імена SPN, замінивши <домен> DNS на повністю кваліфіковане доменне ім'я домену DNS: 
    isi auth ads spn list --domain=<DNS domain>
  3. Порівняйте список зон SmartConnect зі списком імен SPN, щоб визначити, які облікові записи SPN потрібно зареєструвати.
     

    Наприклад, якщо у вас є зона SmartConnect під назвою dnsnl.domain.local, перевірте список SPN, щоб побачити, чи є записи для цієї DNS-імені. Для кожного SPN-акаунта, зареєстрованих у домені Active Directory має бути два записи

  4. Якщо необхідні записи облікового запису SPN не існують, виконайте такі команди для їх додавання: де< Administrator> — це обліковий запис користувача з адміністративними правами на домен, <cluster.domain.local> — DNS-ім'я, яке використовується для підключення до кластера, а <доменне ім'я> — повністю кваліфікований сервер доменних імен: 
    isi auth ads spn create --user=<Administrator> --spn=cifs/<cluster.domain.local> --domain=<domain name>
isi auth ads spn create --user=<Administrator> --spn=host/<cluster.domain.local> --domain=<domain name>

     

    ВАЖЛИВИЙ!
    Ви повинні вказати ім'я адміністратора AD при додаванні SPN. Якщо ви цього не зробите, отримаєте таку помилку:

    LdapError: Не зміг змінити атрибут[19]

    Після виконання команди вам запропонують ввести пароль адміністратора.

  5. Виконайте наступну команду, щоб підтвердити, що створені вами акаунти SPN тепер у списку: 
    isi auth ads spn list --domain=<DNS domain>

Additional Information

Додаткова інформація

Ви також можете видалити існуючі SPN-акаунти за допомогою команди ISI auth .

Щоб видалити облікові записи SPN, виконайте такі команди: замініть< обліковий запис Administrator> на обліковий запис користувача, який має адміністративні права на домен, а <cluster.domain.local> замініть DNS-ім'я на ім'я, яке хочете видалити:

isi auth ads spn delete --user=<Administrator> --spn=cifs/<cluster.domain.local>
isi auth ads spn delete --user=<Administrator> --spn=host/<cluster.domain.local>

 

Affected Products

Isilon

Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000022042
Article Type: How To
Last Modified: 28 Nov 2025
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.