PowerScale: OneFS: Hlavní názvy služeb pro ověřování protokolem Kerberos

Úvod
Hlavní název služby (SPN) je název, podle kterého klient jednoznačně identifikuje instanci služby. Hlavní název služby (SPN) je jedinečný, a to i pro více instancí služby v počítačích v prostředí služby Active Directory. Pokud klienti používají pro účely ověřování více názvů, je instanci služby přiřazeno více hlavních názvů služby (SPN). To zahrnuje jeden jedinečný hlavní název služby (SPN) pro každý název nebo alias zóny SmartConnect v DNS. Další informace najdete v článkuHlavní názvy služebv Microsoft Developer Network Center.

Protokol Kerberos s NFS v jiném prostředí
než Active DirectorySystém OneFS automaticky nenastaví a nenakonfiguruje protokol NFS Kerberos s ověřovacím serverem jiného typu než Active Directory (například MIT nebo HEIMDAL). To vyžaduje jinou ruční konfiguraci pro prostředí, které není Active Directory uvedené v následujícím článku. Viz OneFS: Jak nakonfigurovat cluster Isilon pro používání protokolu Kerberos s NFS v prostředí mimo službu Active Directory,článek znalostní databáze 16584.

Prostředí
Kerberos se službou Active DirectoryChcete-li se připojit ke clusteru podle názvu bez zadání uživatelského jména a hesla v prostředí založeném na službě Active Directory, je nutné použít ověřování Kerberos. 

Při přístupu ke clusteru pomocí protokolu Kerberos vytvoří klient s clusterem lístek protokolu Kerberos na základě názvu DNS, který klient používá pro připojení. Při připojování k doméně AD cluster zaregistruje všechny názvy zón SmartConnect nebo aliasy jako hlavní názvy služeb (SPN) nakonfigurované na účtu počítače clusteru v doméně. U všech dalších názvů zón SmartConnect nebo aliasů vytvořených po připojení clusteru k doméně je nutné ručně přidat hlavní názvy služby (SPN). To platí jak pro název DNS, tak pro krátký název. 

Pro každý nový název nebo alias zóny SmartConnect musí být také záznam delegování na serveru DNS.

Hlavní názvy služeb (SPN) musí být jedinečné v doménové struktuře služby Active Directory. Pokud existují duplicitní hlavní názvy služeb (SPN) nebo účty počítače, může dojít k selhání ověřování. Viz OneFS: Jak najít duplicitní hlavní názvy služeb (SPN) ve službě Active Directory, https://www.dell.com/dci/fp/session/authorize?client_id=3a4eea6a-4a4e-4f2e-be4a-adc5d51a357a&redirect_uri=https%3A%2F%2Fwww.dell.com%2Fsupport%2Fkbdoc%2Fen-us%2F000032723

Při připojování clusteru k více doménám AD stávající zóny SmartConnect v době připojení přidají hlavní názvy služeb (SPN) pro každého poskytovatele služby AD. To může vést k duplicitním hlavním číslům služeb (SPN) zaregistrovaným mezi těmito dvěma doménami. To způsobuje problémy (pro názvy SPN plně kvalifikovaného názvu domény), pokud tyto dvě domény sdílejí obousměrný vztah důvěryhodnosti (vztahy důvěryhodnosti Microsoftu) s klienty, kteří se připojují ke clusteru způsobem mezi sférami. Klient z domény A, který přistupuje k zóně přístupu v clusteru pomocí domény B, používá k šifrování lístku nesprávný účet počítače, což vede k chybám KRB5KRB_AP_ERR_MODIFIED .

Zobrazení registrovaných hlavních názvů služby (SPN):

OneFS 6.5 a starší verze:

# isi auth ads spn list

OneFS 7.0 a novější verze:

# isi auth ads spn list --domain=<FullyQualifiedDomainName>

Výstup vypadá podobně jako v následujícím příkladu:

# isi auth ads spn list --domain=MY.DOMAIN.COM
SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.COM

Příznaky chybějících názvů SPN

• Pokud při připojení ke službě Active Directory chybí hlavní názvy služby (SPN), systém OneFS vytvoří událost nebo výstrahu podobnou těm níže uvedeným (článek znalostní 502666):

  Recurring: AD server missing needed SPN(s) HOST/isicluster, HOST/isicluster.isilon.com; try 'isi auth ads spn check'
  
  AD server missing needed SPN(s) HOST/zonecifs.isilon.com, HOST/zonemgmt.isilon.com, HOST/nfs.isilon.com; try 'isi auth ads spn check'

• Ověření clusteru pomocí názvu zóny SmartConnect nebo krátkého názvu selže, ale připojení pomocí protokolu IP funguje.
• Velké množství požadavků na ověření NTLM pro řadiče domény.

Vyhledání chybějícího hlavního názvu služby (SPN):

OneFS 6.0 a starší verze:
Seznam zón SmartConnect v clusteru:

# isi networks list pools

Pak je porovnejte se seznamem registrovaných hlavních čísel služby (SPN):

# isi auth ads spn list.

SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.CORP

 
Verze systému OneFS 6.5: 

# isi auth ads spn check

Verze systému OneFS 7.x:

# isi auth ads spn check --domain=<FQDN>

OneFS 8.x a novější verze:

# isi auth ads spn check --provider-name
or
# isi auth ads spn check <provider-name>

Poznámka: V systému OneFS lze nakonfigurovat více domén a přístupových zón. Příkaz může být nutné spustit pro každou doménu připojenou ke clusteru. Doporučuje se, aby doména byla psána velkými písmeny, protože v některých starších verzích se rozlišují velká a malá písmena. Více přístupových zón s důvěryhodnými doménami může také způsobit duplicitní problémy s hlavním názvem služby (SPN). Obraťte se na podporu a požádejte o pomoc s více přístupovými zónami s důvěryhodnými doménami.

Vytvářenínebo přidávání názvů SPN vyžaduje uživatelský účet s právy správce domény.

DŮLEŽITÝ!
Uživatel musí při přidávání hlavních názvů služby (SPN) zadat uživatelské jméno správce služby AD. Pokud to uživatel neudělá, zobrazí se mu následující chyba:

LdapError: Failed to modify attribute[19]

Používejte pouze samotné uživatelské jméno, bez výhrad (bez označení domény).

Přidání chybějícího hlavního názvu služby (SPN) pomocí možnosti opravy v systému OneFS 6.5 a novějších verzích:

OneFS 6.5 verze:

# isi auth ads spn check --repair --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn check --repair --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn fix <providername> --user=<admin user of AD>

Poznámka: V systému OneFS lze nakonfigurovat více domén a přístupových zón. Použití možnosti opravy s více přístupovými zónami a důvěryhodnou doménou může způsobit duplicitní názvy SPN. Hlavní název služby (SPN) doporučujeme vytvořit pomocí příkazu "isi auth ads spn create ".

Varování: Některá prostředí zákazníků mohou zahrnovat více clusterů používajících stejné názvy zón SmartConnect. Ty se mohou spoléhat na automatizaci převzetí služeb při selhání při přidávání nebo odebírání názvů SPN mezi clustery a změnu DNS pro účely převzetí služeb při selhání. Spuštění příkazů pro opravu/opravu může způsobit problémy s ověřováním. Pokud tak učiníte, používejte je s rozvahou. Společnost Isilon doporučuje přidávat pouze názvy SPN, které jsou potřeba pro jednotlivé hlavní názvy služby (SPN).


Přidání jednoho hlavního názvu služby (SPN) v systému OneFS 6.5 a novějších verzích:

OneFS 6.5 verze:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn create <providername> --spn=<service>/<DNS name> --user=<admin user of AD>

Poznámka: V případě potřeby je možné přidat další hlavní názvy služby (SPN) nad rámec seznamu chybějících názvů SPN.

Související články:

" Ověřovací služby mohou selhat, pokud je hlavní název služby (SPN) nesprávný nebo chybí," 89649
"OneFS: Jak vytvořit účty SPN pro povolení ověřování Kerberos pomocí položek DNS SmartConnect," 16528
"Jak zobrazit seznam SPN v prostředí Microsoft Active Directory," 16589
"Klient SQL nemůže "Bulk Insert" soubory z clusteru Isilon do databáze SQL," 89574
"Jak povolit jednotné přihlášení (SSO) Mac OS X ke sdíleným složkám CIFS s povolenou službou Active Directory v systému OneFS 5.5.x–6.5.x, "16675
"Isilon OneFS 7.1.0.0: Klienti SMB2 se nemohou připojit ke clusteru pomocí ověřování Kerberos," 174024
"OneFS: Jak najít duplicitní hlavní názvy služeb (SPN) ve službě Active Directory," 186215.
" OneFS: Jak nakonfigurovat cluster Isilon pro použití protokolu Kerberos s NFS v prostředí mimo službu Active Directory," 16584.
" OneFS: AD server postrádá upozornění na potřebné SPN," 502666