PowerScale: OneFS: Dienstprinzipalnamen für die Kerberos-Authentifizierung

Einleitung
Ein Service Principal Name (SPN) ist der Name, mit dem ein Client eine Instanz eines Service eindeutig identifiziert. Der SPN ist eindeutig, sogar für mehrere Dienstinstanzen auf Computern innerhalb einer Active Directory-Umgebung. Wenn mehrere Namen von Clients zu Authentifizierungszwecken verwendet werden, werden einer Serviceinstanz mehrere SPNs zugewiesen. Dies umfasst einen eindeutigen SPN für jeden SmartConnect-Zonennamen oder -Alias in DNS. Weitere Informationen finden Sie im ArtikelDienstprinzipalnamenim Microsoft Developer Network Center.

Kerberos mit NFS in einer Nicht-Active Directory-Umgebung
OneFS richtet NFS Kerberos nicht automatisch mit einem Nicht-Active Directory-Authentifizierungsserver (z. B. MIT oder HEIMDAL) ein und konfiguriert es. Dies erfordert eine andere manuelle Konfiguration für die Nicht-Active Directory-Umgebung, die im folgenden Artikel aufgeführt ist. Siehe OneFS: Konfigurieren des Isilon-Clusters für die Verwendung von Kerberos mit NFS in einer Nicht-Active Directory-Umgebung,KB-Artikel 16584.

Kerberos mit Active Directory-Umgebung
Um in einer Active Directory-basierten Umgebung eine Verbindung zu einem Cluster nach Namen herzustellen, ohne einen Nutzernamen und ein Kennwort anzugeben, muss die Kerberos-Authentifizierung verwendet werden. 

Beim Zugriff auf ein Cluster mithilfe von Kerberos erstellt der Client basierend auf dem DNS-Namen, den der Client für die Verbindung verwendet, ein Kerberos-Ticket für das Cluster. Beim Beitritt zu einer AD-Domain registriert das Cluster alle SmartConnect-Zonennamen oder -aliase als SPNs, die auf dem Clustercomputerkonto in der Domain konfiguriert sind. Für alle zusätzlichen SmartConnect-Zonennamen oder -Aliase, die nach dem Beitritt des Clusters zur Domain erstellt wurden, müssen SPNs manuell hinzugefügt werden. Dies gilt sowohl für den DNS-Namen als auch für den DNS-Kurznamen. 

Außerdem muss auf dem DNS-Server für jeden neuen SmartConnect-Zonennamen oder Alias ein Delegierungsdatensatz vorhanden sein.

SPNs müssen in einer Active Directory-Gesamtstruktur eindeutig sein. Wenn doppelte SPNs oder Maschinenkonten vorhanden sind, können Authentifizierungsfehler auftreten. Siehe OneFS: So finden Sie doppelte Service Principal Names (SPNs) in Active Directory https://www.dell.com/dci/fp/session/authorize?client_id=3a4eea6a-4a4e-4f2e-be4a-adc5d51a357a&redirect_uri=https%3A%2F%2Fwww.dell.com%2Fsupport%2Fkbdoc%2Fen-us%2F000032723

Beim Hinzufügen eines Clusters zu mehreren AD-Domains fügen vorhandene SmartConnect-Zonen zum Zeitpunkt des Beitritts SPNs für jeden AD-Anbieter hinzu. Dies kann dazu führen, dass doppelte SPNs zwischen den beiden Domains registriert werden. Dies führt zu Problemen (für FQDN-SPNs), wenn die beiden Domänen eine bidirektionale Vertrauensstellung (Microsoft Trusts) mit Clients teilen, die eine bereichsübergreifende Verbindung mit dem Cluster herstellen. Ein Client von Domäne A, der mit Domäne B auf eine Zugriffszone im Cluster zugreift, verwendet ein falsches Computerkonto, um das Ticket zu verschlüsseln, was zu "KRB5KRB_AP_ERR_MODIFIED" -Fehlern führt.

So zeigen Sie registrierte SPNs an:

OneFS 6.5 und frühere Versionen:

# isi auth ads spn list

OneFS 7.0 und höhere Versionen:

# isi auth ads spn list --domain=<FullyQualifiedDomainName>

Die Ausgabe ähnelt dem folgenden Beispiel:

# isi auth ads spn list --domain=MY.DOMAIN.COM
SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.COM

Symptome fehlender SPNs

• OneFS erstellt ein Ereignis/eine Warnmeldung, wenn SPNs fehlen, wenn eine Verbindung mit Active Directory besteht, ähnlich wie unten (KB 502666):

  Recurring: AD server missing needed SPN(s) HOST/isicluster, HOST/isicluster.isilon.com; try 'isi auth ads spn check'
  
  AD server missing needed SPN(s) HOST/zonecifs.isilon.com, HOST/zonemgmt.isilon.com, HOST/nfs.isilon.com; try 'isi auth ads spn check'

• Die Authentifizierung beim Cluster über den SmartConnect-Zonennamen oder den Kurznamen schlägt fehl, die Verbindung über die IP funktioniert jedoch.
• Hohe Anzahl von NTLM-Authentifizierungsanforderungen an Domain Controller.

So finden Sie den fehlenden SPN:

OneFS 6.0 und frühere Versionen:
Listen Sie die SmartConnect-Zonen auf dem Cluster auf:

# isi networks list pools

Vergleichen Sie sie dann mit der Liste der registrierten SPN:

# isi auth ads spn list.

SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.CORP

 
OneFS 6.5-Versionen: 

# isi auth ads spn check

OneFS 7.x-Versionen:

# isi auth ads spn check --domain=<FQDN>

OneFS 8.x und spätere Versionen:

# isi auth ads spn check --provider-name
or
# isi auth ads spn check <provider-name>

Hinweis: In OneFS können mehrere Domains und Zugriffszonen konfiguriert werden. Der Befehl muss möglicherweise für jede Domain ausgeführt werden, die dem Cluster hinzugefügt wurde. Es wird empfohlen, die Domain in Großbuchstaben anzugeben, da bei einigen früheren Versionen zwischen Groß- und Kleinschreibung unterschieden wird. Mehrere Zugriffszonen mit vertrauenswürdigen Domains können ebenfalls zu Problemen mit doppelten SPNs führen. Wenden Sie sich an den Support, um Unterstützung bei mehreren Zugriffszonen mit vertrauenswürdigen Domains zu erhalten.

Für das Erstellenoder Hinzufügen von SPNs ist ein Nutzerkonto mit Administratorrechten für die Domain erforderlich.

WICHTIG!
NutzerInnen müssen beim Hinzufügen der SPNs einen AD-Administratornutzernamen angeben. Wenn der Nutzer dies nicht tut, wird die folgende Fehlermeldung angezeigt:

LdapError: Failed to modify attribute[19]

Verwenden Sie nur den Nutzernamen selbst, nicht qualifiziert (keine Domainbezeichnung).

So fügen Sie einen fehlenden SPN mithilfe der Reparaturoption in OneFS 6.5 und höheren Versionen hinzu:

OneFS 6.5-Versionen:

# isi auth ads spn check --repair --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn check --repair --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn fix <providername> --user=<admin user of AD>

Hinweis: In OneFS können mehrere Domains und Zugriffszonen konfiguriert werden. Die Verwendung der Reparaturoption mit mehreren Zugriffszonen und einer vertrauenswürdigen Domain kann dazu führen, dass doppelte SPNs auftreten. Es wird empfohlen, den SPN mit dem Befehl "isi auth ads spn create" zu erstellen.

Warnung: Einige Kundenumgebungen umfassen möglicherweise mehrere Cluster, die dieselben SmartConnect-Zonennamen verwenden. Diese können auf Failover-Automatisierung angewiesen sein, um SPNs zwischen Clustern hinzuzufügen/zu entfernen, und DNS für Failover-Zwecke zu ändern. Das Ausführen der Korrektur-/Reparaturbefehle kann zu Authentifizierungsproblemen führen, falls dies durchgeführt wird. Verwenden Sie dies mit Vorsicht. Isilon empfiehlt, stattdessen nur SPNs hinzuzufügen, die pro SPN benötigt werden.


So fügen Sie einen einzelnen SPN in OneFS 6.5 und höheren Versionen hinzu:

OneFS 6.5-Versionen:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn create <providername> --spn=<service>/<DNS name> --user=<admin user of AD>

Hinweis: Zusätzliche SPNs können bei Bedarf (z. B. wenn CNAMEs verwendet werden) über die Liste der fehlenden SPNs hinaus hinzugefügt werden.

Verwandte Artikel:

" Authentifizierungsservices können fehlschlagen, wenn der Serviceprinzipalname (SPN) falsch ist oder fehlt." 89649
"OneFS: Anleitung zum Erstellen von SPN-Konten, um die Kerberos-Authentifizierung mithilfe von SmartConnect-DNS-Einträgen zu ermöglichen", 16528
"Anzeigen einer SPN-Liste in einer Microsoft Active Directory-Umgebung", 16589
"SQL client cannot "Bulk Insert" files from an Isilon cluster to a SQL database", 89574
"How to enable Mac OS X Single Sign-On (SSO) für Active Directory-fähige CIFS-Freigaben in OneFS 5.5.x – 6.5.x, "16675
", Isilon OneFS 7.1.0.0: SMB2-Clients können keine Verbindung mit dem Cluster über Kerberos-Authentifizierung herstellen", 174024
OneFS: So finden Sie doppelte Serviceprinzipalnamen (SPNs) in Active Directory", 186215.".
OneFS: So konfigurieren Sie den Isilon-Cluster für die Verwendung von Kerberos mit NFS in einer Umgebung ohne Active Directory",16584.
" OneFS: AD-Server fehlt erforderliche SPNs-Warnmeldung", 502666