PowerScale: OneFS: Palvelun päänimet Kerberos-todennusta varten

Johdanto
Palvelun päänimi (SPN) on nimi, jolla asiakas yksilöi palvelun esiintymän. Palvelun päänimi on yksilöllinen jopa useille palveluesiintymille Active Directory -ympäristön tietokoneissa. Jos asiakkaat käyttävät todennustarkoituksiin useita nimiä, palveluesiintymälle määritetään useita palvelun päänimiä. Tämä sisältää yhden yksilöllisen palvelun päänimen kullekin SmartConnect-vyöhykkeen nimelle tai aliakselle DNS:ssä. Lisätietoja on Microsoft Developer Network Centerinartikkelissa Palvelun päänimet.

Kerberos ja NFS ei-Active Directory -ympäristössä
OneFS ei automaattisesti määritä NFS Kerberosta muulla kuin Active Directory -todennuspalvelimella (kuten MIT tai HEIMDAL). Tämä edellyttää erilaista manuaalista määritystä seuraavassa artikkelissa luetellulle muulle kuin Active Directory -ympäristölle. Katso OneFS: Isilon-klusterin määrittäminen käyttämään Kerberosta NFS:n kanssa muussa kuin Active Directory -ympäristössä,tietämyskannan artikkeli 16584.

Kerberos Active Directory -ympäristössä
Jos haluat muodostaa yhteyden klusteriin nimen perusteella antamatta käyttäjätunnusta ja salasanaa Active Directory -pohjaisessa ympäristössä, on käytettävä Kerberos-todennusta. 

Kun klusteria käytetään Kerberoksella, asiakas muodostaa klusterille Kerberos-lipun sen DNS-nimen perusteella, jota asiakas käyttää yhteyden muodostamiseen. Kun klusteri liittyy AD-toimialueeseen, se rekisteröi SmartConnect-vyöhykkeiden nimet tai aliakset toimialueen klusterikonetilillä määritettyinä palvelun pääniminä. Kaikki muut SmartConnect-vyöhykkeiden nimet tai aliakset, jotka luodaan sen jälkeen, kun klusteri on liitetty toimialueeseen, on lisättävä manuaalisesti. Tämä pätee sekä DNS-nimeen että lyhyeen nimeen. 

DNS-palvelimessa on myös oltava delegointitietue jokaiselle uudelle SmartConnect-vyöhykkeen nimelle tai aliakselle.

Palvelun päänimien on oltava yksilöllisiä kaikissa Active Directory -toimialuepuuryhmissä. Jos palvelun päänimien tai konetilien kaksoiskappaleita on, todennusvirheitä voi ilmetä. Katso OneFS: Palvelun päänimien (SPN) kaksoiskappaleiden etsiminen Active Directoryssa https://www.dell.com/dci/fp/session/authorize?client_id=3a4eea6a-4a4e-4f2e-be4a-adc5d51a357a&redirect_uri=https%3A%2F%2Fwww.dell.com%2Fsupport%2Fkbdoc%2Fen-us%2F000032723

Kun klusteriin liitytään useisiin AD-toimialueisiin, liittymishetkellä olemassa olevat SmartConnect-vyöhykkeet lisäävät kunkin AD-palveluntarjoajan palvelun päänimet. Tämä voi aiheuttaa päällekkäisiä palvelun päänimien rekisteröintejä kahden verkkotunnuksen välille. Tämä aiheuttaa ongelmia (FQDN:n palvelun päänimissä), jos toimialueilla on kaksisuuntainen luottamus (Microsoft Trusts) asiakkaiden kanssa, jotka muodostavat yhteyden klusteriin eri toimialueiden välillä. Toimialueen A asiakas, joka käyttää klusterin käyttöoikeusvyöhykettä DomainB:n kautta, salaa palvelupyynnön väärällä konetilillä, mikä aiheuttaa KRB5KRB_AP_ERR_MODIFIED-virheitä .

Rekisteröityjen palvelun päänimien tarkasteleminen:

OneFS 6.5 ja aiemmat versiot:

# isi auth ads spn list

OneFS 7.0 ja uudemmat versiot:

# isi auth ads spn list --domain=<FullyQualifiedDomainName>

Tulos näyttää samanlaiselta kuin alla olevassa esimerkissä:

# isi auth ads spn list --domain=MY.DOMAIN.COM
SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.COM

Puuttuvan palvelun päänimen oireet

• OneFS luo seuraavan kaltaisen tapahtuman/hälytyksen, jos palvelun päänimet puuttuvat, kun yhteys Active Directoryyn on muodostettu (KB 502666):

  Recurring: AD server missing needed SPN(s) HOST/isicluster, HOST/isicluster.isilon.com; try 'isi auth ads spn check'
  
  AD server missing needed SPN(s) HOST/zonecifs.isilon.com, HOST/zonemgmt.isilon.com, HOST/nfs.isilon.com; try 'isi auth ads spn check'

• Todennus klusteriin SmartConnect-vyöhykkeen nimellä tai lyhyellä nimellä epäonnistuu, mutta yhdistäminen IP-osoitteen avulla toimii.
• Suuri määrä NTLM-todennuspyyntöjä toimialueen ohjauskoneisiin.

Puuttuvan palvelun päänimen selvittäminen:

OneFS 6.0 ja aiemmat versiot:
Luettele klusterin SmartConnect-alueet:

# isi networks list pools

Vertaa sitten rekisteröityjen palvelun päänimien luetteloon:

# isi auth ads spn list.

SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.CORP

 
OneFS 6.5 -versiot: 

# isi auth ads spn check

OneFS 7.x -versiot:

# isi auth ads spn check --domain=<FQDN>

OneFS 8.x ja uudemmat versiot:

# isi auth ads spn check --provider-name
or
# isi auth ads spn check <provider-name>

Huomautus: OneFS:ssä voi määrittää useita toimialueita ja käyttöoikeusvyöhykkeitä. Komento on ehkä suoritettava kullakin klusteriin liitetyllä toimialueella. On suositeltavaa, että verkkotunnus kirjoitetaan isoilla kirjaimilla, koska kirjainkoolla on merkitystä joissakin aiemmissa versioissa. Useat käyttöoikeusvyöhykkeet luotetuilla toimialueilla voivat myös aiheuttaa päällekkäisiä palvelun päänimiongelmia. Ota yhteyttä tukeen, jos tarvitset apua luotettujen toimialueiden useiden käyttöoikeusvyöhykkeiden kanssa.

Palvelun päänimien luominentai lisääminen edellyttää käyttäjätiliä, jolla on toimialueen järjestelmänvalvojan oikeudet.

TÄRKEÄ!
Käyttäjän on määritettävä AD-järjestelmänvalvojan käyttäjänimi palvelun päänimiä lisättäessä. Jos käyttäjä ei tee niin, käyttäjä saa seuraavan virheen:

LdapError: Failed to modify attribute[19]

Käytä vain itse käyttäjänimeä epäpätevänä (ei verkkotunnusmääritystä).

Puuttuvan palvelun päänimen lisääminen OneFS 6.5:n ja sitä uudempien versioiden korjaustoiminnolla:

OneFS 6.5 -versiot:

# isi auth ads spn check --repair --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn check --repair --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn fix <providername> --user=<admin user of AD>

Huomautus: OneFS:ssä voi määrittää useita toimialueita ja käyttöoikeusvyöhykkeitä. Korjausasetuksen käyttäminen useiden käyttöoikeusvyöhykkeiden ja luotetun toimialueen kanssa voi aiheuttaa päällekkäisiä palvelun päänimiä. On suositeltavaa luoda palvelun päänimi komennolla isi auth ads spn create .

Varoitus: Joissakin asiakasympäristöissä voi olla useita klustereita, jotka käyttävät samoja SmartConnect-vyöhykkeiden nimiä. Ne voivat käyttää vikasietoautomaatiota palvelun päänimien lisäämiseen tai poistamiseen klustereiden välillä ja DNS:n muuttamista vikasietotarkoituksiin. Korjaus-/korjauskomentojen suorittaminen voi aiheuttaa todennusongelmia. Jos se on tehty, käytä harkiten. Isilon suosittelee lisäämään sen sijaan vain palvelun päänimiä, joita tarvitaan palvelun päänimeä kohti.


Voit lisätä yksittäisen palvelun päänimen OneFS 6.5:een ja sitä uudempiin versioihin seuraavasti:

OneFS 6.5 -versiot:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn create <providername> --spn=<service>/<DNS name> --user=<admin user of AD>

Huomautus: Palvelun päänimiä voidaan tarvittaessa lisätä (esimerkiksi jos käytössä on CNAMEja) puuttuvien palvelun päänimien luettelon lisäksi.

Aiheeseen liittyvät artikkelit:

" Todennuspalvelut voivat epäonnistua, jos palvelun päänimi (SPN) on virheellinen tai puuttuu." 89649
"OneFS: Kuinka luoda SPN-tilejä Kerberos-todennuksen sallimiseksi SmartConnect DNS -merkintöjen avulla," 16528
"SPN-luettelon tarkasteleminen Microsoft Active Directory -ympäristössä", 16589
"SQL-asiakas ei voi joukkolisätä" tiedostoja Isilon-klusterista SQL-tietokantaan," 89574
"Mac OS X -kertakirjautumisen (SSO) ottaminen käyttöön Active Directorya tukevissa CIFS-jaetuissa resursseissa OneFS 5.5.x - 6.5.x:ssä, "16675
"Isilon OneFS 7.1.0.0: SMB2-asiakkaat eivät voi muodostaa yhteyttä klusteriin Kerberos-todennuksella," 174024
"OneFS: Palvelun päänimien kaksoiskappaleiden etsiminen Active Directorysta," 186215."
OneFS: Kuinka määrittää Isilon-klusteri käyttämään Kerberosta NFS:n kanssa ei-Active Directory -ympäristössä," 16584."
OneFS: AD-palvelimesta puuttuu tarvittava SPNs-hälytys", 502666