PowerScale: OneFS: Nomi dell'entità servizio per l'autenticazione Kerberos

Introduzione
Un nome dell'entità servizio (SPN) è il nome con cui un client identifica in modo univoco un'istanza di un servizio. L'SPN è univoco, anche per più istanze di servizio su computer all'interno di un'ambiente Active Directory. Se i client utilizzano più nomi per scopi di autenticazione, a un'istanza del servizio vengono assegnati più SPN. Ciò include un SPN univoco per ogni nome o alias della zona SmartConnect nel DNS. Per altre informazioni, vedere l'articolosui nomi delle entità servizionel Microsoft Developer Network Center.

Kerberos con NFS in un ambiente non Active Directory
OneFS non imposta e configura automaticamente NFS Kerberos con un server di autenticazione non Active Directory (ad esempio MIT o HEIMDAL). Ciò richiede una configurazione manuale diversa per l'ambiente non Active Directory elencato nel seguente articolo. Vedere OneFS: Come configurare l'Isilon Cluster per l'utilizzo di Kerberos con NFS in un ambiente non Active Directory,articolo della KB 16584.

Kerberos con ambiente Active Directory
Per connettersi a un cluster in base al nome senza fornire un nome utente e una password in un ambiente basato su Active Directory, è necessario utilizzare l'autenticazione Kerberos. 

Quando si accede a un cluster utilizzando Kerberos, il client stabilisce un ticket Kerberos con il cluster in base al nome DNS utilizzato dal client per connettersi. Quando si aggiunge un dominio AD, il cluster registra tutti i nomi o gli alias delle zone SmartConnect come SPN configurati nell'account del computer cluster nel dominio. Eventuali altri nomi o alias delle zone SmartConnect creati dopo l'aggiunta del cluster al dominio devono disporre di SPN aggiunti manualmente. Questo vale sia per il nome DNS che per il nome breve. 

Sul server DNS deve inoltre essere presente un record di delega per ogni nuovo nome o alias della zona SmartConnect.

Gli SPN devono essere univoci in una foresta Active Directory. Se sono presenti SPN o account computer duplicati, potrebbero verificarsi errori di autenticazione. Vedere OneFS: Come trovare nomi dell'entità servizio (SPN) duplicati in Active Directory https://www.dell.com/dci/fp/session/authorize?client_id=3a4eea6a-4a4e-4f2e-be4a-adc5d51a357a&redirect_uri=https%3A%2F%2Fwww.dell.com%2Fsupport%2Fkbdoc%2Fen-us%2F000032723

Durante l'aggiunta di un cluster a più domini AD, le zone SmartConnect esistenti al momento dell'aggiunta aggiungono SPN per ogni provider AD. Ciò potrebbe comportare la registrazione di SPN duplicati tra i due domini. Ciò causa problemi (per gli SPN FQDN) se i due domini condividono un trust bidirezionale (Microsoft Trust) con i client che si connettono al cluster in modo cross-realm. Un client del DominioA che accede a una zona di accesso nel cluster utilizzando il DominioB utilizza un account computer errato per crittografare il ticket, generando errori "KRB5KRB_AP_ERR_MODIFIED ".

Per visualizzare gli SPN registrati:

OneFS 6.5 e versioni precedenti:

# isi auth ads spn list

OneFS 7.0 e versioni successive:

# isi auth ads spn list --domain=<FullyQualifiedDomainName>

L'output è simile all'esempio riportato di seguito:

# isi auth ads spn list --domain=MY.DOMAIN.COM
SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.COM

Sintomi di SPN mancanti

• OneFS crea un evento/avviso se mancano gli SPN quando si è connessi ad Active Directory, in modo simile a quelli riportati di seguito (KB 502666):

  Recurring: AD server missing needed SPN(s) HOST/isicluster, HOST/isicluster.isilon.com; try 'isi auth ads spn check'
  
  AD server missing needed SPN(s) HOST/zonecifs.isilon.com, HOST/zonemgmt.isilon.com, HOST/nfs.isilon.com; try 'isi auth ads spn check'

• L'autenticazione al cluster da parte del nome della zona SmartConnect o del nome breve ha esito negativo, ma la connessione tramite IP funziona.
• Quantità elevata di richieste di autenticazione NTLM ai controller di dominio.

Per trovare l'SPN mancante:

OneFS 6.0 e versioni precedenti:
Elencare le zone SmartConnect nel cluster:

# isi networks list pools

Quindi confrontare con l'elenco degli SPN registrati:

# isi auth ads spn list.

SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.CORP

 
Versioni di OneFS 6.5: 

# isi auth ads spn check

Versioni di OneFS 7.x:

# isi auth ads spn check --domain=<FQDN>

OneFS 8.x e versioni successive:

# isi auth ads spn check --provider-name
or
# isi auth ads spn check <provider-name>

Nota: In OneFS è possibile configurare più domini e zone di accesso. Potrebbe essere necessario eseguire il comando per ogni dominio aggiunto al cluster. Si consiglia di utilizzare il dominio in lettere maiuscole poiché alcune versioni precedenti fanno distinzione tra maiuscole e minuscole. Anche più zone di accesso con domini attendibili possono causare problemi di SPN duplicati. Contattare il supporto per assistenza con più zone di accesso con domini attendibili.

La creazioneo l'aggiunta di SPN richiedono un account utente con diritti amministrativi per il dominio.

IMPORTANTE!
L'utente deve specificare un nome utente amministratore AD durante l'aggiunta degli SPN. Se l'utente non esegue questa operazione, riceve il seguente errore:

LdapError: Failed to modify attribute[19]

Utilizzare solo il nome utente stesso non qualificato (nessuna designazione di dominio).

Per aggiungere l'SPN mancante utilizzando l'opzione di ripristino in OneFS 6.5 e versioni successive:

OneFS 6.5:

# isi auth ads spn check --repair --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn check --repair --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn fix <providername> --user=<admin user of AD>

Nota: In OneFS è possibile configurare più domini e zone di accesso. L'utilizzo dell'opzione di riparazione con più zone di accesso e dominio attendibile può causare la duplicazione di SPN. Si consiglia di creare l'SPN utilizzando il comando "isi auth ads spn create".

Attenzione: Gli ambienti di alcuni clienti possono coinvolgere più cluster che utilizzano gli stessi nomi di zona SmartConnect. Questi possono basarsi sull'automazione del failover per aggiungere/rimuovere SPN tra i cluster e sulla modifica del DNS a scopo di failover. L'esecuzione dei comandi di correzione/riparazione può introdurre problemi di autenticazione, se eseguita con discrezione. Isilon consiglia invece di aggiungere solo gli SPN necessari per SPN.


Per aggiungere un singolo SPN in OneFS 6.5 e versioni successive:

Versioni di OneFS 6.5:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn create <providername> --spn=<service>/<DNS name> --user=<admin user of AD>

Nota: Se necessario (ad esempio, se i CNAME sono in uso), è possibile aggiungere altri SPN oltre all'elenco degli SPN mancanti.

Articoli Correlati:

" I servizi di autenticazione possono avere esito negativo se il nome dell'entità servizio (SPN) non è corretto o mancante", 89649
"OneFS: Come creare account SPN per consentire l'autenticazione Kerberos utilizzando le voci DNS SmartConnect," 16528
"Come visualizzare un elenco SPN in un ambiente Microsoft Active Directory," 16589
"Il client SQL non può "inserire in blocco" i file da un cluster Isilon in un database SQL," 89574
"Come abilitare il Single Sign-On (SSO) di Mac OS X sulle condivisioni CIFS abilitate per Active Directory in OneFS 5.5.x - 6.5.x, "16675
"Isilon OneFS 7.1.0.0: I client SMB2 non possono connettersi al cluster utilizzando l'autenticazione Kerberos", 174024
"OneFS: Come trovare nomi dell'entità servizio (SPN) duplicati in Active Directory", 186215.
OneFS: How to configure the Isilon Cluster to use Kerberos with NFS in a non-Active Directory environment," 16584.
OneFS: Avviso di server AD mancante degli SPN necessari", 502666