PowerScale: OneFS: Kerberos 인증에 대한 서비스 사용자 이름

소개
SPN(서비스 사용자 이름)은 클라이언트가 서비스 인스턴스를 고유하게 식별하는 이름입니다. SPN은 Active Directory 환경 내의 컴퓨터에 있는 여러 서비스 인스턴스에 대해서도 고유합니다. 클라이언트에서 인증을 위해 여러 이름을 사용하는 경우 서비스 인스턴스에 여러 SPN이 할당됩니다. 여기에는 DNS의 각 SmartConnect 존 이름 또는 별칭에 대해 하나의 고유 SPN이 포함됩니다. 자세한 내용은 Microsoft Developer Network Center의서비스 사용자 이름문서를 참조하세요.

비 Active Directory 환경에서
NFS를 사용하는 KerberosOneFS는 Active Directory가 아닌 인증 서버(예: MIT 또는 HEIMDAL)를 사용하여 NFS Kerberos를 자동으로 설정 및 구성하지 않습니다. 이렇게 하려면 다음 문서에 나열된 Active Directory가 아닌 환경에 대해 다른 수동 구성이 필요합니다. 다음을 참조하십시오. OneFS: Active Directory가 아닌 환경에서 NFS와 함께 Kerberos를 사용하도록 Isilon Cluster를 구성하는 방법,KB 문서 16584

Active Directory 환경을
사용하는 KerberosActive Directory 기반 환경에서 사용자 이름 및 암호를 제공하지 않고 이름으로 클러스터에 연결하려면 Kerberos 인증을 사용해야 합니다. 

Kerberos를 사용하여 클러스터에 액세스하는 경우 클라이언트는 연결에 사용하는 DNS 이름을 기반으로 클러스터에 Kerberos 티켓을 설정합니다. AD 도메인에 가입할 때 클러스터는 모든 SmartConnect 존 이름이나 별칭을 도메인의 클러스터 머신 계정에 구성된 SPN으로 등록합니다. 클러스터를 도메인에 가입시킨 후 생성된 추가 SmartConnect 존 이름 또는 별칭에는 SPN을 수동으로 추가해야 합니다. 이는 DNS 이름과 단축 이름 모두에 해당됩니다. 

또한 DNS 서버에는 각각의 새 SmartConnect 존 이름 또는 별칭에 대한 위임 레코드가 있어야 합니다.

SPN은 Active Directory 포리스트에서 고유 해야 합니다. 중복된 SPN 또는 컴퓨터 계정이 있는 경우 인증 오류가 발생할 수 있습니다. 다음을 참조하십시오. OneFS: Active Directory에서 중복된 SPN(Service Principal Name)을 찾는 방법 https://www.dell.com/dci/fp/session/authorize?client_id=3a4eea6a-4a4e-4f2e-be4a-adc5d51a357a&redirect_uri=https%3A%2F%2Fwww.dell.com%2Fsupport%2Fkbdoc%2Fen-us%2F000032723

클러스터를 여러 AD 도메인에 가입하는 동안 가입 시 기존 SmartConnect 영역에서 각 AD 공급업체에 대한 SPN을 추가합니다. 이로 인해 두 도메인 간에 중복된 SPN이 등록될 수 있습니다. 이로 인해 두 도메인이 영역 간 방식으로 클러스터에 연결하는 클라이언트와 양방향 트러스트(Microsoft Trusts)를 공유하는 경우 FQDN SPN의 경우 문제가 발생합니다. DomainB를 사용하여 클러스터의 액세스 존에 액세스하는 DomainA의 클라이언트가 잘못된 시스템 계정을 사용하여 티켓을 암호화하여 "KRB5KRB_AP_ERR_MODIFIED" 오류가 발생합니다.

등록된 SPN을 보려면 다음을

수행합니다.OneFS 6.5 이하 버전:

# isi auth ads spn list

OneFS 7.0 이상 버전:

# isi auth ads spn list --domain=<FullyQualifiedDomainName>

아래 예와 유사한 출력이 나타납니다.

# isi auth ads spn list --domain=MY.DOMAIN.COM
SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.COM

SPN 누락의 증상

• OneFS는 Active Directory에 연결되어 있을 때 SPN이 누락된 경우 아래와 유사한 이벤트/알림을 생성합니다(KB 502666).

  Recurring: AD server missing needed SPN(s) HOST/isicluster, HOST/isicluster.isilon.com; try 'isi auth ads spn check'
  
  AD server missing needed SPN(s) HOST/zonecifs.isilon.com, HOST/zonemgmt.isilon.com, HOST/nfs.isilon.com; try 'isi auth ads spn check'

• SmartConnect 존 이름 또는 짧은 이름으로 클러스터에 대한 인증은 실패하지만, IP를 사용한 연결은 작동합니다.
• 도메인 컨트롤러에 대한 많은 양의 NTLM 인증 요청

누락된 SPN을 찾으려면 다음을 수행합니다.

OneFS 6.0 이하 버전:
클러스터의 SmartConnect 영역 나열:

# isi networks list pools

그런 다음 등록된 SPN 목록과 비교합니다.

# isi auth ads spn list.

SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.CORP

 
OneFS 6.5 버전: 

# isi auth ads spn check

OneFS 7.x 버전:

# isi auth ads spn check --domain=<FQDN>

OneFS 8.x 이상 버전:

# isi auth ads spn check --provider-name
or
# isi auth ads spn check <provider-name>

참고: OneFS에서는 여러 도메인과 액세스 존을 구성할 수 있습니다. 클러스터에 연결된 각 도메인에 대해 명령을 실행해야 할 수 있습니다. 일부 이전 버전은 대/소문자를 구분하므로 도메인을 대문자로 표기하는 것이 좋습니다. 신뢰할 수 있는 도메인이 있는 여러 액세스 존도 중복 SPN 문제를 일으킬 수 있습니다. 신뢰할 수 있는 도메인이 있는 여러 액세스 존에 대한 지원은 지원 팀에 문의하십시오.

SPN을 만들거나추가하려면 도메인에 대한 관리 권한을 가진 사용자 계정이 필요합니다.

중요하다!
사용자는 SPN을 추가할 때 AD 관리자 사용자 이름을 지정해야 합니다. 사용자가 이 작업을 수행하지 못하면 다음 오류가 표시됩니다.

LdapError: Failed to modify attribute[19]

정규화되지 않은(도메인 지정 안 함) 사용자 이름 자체만 사용하십시오.

OneFS 6.5 이상 버전:OneFS 6.5 버전에서

복구 옵션을 사용하여 누락된 SPN을 추가하려면 다음을 수행합니다.

# isi auth ads spn check --repair --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn check --repair --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn fix <providername> --user=<admin user of AD>

참고: OneFS에서는 여러 도메인과 액세스 존을 구성할 수 있습니다. 여러 액세스 존 및 신뢰할 수 있는 도메인에서 복구 옵션을 사용하면 중복 SPN이 발생할 수 있습니다. "isi auth ads spn create" 명령을 사용하여 SPN을 생성하는 것이 좋습니다.

경고: 일부 고객 환경에는 동일한 SmartConnect 존 이름을 사용하는 여러 클러스터가 포함될 수 있습니다. 장애 조치(failover) 자동화를 사용하여 클러스터 간에 SPN을 추가/제거하고 장애 조치(failover)를 위해 DNS를 변경할 수 있습니다. 수정/복구 명령을 실행하면 인증 문제가 발생할 수 있습니다. 완료되면 신중하게 사용하십시오. Isilon은 SPN 단위로 필요한 SPN만 추가할 것을 권장합니다.


OneFS 6.5 이상 버전:

OneFS 6.5 버전에서 단일 SPN을 추가하려면 다음을 수행합니다.

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn create <providername> --spn=<service>/<DNS name> --user=<admin user of AD>

참고: 필요한 경우(예: CNAME이 사용 중인 경우) "누락된 SPN" 목록 외에 SPN을 더 추가할 수 있습니다.

관련 기사:

" SPN(Service Principal Name)이 올바르지 않거나 누락된 경우 인증 서비스가 실패할 수 있음", 89649
", "OneFS: How to create SPN accounts to allow Kerberos authentication using SmartConnect DNS entries," 16528
"How to view an SPN list in a Microsoft Active Directory environment," 16589
"SQL client cannot "Bulk Insert files from an Isilon cluster to a SQL database," 89574
"How to enable Mac OS X SSO(Single Sign-On) to Active Directory-enabled CIFS shares in OneFS 5.5.x - 6.5.x, "16675
" Isilon OneFS 7.1.0.0: SMB2 클라이언트가 Kerberos 인증을 사용하여 클러스터에 연결할 수 없음", 174024
"OneFS: Active Directory에서 중복된 SPN(서비스 사용자 이름)을 찾는 방법", 186215 .
" OneFS: Active Directory가 아닌 환경에서 NFS와 함께 Kerberos를 사용하도록 Isilon Cluster를 구성하는 방법"
OneFS: AD 서버에 필요한 SPN 알림이 없습니다." 502666