PowerScale: OneFS: Navn på tjenestekontohaver for Kerberos-godkjenning

Introduksjon
Et tjenestekontohavernavn (SPN) er navnet som en klient bruker til å identifisere en forekomst av en tjeneste. SPN er unik, selv for flere tjenesteforekomster på datamaskiner i et Active Directory-miljø. Hvis klienter bruker flere navn til godkjenningsformål, tilordnes en tjenesteforekomst flere SPNer. Dette inkluderer ett unikt SPN for hvert SmartConnect-sonenavn eller -alias i DNS. Hvis du vil ha mer informasjon, kan du se artikkelen omhovednavn for tjenestei Microsoft Developer Network Center.

Kerberos med NFS i et ikke-aktivt katalogmiljø
OneFS konfigurerer ikke automatisk NFS Kerberos med en ikke-Active Directory-godkjenningsserver (for eksempel MIT eller HEIMDAL). Dette krever en annen manuell konfigurasjon for ikke-Active Directory-miljøet som er oppført i følgende artikkel. Se OneFS: Slik konfigurerer du Isilon-klyngen til å bruke Kerberos med NFS i et ikke-Active Directory-miljø,KB-artikkel 16584.

Kerberos med Active Directory-miljø
Hvis du vil koble til en klynge etter navn uten å angi brukernavn og passord i et Active Directory-basert miljø, må Kerberos-godkjenning brukes. 

Når du får tilgang til en klynge ved hjelp av Kerberos, oppretter klienten en Kerberos-billett med klyngen basert på DNS-navnet klienten bruker til å koble til. Når klyngen blir med i et AD-domene, registrerer klyngen alle SmartConnect-sonenavn eller aliaser som SPN-er konfigurert på klyngemaskinkontoen på domenet. Alle andre SmartConnect-sonenavn eller aliaser som opprettes etter at klyngen ble koblet til domenet, må SPN-er legges til manuelt. Dette gjelder både DNS-navnet og kortnavnet. 

Det må også være en delegeringsoppføring på DNS-serveren for hvert nye SmartConnect-sonenavn eller -alias.

SPN-er må være unike på tvers av en Active Directory-skog. Hvis det finnes dupliserte SPN-er eller maskinkontoer, kan det oppstå godkjenningsfeil. Se OneFS: Slik finner du dupliserte SPN-er (Service Principal Names) i Active Directory, https://www.dell.com/dci/fp/session/authorize?client_id=3a4eea6a-4a4e-4f2e-be4a-adc5d51a357a&redirect_uri=https%3A%2F%2Fwww.dell.com%2Fsupport%2Fkbdoc%2Fen-us%2F000032723

Når du kobler en klynge til flere AD-domener, legger eksisterende SmartConnect-soner på tidspunktet for sammenføyning til SPN-er for hver AD-leverandør. Dette kan føre til dupliserte SPN-er registrert mellom de to domenene. Dette fører til problemer (for FQDN SPNer) hvis de to domenene deler en toveis klarering (Microsoft Trusts) med klienter som kobler til klyngen på tvers av områder. En klient fra domene A som har tilgang til en tilgangssone på klyngen ved hjelp av domeneB, bruker feil maskinkonto til å kryptere billetten, noe som resulterer i "KRB5KRB_AP_ERR_MODIFIED" -feil.

Slik viser du registrerte SPN-er:

OneFS 6.5 og tidligere versjoner:

# isi auth ads spn list

OneFS 7.0 og nyere versjoner:

# isi auth ads spn list --domain=<FullyQualifiedDomainName>

Utdataene ligner på eksemplet nedenfor:

# isi auth ads spn list --domain=MY.DOMAIN.COM
SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.COM

Symptomer på manglende SPN

• OneFS oppretter en hendelse/et varsel hvis SPN-er mangler når de er koblet til Active Directory, tilsvarende de nedenfor (KB 502666):

  Recurring: AD server missing needed SPN(s) HOST/isicluster, HOST/isicluster.isilon.com; try 'isi auth ads spn check'
  
  AD server missing needed SPN(s) HOST/zonecifs.isilon.com, HOST/zonemgmt.isilon.com, HOST/nfs.isilon.com; try 'isi auth ads spn check'

• Autentisering til klyngen med SmartConnect-sonenavn eller kortnavn mislykkes, men tilkobling ved hjelp av IP fungerer.
• Høyt antall NTLM-godkjenningsforespørsler til domenekontrollere.

Slik finner du den manglende SPN-en:

OneFS 6.0 og tidligere versjoner:
Oppgi SmartConnect-soner på klyngen:

# isi networks list pools

Sammenlign deretter med listen over registrerte SPN:

# isi auth ads spn list.

SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.CORP

 
OneFS 6.5-versjoner: 

# isi auth ads spn check

OneFS 7.x-versjoner:

# isi auth ads spn check --domain=<FQDN>

OneFS 8.x og nyere versjoner:

# isi auth ads spn check --provider-name
or
# isi auth ads spn check <provider-name>

Merk: I OneFS kan flere domener og tilgangssoner konfigureres. Kommandoen må kanskje kjøres for hvert domene som kobles til klyngen. Det anbefales at domenet skrives med store bokstaver, siden noen tidligere versjoner skiller mellom store og små bokstaver. Flere tilgangssoner med klarerte domener kan også forårsake dupliserte SPN-problemer. Kontakt kundestøtte for hjelp med flere tilgangssoner med klarerte domener.

Å oppretteeller legge til SPN-er krever en brukerkonto med administrative rettigheter til domenet.

VIKTIG!
Brukeren må angi et AD-administratorbrukernavn når SPN-ene legges til. Hvis brukeren ikke gjør dette, får brukeren følgende feilmelding:

LdapError: Failed to modify attribute[19]

Bruk bare selve brukernavnet ukvalifisert (ingen domenebetegnelse).

Slik legger du til manglende SPN ved hjelp av reparasjonsalternativet i OneFS 6.5 og nyere versjoner:

OneFS 6.5-versjoner:

# isi auth ads spn check --repair --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn check --repair --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn fix <providername> --user=<admin user of AD>

Merk: I OneFS kan flere domener og tilgangssoner konfigureres. Hvis du bruker reparasjonsalternativet med flere tilgangssoner og klarert domene, kan det føre til dupliserte SPNer. Det anbefales at SPN-en opprettes ved hjelp av kommandoen

"isi auth ads spn create".Advarsel: Noen kundemiljøer kan omfatte flere klynger som bruker samme SmartConnect-sonenavn. Disse kan stole på failover-automatisering for å legge til/fjerne SPN-er mellom klynger, og endring av DNS for failover-formål. Kjøring av reparasjons- / reparasjonskommandoene kan introdusere autentiseringsproblemer hvis det gjøres, bruk med skjønn. Isilon anbefaler at du bare legger til SPN-er som trengs per SPN-basis i stedet.


Slik legger du til én enkelt SPN i OneFS 6.5 og nyere versjoner:

OneFS 6.5-versjoner:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn create <providername> --spn=<service>/<DNS name> --user=<admin user of AD>

Merk: Ytterligere SPN-er kan om nødvendig legges til (for eksempel hvis CNAME-er er i bruk) utover listen over manglende SPN-er.

Relaterte artikler:

" Godkjenningstjenester kan mislykkes hvis hovednavnet for tjenesten (SPN) er feil eller mangler," 89649
"OneFS: Slik oppretter du SPN-kontoer for å tillate Kerberos-godkjenning ved hjelp av SmartConnect DNS-oppføringer," 16528
"Slik viser du en SPN-liste i et Microsoft Active Directory-miljø," 16589
"SQL-klient kan ikke "Masseinnsetting"-filer fra en Isilon-klynge til en SQL-database," 89574
"Slik aktiverer du Mac OS X enkel pålogging (SSO) til Active Directory-aktiverte CIFS-delinger i OneFS 5.5.x - 6.5.x, "16675
"Isilon OneFS 7.1.0.0: SMB2-klienter kan ikke koble til klyngen ved hjelp av Kerberos-godkjenning," 174024
"OneFS: Hvordan finne dupliserte Service Principal Names (SPNs) i Active Directory," 186215.
" OneFS: Slik konfigurerer du Isilon-klyngen til å bruke Kerberos med NFS i et ikke-Active Directory-miljø," 16584.
" OneFS: AD-server mangler nødvendig SPN-varsel," 502666