PowerScale. OneFS. Имена субъектов-служб для аутентификации Kerberos

Знакомство
Имя субъекта-службы (SPN) — это имя, с помощью которого клиент уникально идентифицирует экземпляр службы. Имя SPN уникально даже для нескольких экземпляров службы на компьютерах в среде Active Directory. Если клиенты используют несколько имен для проверки подлинности, экземпляру службы назначается несколько SPN. Сюда входит одно уникальное имя SPN для каждого имени или псевдонима зоны SmartConnect в DNS. Дополнительные сведения см. в статьеИмена субъектов-службв Microsoft Developer Network Center.

Kerberos с NFS в среде
, отличной от Active DirectoryOneFS не выполняет автоматическую установку и настройку NFS Kerberos с сервером аутентификации, не принадлежащим к Active Directory (например, MIT или HEIMDAL). Для этого требуется другая ручная настройка для среды, отличной от Active Directory, указанной в следующей статье. См. OneFS. Как настроить кластер Isilon для использования Kerberos с NFS в среде, отличной от Active Directory, статья базы знаний 16584.

Kerberos со средой
Active DirectoryЧтобы подключиться к кластеру по имени без указания имени и пароля в среде на основе Active Directory, необходимо использовать проверку подлинности Kerberos. 

При доступе к кластеру с помощью Kerberos клиент устанавливает в кластере сертификат Kerberos на основе имени DNS, которое клиент использует для подключения. При присоединении к домену AD кластер регистрирует все имена или псевдонимы зон SmartConnect в качестве имен SPN, настроенных в учетной записи компьютера кластера в домене. Для всех дополнительных имен зон или псевдонимов SmartConnect, созданных после присоединения кластера к домену, необходимо вручную добавить имена SPN. Это верно как для DNS-имени, так и для короткого имени. 

Кроме того, для каждого нового имени или псевдонима зоны SmartConnect на DNS-сервере должна быть запись делегирования.

Имена SPN должны быть уникальными в пределах леса Active Directory. При наличии дублирующихся учетных записей SPN или компьютеров могут происходить сбои аутентификации. См. OneFS. Как найти дублирующиеся имена субъектов-служб (SPN) в Active Directory, https://www.dell.com/dci/fp/session/authorize?client_id=3a4eea6a-4a4e-4f2e-be4a-adc5d51a357a&redirect_uri=https%3A%2F%2Fwww.dell.com%2Fsupport%2Fkbdoc%2Fen-us%2F000032723

При присоединении кластера к нескольким доменам AD существующие зоны SmartConnect во время присоединения добавляют имена SPN для каждого поставщика AD. Это может привести к регистрации дублирующихся SPN между двумя доменами. Это вызывает проблемы (для полностью определенных доменных имен SPN), если два домена совместно используют двустороннее доверие (Microsoft Trusts) с клиентами, подключающимися к кластеру между областями. Клиент из DomainA при доступе к зоне доступа в кластере с помощью DomainB использует неверную учетную запись компьютера для шифрования билета, что приводит к ошибкам «KRB5KRB_AP_ERR_MODIFIED».

Чтобы просмотреть зарегистрированные имена SPN, выполните следующие действия.

OneFS 6.5 и более ранние версии:

# isi auth ads spn list

OneFS 7.0 и более поздние версии:

# isi auth ads spn list --domain=<FullyQualifiedDomainName>

Выходные данные выглядят так же, как в примере ниже:

# isi auth ads spn list --domain=MY.DOMAIN.COM
SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.COM

Признаки отсутствия SPN

• OneFS создает событие/оповещение, если SPN отсутствуют при подключении к Active Directory, как указано ниже (статья базы знаний 502666):

  Recurring: AD server missing needed SPN(s) HOST/isicluster, HOST/isicluster.isilon.com; try 'isi auth ads spn check'
  
  AD server missing needed SPN(s) HOST/zonecifs.isilon.com, HOST/zonemgmt.isilon.com, HOST/nfs.isilon.com; try 'isi auth ads spn check'

• Аутентификация в кластере с использованием имени зоны SmartConnect или короткого имени завершается ошибкой, но подключение с помощью IP-адреса работает.
• Большое количество запросов на аутентификацию NTLM к контроллерам домена.

Чтобы найти отсутствующее имя SPN, выполните следующие действия.

OneFS 6.0 и более ранние версии:
Выведите список зон SmartConnect в кластере:

# isi networks list pools

Затем сравните со списком зарегистрированных SPN:

# isi auth ads spn list.

SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.CORP

 
Версии OneFS 6.5: 

# isi auth ads spn check

Версии OneFS 7.x:

# isi auth ads spn check --domain=<FQDN>

OneFS 8.x и более поздние версии:

# isi auth ads spn check --provider-name
or
# isi auth ads spn check <provider-name>

Примечание. В OneFS можно настроить несколько доменов и зон доступа. Возможно, эту команду потребуется выполнить для каждого домена, присоединенного к кластеру. Рекомендуется указывать в домене заглавные буквы, так как некоторые более ранние версии чувствительны к регистру. Наличие нескольких зон доступа с доверенными доменами также может приводить к проблемам с дублированием SPN. Обратитесь в службу поддержки за помощью по созданию нескольких зон доступа с доверенными доменами.

Для созданияили добавления имен SPN требуется учетная запись пользователя с правами администратора в домене.

ВАЖНЫЙ!
При добавлении SPN пользователь должен указать имя пользователя администратора AD. Если пользователь этого не сделает, он получит следующее сообщение об ошибке:

LdapError: Failed to modify attribute[19]

Используйте только само имя пользователя без квалификации (без обозначения домена).

Чтобы добавить отсутствующее имя SPN с помощью параметра восстановления в OneFS 6.5 и более поздних версий:

# isi auth ads spn check --repair --user=<domainadmin>

OneFS 7.x.

# isi auth ads spn check --repair --user=<domainadmin> --domain=<FQDN>

OneFS 8.x.

# isi auth ads spn fix <providername> --user=<admin user of AD>

Примечание. В OneFS можно настроить несколько доменов и зон доступа. Использование варианта исправления с несколькими зонами доступа и доверенным доменом может привести к дублированию SPN. Рекомендуется создать имя SPN с помощью команды «isi auth ads spn create».

Предупреждение: В некоторых средах заказчика может использоваться несколько кластеров с одинаковыми именами зон SmartConnect. Они могут полагаться на автоматизацию переключения при отказе для добавления и удаления имен SPN между кластерами, а также на изменение DNS для целей переключения при отказе. Выполнение команд исправления/исправления может привести к проблемам с аутентификацией, если это сделано, используйте с осторожностью. Isilon рекомендует добавлять только те имена SPN, которые необходимы для каждого SPN.


Чтобы добавить одно имя SPN в OneFS 6.5 и более поздних версий:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin>

OneFS 7.x.

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin> --domain=<FQDN>

OneFS 8.x.

# isi auth ads spn create <providername> --spn=<service>/<DNS name> --user=<admin user of AD>

Примечание. При необходимости (например, при использовании CNAME) можно добавить дополнительные имена SPN, помимо списка «отсутствующие имена SPN».

Статьи по теме:

" Службы проверки подлинности могут завершиться сбоем, если имя субъекта-службы (SPN) неверно или отсутствует», 89649
«OneFS: Как создать учетные записи SPN, чтобы разрешить аутентификацию Kerberos с помощью записей DNS SmartConnect», 16528
"Просмотр списка SPN в среде Microsoft Active Directory," 16589
"SQL client cannot "Bulk Insert" files from the Isilon cluster to a SQL database," 89574
"How to enable macOS X single sign-on (SSO) to Active Directory & Active Directory & CIFS shares in OneFS 5.5.x - 6.5.x, "16675
"Isilon OneFS 7.1.0.0: Клиенты SMB2 не могут подключаться к кластеру с помощью аутентификации Kerberos», 174024
"OneFS: Как найти дублирующиеся имена субъектов-служб (SPN) в Active Directory», 186215.
OneFS: Как настроить кластер Isilon для использования Kerberos с NFS в среде, отличной от Active Directory», 16584.
OneFS: На сервере Active Directory отсутствует необходимое оповещение об именах SPN», — 502666