PowerScale: OneFS: Tjänstens huvudnamn för Kerberos-autentisering

Införandet
Ett SPN (Service Principal Name) är det namn som en klient unikt använder för att identifiera en instans av en tjänst. SPN är unikt, även för flera tjänstinstanser på datorer i en Active Directory-miljö. Om flera namn används av klienter i autentiseringssyfte tilldelas en tjänstinstans flera SPN:er. Detta inkluderar ett unikt SPN för varje SmartConnect-zonnamn eller alias i DNS. Mer information finns i artikelnNamn på tjänstens huvudnamni Microsoft Developer Network Center.

Kerberos med NFS i en icke-aktiv katalogmiljö
OneFS konfigurerar inte automatiskt NFS Kerberos med en icke-Active Directory-autentiseringsserver (t.ex. MIT eller HEIMDAL). Detta kräver en annan manuell konfiguration för den icke-Active Directory-miljö som anges i följande artikel. Se OneFS: Så här konfigurerar du Isilon Cluster för att använda Kerberos med NFS i en icke-Active Directory-miljö,KB-artikel 16584.

Kerberos med Active Directory-miljö
För att kunna ansluta till ett kluster efter namn utan att ange användarnamn och lösenord i en Active Directory-baserad miljö måste Kerberos-autentisering användas. 

Vid åtkomst till ett kluster med Kerberos upprättar klienten en Kerberos-biljett med klustret baserat på det DNS-namn som klienten använder för att ansluta. När du ansluter till en AD-domän registrerar klustret alla SmartConnect-zonnamn eller alias som SPN:er som konfigurerats på klusterdatorkontot på domänen. Eventuella ytterligare SmartConnect-zonnamn eller alias som skapas efter att klustret har anslutits till domänen måste ha SPN som lagts till manuellt. Detta gäller både DNS-namnet och kortnamnet. 

Det måste också finnas en delegeringspost på DNS-servern för varje nytt SmartConnect-zonnamn eller alias.

SPN måste vara unika i en Active Directory-skog. Om det finns duplicerade SPN:er eller datorkonton kan autentiseringsfel uppstå. Se OneFS: Så här hittar du dubbletter av SPN:er (Service Principal Names) i Active Directory, https://www.dell.com/dci/fp/session/authorize?client_id=3a4eea6a-4a4e-4f2e-be4a-adc5d51a357a&redirect_uri=https%3A%2F%2Fwww.dell.com%2Fsupport%2Fkbdoc%2Fen-us%2F000032723

När du ansluter ett kluster till flera AD-domäner lägger befintliga SmartConnect-zoner vid tidpunkten för anslutningen till SPN:er för varje AD-leverantör. Detta kan resultera i dubbletter av SPN som registrerats mellan de två domänerna. Detta orsakar problem (för FQDN SPN) om de två domänerna delar ett dubbelriktat förtroende (Microsoft-förtroenden) med klienter som ansluter till klustret på ett sfäröverskridande sätt. En klient från DomainA som har åtkomst till en åtkomstzon i klustret med DomainB använder felaktigt datorkonto för att kryptera biljetten, vilket resulterar i "KRB5KRB_AP_ERR_MODIFIED"- fel.

Så här visar du registrerade SPN:er:

OneFS 6.5 och tidigare versioner:

# isi auth ads spn list

OneFS 7.0 och senare versioner:

# isi auth ads spn list --domain=<FullyQualifiedDomainName>

Utdata ser ut ungefär som i exemplet nedan:

# isi auth ads spn list --domain=MY.DOMAIN.COM
SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.COM

Symtom på saknade SPN

• OneFS skapar en händelse/avisering om SPN saknas vid anslutning till Active Directory som liknar dem nedan (KB 502666):

  Recurring: AD server missing needed SPN(s) HOST/isicluster, HOST/isicluster.isilon.com; try 'isi auth ads spn check'
  
  AD server missing needed SPN(s) HOST/zonecifs.isilon.com, HOST/zonemgmt.isilon.com, HOST/nfs.isilon.com; try 'isi auth ads spn check'

• Det går inte att autentisera till klustret med SmartConnect-zonnamn eller kortnamn, men det fungerar inte att ansluta med IP.
• Stor mängd NTLM-autentiseringsbegäranden till domänkontrollanter.

Så här hittar du det SPN som saknas:

OneFS 6.0 och tidigare versioner:
Visa en lista över SmartConnect-zonerna i klustret:

# isi networks list pools

Jämför sedan med listan över registrerade SPN:

# isi auth ads spn list.

SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.CORP

 
OneFS 6.5-versioner: 

# isi auth ads spn check

OneFS 7.x-versioner:

# isi auth ads spn check --domain=<FQDN>

OneFS 8.x och senare versioner:

# isi auth ads spn check --provider-name
or
# isi auth ads spn check <provider-name>

Obs! I OneFS kan flera domäner och åtkomstzoner konfigureras. Kommandot kan behöva köras för varje domän som är ansluten till klustret. Vi rekommenderar att domänen skrivs med versaler eftersom vissa tidigare versioner är skiftlägeskänsliga. Flera åtkomstzoner med betrodda domäner kan också orsaka duplicerade SPN-problem. Kontakta supporten om du vill ha hjälp med flera åtkomstzoner med betrodda domäner.

För att skapaeller lägga till SPN krävs ett användarkonto med administratörsbehörighet till domänen.

VIKTIG!
Användaren måste ange ett användarnamn för AD-administratören när SPN:erna läggs till. Om användaren inte gör det får användaren följande felmeddelande:

LdapError: Failed to modify attribute[19]

Använd endast själva användarnamnet okvalificerat (ingen domänbeteckning).

Så här lägger du till saknat SPN med reparationsalternativet i OneFS 6.5 och senare versioner:

OneFS 6.5-versioner:

# isi auth ads spn check --repair --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn check --repair --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn fix <providername> --user=<admin user of AD>

Obs! I OneFS kan flera domäner och åtkomstzoner konfigureras. Om du använder reparationsalternativet med flera åtkomstzoner och betrodd domän kan duplicerade SPN uppstå. Vi rekommenderar att SPN skapas med kommandot "isi auth ads spn create".

Varning: Vissa kundmiljöer kan omfatta flera kluster med samma SmartConnect-zonnamn. Dessa kan förlita sig på redundansautomatisering för att lägga till/ta bort SPN mellan kluster och ändra DNS i redundanssyfte. Om du kör korrigerings-/reparationskommandona kan det uppstå autentiseringsproblem. Om du gör det kan du använda dem med försiktighet. Isilon rekommenderar i stället att du lägger till SPN som behövs per SPN.


Så här lägger du till ett enda SPN i OneFS 6.5 och senare versioner:

OneFS 6.5-versioner:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn create <providername> --spn=<service>/<DNS name> --user=<admin user of AD>

Obs! Ytterligare SPN:er kan läggas till om det behövs (till exempel om CNAME:er används) utöver listan "SPN:er som saknas".

Relaterade artiklar:

" Autentiseringstjänster kan misslyckas om tjänstens huvudnamn (SPN) är felaktigt eller saknas," 89649
"OneFS: Hur man skapar SPN-konton för att tillåta Kerberos-autentisering med SmartConnect DNS-poster," 16528
"Hur man visar en SPN-lista i en Microsoft Active Directory-miljö," 16589
"SQL-klienten kan inte "Massinfoga" filer från ett Isilon-kluster till en SQL-databas," 89574
"Så här aktiverar du Mac OS X single sign-on (SSO) till Active Directory-aktiverade CIFS-resurser i OneFS 5.5.x - 6.5.x, "16675
"Isilon OneFS 7.1.0.0: SMB2-klienter kan inte ansluta till klustret med Kerberos-autentisering" 174024
"OneFS: Så här hittar du dubbletter av SPN:er (Service Principal Names) i Active Directory", 186215.
OneFS: Så här konfigurerar du Isilon Cluster för att använda Kerberos med NFS i en icke-Active Directory-miljö", 16584.
OneFS: AD-server som saknar nödvändiga SPN-varningar", 502666