PowerScale: OneFS: Kerberos kimlik doğrulaması için hizmet asıl adları

Giriş
Hizmet ilkesi adı (SPN), istemcinin bir hizmet örneğini benzersiz olarak tanımladığı addır. SPN, Active Directory ortamındaki bilgisayarlarda bulunan birden fazla hizmet örneği için bile benzersizdir. İstemciler tarafından kimlik doğrulama amacıyla birden çok ad kullanılıyorsa, bir hizmet örneğine birden çok SPN atanır. Bu, DNS'deki her SmartConnect bölge adı veya diğer adı için benzersiz bir SPN içerir. Daha fazla bilgi için Microsoft Geliştirici Ağ Merkezi'ndekiHizmet Asıl Adlarımakalesine bakın.

Active Directory Dışı Bir Ortamda
NFS ile KerberosOneFS, NFS Kerberos'u Active Directory olmayan bir kimlik doğrulama sunucusuyla (MIT veya HEIMDAL gibi) otomatik olarak ayarlamaz ve yapılandırmaz. Bu, aşağıdaki makalede listelenen Active Directory dışı ortam için farklı bir manuel yapılandırma gerektirir. Bkz. OneFS: Active Directory olmayan bir ortamda NFS ile Kerberos'u kullanmak üzere Isilon Kümesini yapılandırma,16584 numaralı KB makalesi.

Active Directory Ortamı
ile KerberosActive Directory tabanlı bir ortamda kullanıcı adı ve parola girmeden bir kümeye adıyla bağlanmak için Kerberos kimlik doğrulaması kullanılmalıdır. 

Kerberos kullanarak bir kümeye erişirken istemci, bağlanmak için kullandığı DNS adını temel alarak kümeyle bir Kerberos bileti oluşturur. Bir AD etki alanına katılırken küme, tüm SmartConnect bölge adlarını veya diğer adlarını, etki alanındaki küme makinesi hesabında yapılandırılmış SPN'ler olarak kaydeder. Kümeyi etki alanına ekledikten sonra oluşturulan tüm ek SmartConnect bölge adlarına veya diğer adlarına SPN'ler manuel olarak eklenmelidir. Bu, hem DNS adı hem de kısa ad için geçerlidir. 

Ayrıca her yeni SmartConnect bölge adı veya diğer adı için DNS sunucusunda bir temsilci kaydı olmalıdır.

SPN'ler Active Directory ormanında benzersiz olmalıdır. Yinelenen SPN'ler veya makine hesapları varsa kimlik doğrulama hataları oluşabilir. Bkz. OneFS: Active Directory de yinelenen Hizmet Asıl Adlarını (SPN'ler) bulma https://www.dell.com/dci/fp/session/authorize?client_id=3a4eea6a-4a4e-4f2e-be4a-adc5d51a357a&redirect_uri=https%3A%2F%2Fwww.dell.com%2Fsupport%2Fkbdoc%2Fen-us%2F000032723

Bir kümeyi birden fazla AD etki alanına eklerken katılma sırasında mevcut SmartConnect bölgeleri, her AD sağlayıcısı için SPN'ler ekler. Bu, iki alan arasında yinelenen SPN'lerin kaydedilmesine neden olabilir. Bu, iki etki alanı kümeye bölgeler arası bir şekilde bağlanan istemcilerle iki yönlü bir güveni (Microsoft Güvenleri) paylaşıyorsa (FQDN SPN'ler için) sorunlara neden olur. Etki Alanı B'yi kullanarak kümedeki bir Erişim Bölgesine erişen Etki Alanı A istemcisi, anahtarı şifrelemek için yanlış makine hesabı kullanır ve bu da "KRB5KRB_AP_ERR_MODIFIED" hatalarına neden olur.

Kayıtlı SPN'leri görüntülemek için:

OneFS 6.5 ve önceki sürümler:

# isi auth ads spn list

OneFS 7.0 ve sonraki sürümler:

# isi auth ads spn list --domain=<FullyQualifiedDomainName>

Çıktı, aşağıdaki örneğe benzer şekilde görünür:

# isi auth ads spn list --domain=MY.DOMAIN.COM
SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.COM

Eksik SPN'lerin belirtileri

• OneFS, SPN'ler Active Directory'ye bağlandığında aşağıdakilere benzer bir olay/uyarı oluşturur (KB 502666):

  Recurring: AD server missing needed SPN(s) HOST/isicluster, HOST/isicluster.isilon.com; try 'isi auth ads spn check'
  
  AD server missing needed SPN(s) HOST/zonecifs.isilon.com, HOST/zonemgmt.isilon.com, HOST/nfs.isilon.com; try 'isi auth ads spn check'

• SmartConnect bölge adı veya kısa adı ile kümede kimlik doğrulama başarısız oluyor ancak IP kullanarak bağlanılıyor.
• Etki alanı denetleyicilerine yüksek miktarda NTLM kimlik doğrulama isteği.

Eksik SPN'yi bulmak için:

OneFS 6.0 ve önceki sürümler:
Kümedeki SmartConnect bölgelerini listeleyin:

# isi networks list pools

Ardından kayıtlı SPN listesiyle karşılaştırın:

# isi auth ads spn list.

SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.CORP

 
OneFS 6.5 sürümleri: 

# isi auth ads spn check

OneFS 7.x sürümleri:

# isi auth ads spn check --domain=<FQDN>

OneFS 8.x ve sonraki sürümler:

# isi auth ads spn check --provider-name
or
# isi auth ads spn check <provider-name>

Not: OneFS'de birden fazla etki alanı ve erişim bölgesi yapılandırılabilir. Komutun kümeye katılan her etki alanı için çalıştırılması gerekebilir. Bazı eski sürümler büyük/küçük harfe duyarlı olduğundan etki alanının büyük harflerle yazılması önerilir. Güvenilen etki alanlarına sahip birden fazla erişim bölgesi de yinelenen SPN sorunlarına neden olabilir. Güvenilen etki alanlarına sahip birden fazla erişim bölgesi hakkında yardım için destek ekibiyle iletişime geçin.

SPN'ler oluşturmakveya eklemek, etki alanında yönetici haklarına sahip bir kullanıcı hesabı gerektirir.

ÖNEMLİ!
Kullanıcı, SPN'leri eklerken bir AD yönetici kullanıcı adı belirtmelidir. Kullanıcı bunu yapamazsa aşağıdaki hatayı alır:

LdapError: Failed to modify attribute[19]

Yalnızca kullanıcı adını niteliksiz olarak kullanın (etki alanı belirtimi yok).

OneFS 6.5 ve sonraki sürümlerde onarım seçeneğini kullanarak eksik SPN eklemek için:

OneFS 6.5 sürümleri:

# isi auth ads spn check --repair --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn check --repair --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn fix <providername> --user=<admin user of AD>

Not: OneFS'de birden fazla etki alanı ve erişim bölgesi yapılandırılabilir. Birden fazla erişim bölgesi ve güvenilen etki alanı ile onarım seçeneğinin kullanılması, yinelenen SPN'lere neden olabilir. SPN'nin "isi auth ads spn create" komutu kullanılarak oluşturulması önerilir.

Uyarı: Bazı müşteri ortamları, aynı SmartConnect bölge adlarını kullanan birden fazla küme içerebilir. Bunlar, kümeler arasında SPN eklemek/kaldırmak ve yük devretme amacıyla DNS'yi değiştirmek için yük devretme otomasyonuna ihtiyaç duyabilir. Düzeltme/onarma komutlarını çalıştırmak kimlik doğrulama sorunlarına neden olabilir. Aksi takdirde dikkatli kullanın. Isilon, bunun yerine yalnızca SPN başına gerekli SPN'lerin eklenmesini önerir.


OneFS 6.5 ve sonraki sürümlerde tek bir SPN eklemek için:

OneFS 6.5 sürümleri:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn create <providername> --spn=<service>/<DNS name> --user=<admin user of AD>

Not: Gerekirse (örneğin, CNAME'ler kullanımdaysa) "eksik SPN'ler" listesinin ötesinde ek SPN'ler eklenebilir.

İlgili Makaleler:

" Hizmet Ana Adı (SPN) yanlış veya eksikse kimlik doğrulama hizmetleri başarısız olabilir," 89649
"OneFS: SmartConnect DNS girişlerini kullanarak Kerberos kimlik doğrulamasına izin vermek için SPN hesapları oluşturma," 16528
"Microsoft Active Directory ortamında bir SPN listesi nasıl görüntülenir," 16589
"SQL istemcisi bir Isilon kümesinden SQL veritabanına dosyaları "Toplu Ekleyemez"," 89574
"OneFS 5.5.x - 6.5.x'te Active Directory özellikli CIFS paylaşımlarında Mac OS X çoklu oturum açma (SSO) nasıl etkinleştirilir, "16675
"Isilon OneFS 7.1.0.0: SMB2 istemcileri, Kerberos kimlik doğrulaması kullanılarak kümeye bağlanamıyor," 174024
"OneFS: Active Directory'de yinelenen Hizmet Asıl Adları (SPN'ler) nasıl bulunur," 186215.
OneFS: Active Directory Dışı Bir Ortamda NFS ile Kerberos Kullanmak İçin Isilon Kümesini Yapılandırma," 16584.
OneFS: AD sunucusu gerekli SPN'ler eksik uyarısı," 502666