PowerScale：OneFS：Kerberos 身份驗證的服務主體名稱

介绍
服務主體名稱 （SPN） 是用戶端用來唯一標識服務實例的名稱。SPN 是唯一的，即使對於 Active Directory 環境中電腦上的多個服務實例也是如此。如果用戶端出於身份驗證目的使用多個名稱，則會為服務實例分配多個SPN。這包括 DNS 中每個 SmartConnect 區域名稱或別名的唯一 SPN。有關詳細資訊，請參閱Microsoft開發人員網路中心中的服務主體名稱一文。

在非使用中目錄環境中
使用 NFS 的 KerberosOneFS 不會自動設定並使用非 Active Directory 驗證伺服器 （例如 MIT 或 HEIMDAL） 來設定 NFS Kerberos。這需要針對下列文章所列之非 Active Directory 環境使用不同的手動組態。請參閱 OneFS：如何設定 Isilon Cluster，以在非 Active Directory 環境中使用 Kerberos 搭配 NFS，知識文章 16584。

使用 Active Directory 環境
的 Kerberos若要透過名稱連線至叢集，而不在 Active Directory 型環境中提供使用者名稱和密碼，必須使用 Kerberos 驗證。

使用 Kerberos 存取叢集時，用戶端會根據用戶端用來連線的 DNS 名稱，為叢集建立 Kerberos 票證。加入 AD 域時，群集會將任何 SmartConnect 區域名稱或別名註冊為在域上的群集電腦帳戶上配置的 SPN。將叢集加入網域後建立的任何其他 SmartConnect 區域名稱或別名都必須手動新增 SPN。DNS 名稱和短名稱都是如此。

此外，在 DNS 伺服器上，每個新的 SmartConnect 區域名稱或別名都必須有委派記錄。

SPN 在 Active Directory 樹系中必須是 唯一的 。如果存在重複的SPN或計算機帳戶，則可能會發生身份驗證失敗。請參閱 OneFS：如何在 Active Directory 中尋找重複的服務主體名稱 （SPN），https://www.dell.com/dci/fp/session/authorize?client_id=3a4eea6a-4a4e-4f2e-be4a-adc5d51a357a&redirect_uri=https%3A%2F%2Fwww.dell.com%2Fsupport%2Fkbdoc%2Fen-us%2F000032723

將叢集加入多個 AD 網域時，加入時的現有 SmartConnect 區域會為每個 AD 提供者新增 SPN。這可能會導致在兩個域之間註冊重複的SPN。如果兩個域與以跨領域方式連接到群集的用戶端共用雙向信任（Microsoft信任），則會導致問題（對於 FQDN SPN）。DomainA 用戶端使用 DomainB 存取叢集上的存取區域時，使用不正確的機器帳戶加密工單，導致「KRB5KRB_AP_ERR_MODIFIED」 錯誤。

檢視已註冊的 SPN：

OneFS 6.5 及更舊版本：

# isi auth ads spn list

OneFS 7.0 和更新版本：

# isi auth ads spn list --domain=<FullyQualifiedDomainName>

輸出結果類似於以下範例：

# isi auth ads spn list --domain=MY.DOMAIN.COM
SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.COM

缺少 SPN 的症狀

• 如果 SPN 在連線至類似以下的 Active Directory 時遺失，OneFS 會建立事件/警示 （KB 502666）：

  Recurring: AD server missing needed SPN(s) HOST/isicluster, HOST/isicluster.isilon.com; try 'isi auth ads spn check'
  
  AD server missing needed SPN(s) HOST/zonecifs.isilon.com, HOST/zonemgmt.isilon.com, HOST/nfs.isilon.com; try 'isi auth ads spn check'

• 使用 SmartConnect 區域名稱或短名稱認證叢集會失敗，但使用 IP 連線可正常運作。
• 對域控制器的大量NTLM身份驗證請求。

要查找缺少的 SPN，請執行以下操作：

OneFS 6.0 及更舊版本：
列出叢集上的 SmartConnect 區域：

# isi networks list pools

然後與已註冊的 SPN 清單進行比較：

# isi auth ads spn list.

SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.CORP

 
OneFS 6.5 版本： 

# isi auth ads spn check

OneFS 7.x 版本：

# isi auth ads spn check --domain=<FQDN>

OneFS 8.x 及更新版本：

# isi auth ads spn check --provider-name
or
# isi auth ads spn check <provider-name>

注意：在 OneFS 中，可設定多個網域和存取區域。可能必須為加入群集的每個域運行此命令。建議網域使用大寫字母，因為某些較早的版本會區分大小寫。具有受信任域的多個訪問區域也可能導致重複的SPN問題。請聯絡支援部門，以取得具有受信任網域的多個存取區域的協助。

創建或添加SPN需要具有域管理許可權的用戶帳戶。

要！
添加SPN時，用戶必須指定AD管理員使用者名。如果使用者未能這樣做，使用者會收到以下錯誤：

LdapError: Failed to modify attribute[19]

僅使用使用者名本身非限定（無域指定）。

若要在 OneFS 6.5 及更新版本中使用修復選項新增遺失的 SPN：

OneFS 6.5 版本：

# isi auth ads spn check --repair --user=<domainadmin>

OneFS 7.x：

# isi auth ads spn check --repair --user=<domainadmin> --domain=<FQDN>

OneFS 8.x：

# isi auth ads spn fix <providername> --user=<admin user of AD>

注意：在 OneFS 中，可設定多個網域和存取區域。將修復選項與多個存取區域和受信任域結合使用，可能會導致發生重複的 SPN。建議使用「isi auth ads spn create」 命令建立 SPN。

警告：某些客戶環境可能涉及多個使用相同 SmartConnect 區域名稱的叢集。這些可能依賴於故障轉移自動化來在群集之間添加/刪除SPN，並更改DNS以進行故障轉移。執行修復/修復命令可能會引入身份驗證問題，如果這樣做，請謹慎使用。Isilon 建議僅新增每個 SPN 所需的 SPN。


若要在 OneFS 6.5 及更新版本中新增單一 SPN：

OneFS 6.5 版本：

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin>

OneFS 7.x：

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin> --domain=<FQDN>

OneFS 8.x：

# isi auth ads spn create <providername> --spn=<service>/<DNS name> --user=<admin user of AD>

注意：如果需要，可以在“缺少SPN”列表之外添加其他SPN（例如，如果正在使用別名記錄）。

相關文章：

如果服務主體名稱 （SPN） 不正確或遺失，驗證服務可能會失敗，「 89649
「OneFS：如何建立 SPN 帳戶，以允許使用 SmartConnect DNS 項目進行 Kerberos 驗證，“ 16528
「如何在 Microsoft Active Directory 環境中檢視 SPN 清單」， 16589
「SQL 用戶端無法將檔案從 Isilon 叢集大量插入」至 SQL 資料庫，” 89574
「如何在 OneFS 5.5.x - 6.5.x 中啟用 Mac OS X 單一登入 （SSO） 至啟用 Active Directory 的 CIFS 共用，“16675
”Isilon OneFS 7.1.0.0：SMB2 用戶端無法使用 Kerberos 認證連線至叢集， 」174024
「OneFS：如何在 Active Directory 中尋找重複的服務主體名稱 （SPN），」 186215。
OneFS：如何設定 Isilon Cluster，以在非 Active Directory 環境中使用 Kerberos 搭配 NFS》， 16584。
OneFS：AD 伺服器缺少所需的 SPN 警報」502666