PowerScale: OneFS: Основні імена сервісів для автентифікації Kerberos

Введення
Ім'я принципального сервісу (SPN) — це ім'я, за яким клієнт унікально ідентифікує екземпляр сервісу. SPN унікальний навіть для кількох екземплярів сервісів на комп'ютерах у середовищі Active Directory. Якщо клієнти використовують кілька імен для автентифікації, екземпляр сервісу призначається кількома SPN. Це включає один унікальний SPN для кожної назви зони або псевдоніма SmartConnect у DNS. Детальніше дивіться статтю проназви принципів сервісіву Microsoft Developer Network Center.

Kerberos з NFS у неактивному директорному середовищі
OneFS не налаштовує автоматично та не налаштовує NFS Kerberos із сервером автентифікації, не пов'язаним з Active Directory (наприклад, MIT або HEIMDAL). Для цього потрібна інша ручна конфігурація для середовища, не пов'язаного з Active Directory, наведеного в наступній статті. Див. OneFS: Як налаштувати кластер Isilon для використання Kerberos з NFS у середовищі, не пов'язаному з Active Directory,KB Стаття 16584.

Kerberos з середовищем
Active DirectoryЩоб підключатися до кластера за іменем без вказівки імені користувача та пароля в середовищі на базі Active Directory, необхідно використовувати автентифікацію Kerberos. 

При доступі до кластера за допомогою Kerberos клієнт встановлює тікет Kerberos з кластером на основі DNS-імені, яке клієнт використовує для підключення. При приєднанні до домену AD кластер реєструє будь-які імена зон або псевдоніми SmartConnect як SPN, налаштовані на обліковому записі кластерної машини домену. Будь-які додаткові імена зон або псевдоніми SmartConnect, створені після приєднання кластера до домену, повинні мати ручне додавання SPN. Це справедливо як для DNS-імені, так і для короткого імені. 

Також має бути запис делегування на DNS-сервері для кожної нової назви зони або псевдоніма SmartConnect.

SPN мають бути унікальними в лісі Active Directory. Якщо існують дублікати SPN або машинні облікові записи, можуть виникати збої автентифікації. Див. OneFS: Як знайти дублікати принципальних імен сервісів (SPN) в Active Directory https://www.dell.com/dci/fp/session/authorize?client_id=3a4eea6a-4a4e-4f2e-be4a-adc5d51a357a&redirect_uri=https%3A%2F%2Fwww.dell.com%2Fsupport%2Fkbdoc%2Fen-us%2F000032723

Під час об'єднання кластера з кількома доменами AD, існуючі зони SmartConnect на момент приєднання додають SPN для кожного провайдера AD. Це може призвести до дублювання SPN між двома доменами. Це створює проблеми (для FQDN SPN), якщо два домени мають двосторонній траст (Microsoft Trusts) з клієнтами, які підключаються до кластера у крос-реалм-форматі. Клієнт DomainA, який отримує доступ до Зони доступу кластера через DomainB, використовує неправильний обліковий запис машини для шифрування квитка, що призводить до помилок "KRB5KRB_AP_ERR_MODIFIED ".

Щоб переглянути зареєстровані SPN:

OneFS 6.5 та раніші версії:

# isi auth ads spn list

OneFS 7.0 та пізніші версії:

# isi auth ads spn list --domain=<FullyQualifiedDomainName>

Вихід схожий на наведений нижче приклад:

# isi auth ads spn list --domain=MY.DOMAIN.COM
SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.COM

Симптоми відсутності SPN

• OneFS створює подію/сповіщення, якщо SPN відсутні при підключенні до Active Directory, подібно до наведених нижче (KB 502666):

  Recurring: AD server missing needed SPN(s) HOST/isicluster, HOST/isicluster.isilon.com; try 'isi auth ads spn check'
  
  AD server missing needed SPN(s) HOST/zonecifs.isilon.com, HOST/zonemgmt.isilon.com, HOST/nfs.isilon.com; try 'isi auth ads spn check'

• Автентифікація кластера за назвою зони SmartConnect або короткою назвою не вдається, але підключення через IP працює.
• Велика кількість запитів на автентифікацію NTLM до контролерів домену.

Щоб знайти відсутній SPN:

OneFS 6.0 та раніші версії:
Вкажіть зони SmartConnect у кластері:

# isi networks list pools

Потім порівняйте зі списком зареєстрованих SPN:

# isi auth ads spn list.

SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.CORP

 
Версії OneFS 6.5: 

# isi auth ads spn check

Версії OneFS 7.x:

# isi auth ads spn check --domain=<FQDN>

OneFS 8.x та пізніші версії:

# isi auth ads spn check --provider-name
or
# isi auth ads spn check <provider-name>

Примітка: В OneFS можна налаштовувати кілька доменів і зон доступу. Команду може знадобитися виконання для кожного домену, приєднаного до кластера. Рекомендується, щоб домен був написаний великим літерами, оскільки деякі ранні версії мають чутливість до регістру. Кілька зон доступу з довіреними доменами також можуть спричиняти дублювання SPN. Зверніться до служби підтримки для допомоги з кількома зонами доступу з довіреними доменами.

Створенняабо додавання SPN вимагає користувацького облікового запису з адміністративними правами на домен.

ВАЖЛИВИЙ!
Користувач повинен вказати ім'я адміністратора AD при додаванні SPN. Якщо користувач цього не робить, отримує таку помилку:

LdapError: Failed to modify attribute[19]

Використовуйте лише саме ім'я користувача без обмежень (без доменного позначення).

Щоб додати відсутній SPN за допомогою опції ремонту у версіях OneFS 6.5 та пізніших версій:

версії OneFS 6.5:

# isi auth ads spn check --repair --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn check --repair --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn fix <providername> --user=<admin user of AD>

Примітка: В OneFS можна налаштовувати кілька доменів і зон доступу. Використання опції відновлення з кількома зонами доступу та довіреним доменом може спричинити повторення SPN. Рекомендується створювати SPN за допомогою команди "isi auth ads spn create ".

Увага: Деякі клієнтські середовища можуть включати кілька кластерів із однаковими назвами зон SmartConnect. Вони можуть покладатися на автоматизацію резервування для додавання/видалення SPN між кластерами, а також на зміну DNS для цілей резервування. Запуск команд виправлення/відновлення може створити проблеми з автентифікацією, якщо це зроблено — використовуйте з розсудом. Isilon рекомендує додавати лише ті SPN, які потрібні для кожного SPN.


Щоб додати один SPN у версіях OneFS 6.5 та пізніших:

версії OneFS 6.5:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn create <providername> --spn=<service>/<DNS name> --user=<admin user of AD>

Примітка: Додаткові SPN можуть бути додані за потреби (наприклад, якщо використовуються CNAME) поза списком «відсутні SPN».

Пов'язані статті:

" Сервіси автентифікації можуть вийти з ладу, якщо ім'я основного сервісу (SPN) є неправильним або відсутнім," 89649
"OneFS: Як створити SPN-акаунти для дозволу автентифікації Kerberos за допомогою DNS-записів SmartConnect," 16528
"Як переглядати SPN-список у середовищі Microsoft Active Directory," 16589
"SQL-клієнт не може "Масово вставляти" файли з кластера Isilon у базу даних SQL," 89574
"Як увімкнути Mac OS X single sign-on (SSO) для CIFS-shares з підтримкою Active Directory у OneFS 5.5.x - 6.5.x, "16675
"Isilon OneFS 7.1.0.0: Клієнти SMB2 не можуть підключатися до кластера за допомогою автентифікації Kerberos," 174024
"OneFS: Як знайти дублікати головних імен сервісів (SPN) в Active Directory», 186215.
» OneFS: Як налаштувати кластер Isilon для використання Kerberos з NFS у середовищі, не пов'язаному з Active Directory," 16584.
" OneFS: AD-сервер відсутній, потрібне повідомлення про SPN," 502666