PowerScale: OneFS: AD-server mangler nødvendig SPN-varsel for NFS HTTP HDFS
Summary: Administratorer kan noen ganger observere varsler som angir at tjenestens hovednavn for NFS-, HTTP- eller HDFS-tjenestene mangler.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Under visse forhold kan det genereres et varsel for manglende SPN-er. SPN-kontroller utføres vanligvis etter at følgende hendelser på klyngen oppstår:
- Klynge eller node startet på nytt
- CELOG prosesser og eller tjenester tilbakestilles
- Periodiske CELOG-kontroller gjennom CELOG-skjermen
- Tilføyelse av en ny AD-leverandør
- Endring av nettverkskonfigurasjon (hvis utvalget er konfigurert med SmartConnect-sonenavn og aliaser)
AD server missing needed SPN(s) HOST/sczone.domain.com, HOST/sczone, nfs/sczone.domain.com, nfs/sczone, hdfs/sczone.domain.com, hdfs/sczone; try 'isi auth ads spn check'
Cause
CLOG-varslingssystemet kjører med jevne mellomrom en kontroll mot hver AD-leverandør for å verifisere at SPN-er er riktig registrert, og kan rapportere at SPN-er "mangler". Dette skjer også ved oppstart ved oppstart av noder.
Logikken som brukes av CELOG sjekken er som følger:
Logikken som brukes av CELOG sjekken er som følger:
- For hver AD-leverandør kontrollerer du eksisterende registrerte SPN-er mot konfigurerte SmartConnect-sonenavn og aliaser. Hvis utvalget med et konfigurert SmartConnect-sonenavn ble endret (for eksempel inkludert et nytt alias), kontrolleres en SPN-kontroll mot AD-leverandøren mot den oppdaterte informasjonen.
- Hvis en NFS-eksport ble konfigurert i tidligere versjoner av OneFS har sikkerhetssmaken "krb5", vil man anta at NFS SPN-er er nødvendig for hver SC-sone/alias. Fra og med 8.0.0.5/8.0.1.2/8.1.0.1 og senere antas NFS å mangle som standard (hvis det ikke allerede er registrert). NFS-eksportsikkerheten ble fjernet.
- Hvis HDFS er lisensiert, antar OneFS at HDFS SPN-er er nødvendige for hver SC-sone/alias. Dette gjelder selv om selve tjenesten ikke er aktivert på klyngen.
- HTTP SPN-kontroller utføres automatisk uavhengig av klyngekonfigurasjon da tjenesten er aktivert som standard. Det er ingen spesielle betingelser for en HTTP SPN-sjekk.
Merk: CELOG og
isi auth ads spn check utelukker hverandre og bruker forskjellige funksjoner eller logikk for å bestemme manglende SPN-er. Eksempel: isi auth ads spn check -kommandoen har ingen kontroller for NFS-, HTTP- eller HDFS-baserte SPN-er. SC-soner uten tilsvarende SPN antas å mangle.
Resolution
Selve varselet er veiledende og gjelder for ett eller flere AD-domener. SPN-er kreves ikke nødvendigvis fra et OneFS-perspektiv, bortsett fra selve klyngenavnet, som er registrert som standard. Slike standard-SPN-er skal aldri fjernes. De kreves i stedet for at klienter skal kunne koble til klyngen ved hjelp av Kerberos-godkjenning via SMB, NFS eller HDFS. Kerberos med SMB dekkes under HOST SPN, siden CIFS er under paraplyen HOST SPN-omfanget.
Se administrasjonsveiledningene for OneFS-versjonen din på PowerScale OneFS Info Hubs for instruksjoner om hvordan du administrerer SPN-er fra klyngen.
Ellers kan varselet ignoreres hvis SPN-ene anses som unødvendige, eller de kan registreres for å forhindre varselet i fremtiden.
Se administrasjonsveiledningene for OneFS-versjonen din på PowerScale OneFS Info Hubs for instruksjoner om hvordan du administrerer SPN-er fra klyngen.
Ellers kan varselet ignoreres hvis SPN-ene anses som unødvendige, eller de kan registreres for å forhindre varselet i fremtiden.
Affected Products
PowerScale OneFSProducts
PowerScale OneFSArticle Properties
Article Number: 000167340
Article Type: Solution
Last Modified: 24 May 2024
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.