PowerScale: OneFS: Alert dotyczący braku wymaganych nazw SPN serwera AD dla NFS HTTP HDFS

W pewnych warunkach może zostać wygenerowany alert dotyczący brakujących nazw SPN. Kontrole nazwy SPN są zwykle wykonywane po wystąpieniu następujących zdarzeń w klastrze:

• Klaster lub węzeł uruchomiony ponownie
• Procesy i/lub usługi CELOG są resetowane
• Okresowe kontrole CELOG za pośrednictwem monitora CELOG
• Dodanie nowego dostawcy usługi AD
• Zmiana konfiguracji sieci (jeśli pula jest skonfigurowana z nazwami stref i aliasami SmartConnect)

Klaster PowerScale OneFS zgłasza następujący alert:

1. Dla każdego dostawcy usługi AD sprawdź istniejące zarejestrowane nazwy SPN pod kątem skonfigurowanych nazw stref i aliasów SmartConnect. Jeśli pula ze skonfigurowaną nazwą strefy SmartConnect została zmodyfikowana (na przykład w celu dodania nowego aliasu), sprawdzenie nazwy SPN u dostawcy usługi AD sprawdzi zaktualizowane informacje.
2. We wcześniejszych wersjach OneFS, jeśli jakikolwiek eksport NFS został skonfigurowany z zabezpieczeniami "krb5", zakłada się, że nazwy SPN NFS są potrzebne dla każdej strefy/aliasu SC. Począwszy od wersji 8.0.0.5/8.0.1.2/8.1.0.1 i nowszych, NFS jest domyślnie uznawany za brakujący (jeśli nie został jeszcze zarejestrowany). Testy zabezpieczeń eksportowych NFS zostały usunięte.
3. Jeśli system plików HDFS jest licencjonowany, OneFS zakłada, że nazwy SPN systemu plików HDFS są potrzebne dla każdej strefy/aliasu SC. Dzieje się tak nawet wtedy, gdy sama usługa nie jest włączona w klastrze.
4. Sprawdzanie nazwy SPN HTTP jest wykonywane automatycznie niezależnie od konfiguracji klastra, ponieważ usługa jest domyślnie włączona. Nie ma specjalnych warunków sprawdzania nazwy SPN HTTP.

Alert jest najbardziej rozpowszechniony, gdy procesy są ładowane i/lub ponownie ładowane, po ponownym uruchomieniu klastra i po utworzeniu dostawcy usługi AD w klastrze.
 

Sam alert ma charakter informacyjny i dotyczy co najmniej jednej domeny usługi AD. Nazwy SPN nie muszą być wymagane z punktu widzenia OneFS, z wyjątkiem samej nazwy klastra, która jest zarejestrowana domyślnie. Domyślne nazwy SPN, takie jak te, nigdy nie powinny być usuwane. Są one raczej wymagane, aby klienci mogli łączyć się z klastrem przy użyciu uwierzytelniania Kerberos za pośrednictwem protokołu SMB, NFS lub HDFS. Protokół Kerberos z protokołem SMB jest objęty nazwą SPN hosta, ponieważ CIFS znajduje się w zakresie nazwy SPN hosta.

Aby uzyskać instrukcje dotyczące zarządzania nazwami SPN z klastra, zapoznaj się z podręcznikami administracyjnymi dla danej wersji OneFS w centrach informacji PowerScale OneFS .

W przeciwnym razie alert może zostać zignorowany, jeśli nazwy SPN zostaną uznane za niepotrzebne, lub można je zarejestrować, aby zapobiec alertowi w przyszłości.