PowerScale:OneFS:NFS HTTP HDFS 的 AD 服务器缺少所需 SPN 警报
Summary: 管理员有时可能会看到警报,指示缺少 NFS、HTTP 或 HDFS 服务的服务主体名称。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
在某些情况下,可能会生成缺少 SPN 的警报。SPN 检查通常在群集上发生以下事件后执行:
- 群集或节点已重新启动
- CELOG 进程和/或服务已重置
- 通过 CELOG 监视器进行定期 CELOG 检查
- 添加新的 AD 提供程序
- 网络配置更改(如果池配置了 SmartConnect 分区名称和别名)
AD server missing needed SPN(s) HOST/sczone.domain.com, HOST/sczone, nfs/sczone.domain.com, nfs/sczone, hdfs/sczone.domain.com, hdfs/sczone; try 'isi auth ads spn check'
Cause
CELOG 警报系统会定期对每个 AD 提供程序运行检查,以验证 SPN 是否已正确注册,并且可能会报告 SPN“缺失”。在启动节点时,也会在启动时发生这种情况。
CELOG 检查使用的逻辑如下:
CELOG 检查使用的逻辑如下:
- 对于每个 AD 提供程序,根据配置的 SmartConnect 分区名称和别名检查现有的已注册 SPN。如果配置了 SmartConnect 分区名称的池已修改(例如,包括新别名),则针对 AD 提供程序的 SPN 检查将检查更新的信息。
- 在较早版本的 OneFS 中,如果 配置的任何 NFS 导出具有“krb5”安全方式,则会假定每个 SC 分区/别名都需要 NFS SPN。自 8.0.0.5/8.0.1.2/8.1.0.1 及更高版本起,默认情况下假定缺少 NFS(如果尚未注册)。已删除 NFS 导出安全风格检查。
- 如果 HDFS 已获得许可,OneFS 会假定每个 SC 分区/别名都需要 HDFS SPN。即使未在群集 上启用服务 本身,也是如此。
- 无论群集配置如何,HTTP SPN 检查都会自动完成,因为该服务在默认情况下处于启用状态。HTTP SPN 检查没有特殊条件。
提醒:CELOG 和
isi auth ads spn check 彼此相互排斥,并使用不同的函数或逻辑来确定缺少的 SPN。例如, isi auth ads spn check 命令不检查基于 NFS、HTTP 或 HDFS 的 SPN。假定缺少没有相应 SPN 的 SC 分区 。
Resolution
警报本身本质上是建议性的,适用于一个或多个 AD 域。从 OneFS 的角度来看,SPN 不是必需的,但默认情况下注册的群集名称本身除外。不应删除此类默认 SPN。为了让客户端通过 SMB、NFS 或 HDFS 使用 Kerberos 身份验证连接到群集,需要它们。带有 SMB 的 Kerberos 包含在 HOST SPN 下,因为 CIFS 在 HOST SPN 范围内。
有关如何从群集管理 SPN 的说明,请参阅 PowerScale OneFS 信息中心 上适用于您的 OneFS 版本的管理指南。
否则,如果认为 SPN 不必要,则可以忽略该警报,或者可以注册它们以防止将来出现警报。
有关如何从群集管理 SPN 的说明,请参阅 PowerScale OneFS 信息中心 上适用于您的 OneFS 版本的管理指南。
否则,如果认为 SPN 不必要,则可以忽略该警报,或者可以注册它们以防止将来出现警报。
Affected Products
PowerScale OneFSProducts
PowerScale OneFSArticle Properties
Article Number: 000167340
Article Type: Solution
Last Modified: 24 May 2024
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.