PowerScale: OneFS: Alerta de SPNs necessários de servidor AD para NFS HTTP HDFS

Em determinadas condições, pode ser gerado um alerta para SPNs em falta. As verificações SPN normalmente são executadas após a ocorrência dos seguintes eventos no cluster:

• Cluster ou nó reiniciado
• Os processos e/ou serviços CELOG são repostos
• Verificações periódicas do CELOG através do monitor CELOG
• Adição de um novo provedor do AD
• Alteração na configuração da rede (se o agrupamento estiver configurado com nomes de zona e aliases SmartConnect)

Um cluster PowerScale OneFS reporta o seguinte alerta:

1. Para cada fornecedor do AD, verifique os SPNs registados existentes em relação aos nomes e aliases de zona SmartConnect configurados. Se o pool com um nome de zona SmartConnect configurado tiver sido modificado (por exemplo, incluindo um novo alias), uma verificação do SPN em relação ao provedor do AD verificará as informações atualizadas.
2. Em versões anteriores do OneFS, se qualquer exportação NFS configurada tiver um sabor de segurança 'krb5', presumirá que os SPNs NFS são necessários para cada zona/alias SC. A partir da versão 8.0.0.5/8.0.1.2/8.1.0.1 e posteriores, considera-se que o NFS está em falta por defeito (se ainda não estiver registado). As verificações de sabor de segurança de exportação NFS foram removidas.
3. Se o HDFS for licenciado, o OneFS assumirá que os SPNs do HDFS são necessários para cada zona/alias SC. Isso é verdadeiro mesmo se o serviço em si não estiver habilitado no cluster.
4. As verificações de HTTP SPN são feitas automaticamente, independentemente da configuração do cluster, pois o serviço está habilitado por padrão. Não há condições especiais para uma verificação HTTP SPN.

O alerta é mais prevalente quando os processos são carregados e/ou recarregados, quando o cluster é reiniciado e quando um provedor do AD é criado no cluster.
 

O alerta em si é de natureza consultiva e aplica-se a um ou mais domínios AD. Os SPNs não são necessariamente necessários de uma perspectiva OneFS, exceto para o próprio nome do cluster, que é registrado por padrão. SPNs padrão como esses nunca devem ser removidos. Em vez disso, eles são necessários para que os clientes se conectem ao cluster usando a autenticação Kerberos por meio de SMB, NFS ou HDFS. Kerberos com SMB são cobertos pelo SPN do HOST, pois o CIFS está sob o guarda-chuva do escopo do SPN do HOST.

Consulte os guias de administração para a sua versão do OneFS em PowerScale OneFS Info Hubs para obter instruções sobre como gerir SPNs a partir do cluster.

Caso contrário, o alerta pode ser ignorado se os SPNs forem considerados desnecessários ou se eles podem ser registrados para evitar o alerta no futuro.