PowerScale: OneFS: Como criar contas SPN para permitir a autenticação Kerberos usando entradas DNS do SmartConnect
Summary: Artigo sobre como criar contas SPN para permitir a autenticação Kerberos usando entradas DNS do SmartConnect.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Introdução
Para se conectar a um cluster pelo nome sem fornecer um nome de usuário e senha em um ambiente baseado no Active Directory, a autenticação Kerberos deve ser usada.
Ao acessar um cluster usando a autenticação Kerberos, o client estabelece um tíquete Kerberos com o cluster. Isso se baseia no nome DNS que o cliente está usando para se conectar. Por padrão, o cluster só registra o nome do cluster para tíquetes Kerberos válidos. Isso pode fazer com que o tíquete do Kerberos seja recusado ao usar entradas DNS baseadas no SmartConnect para conexão. Isso também pode forçar o usuário a digitar novamente o nome de usuário e a senha para acessar o cluster.
Procedimento
Para dar suporte a vários tíquetes Kerberos, você deve registrar contas SPN (nome do principal do serviço) adicionais para o computador do cluster no domínio do Active Directory. Você pode fazer isso usando o comando isi auth . Essa operação não é executada automaticamente, pois requer uma conta de administrador no domínio do Active Directory.
Para cada nome DNS, duas entradas de SPN devem ser criadas.
Para registrar contas SPN:
- Execute o seguinte comando na linha de comando para listar as zonas do SmartConnect configuradas no cluster:
isi networks list pools - Execute o seguinte comando para listar os nomes SPN registrados, substituindo <o domínio> DNS pelo nome de domínio completo do domínio DNS:
isi auth ads spn list --domain=<DNS domain> - Compare a lista de zonas do SmartConnect com a lista de nomes de SPN para determinar quais contas SPN devem ser registradas.
Por exemplo, se você tiver uma zona do SmartConnect chamada dnsnl.domain.local, verifique a lista SPN para ver se há entradas para esse nome DNS. Deve haver duas entradas para cada conta SPN registrada no domínio do Active Directory
- Se as entradas necessárias da conta SPN não existirem, execute os seguintes comandos para adicioná-las, em <que Administrador> é uma conta de usuário que tem direitos administrativos para o domínio, <cluster.domain.local> é o nome DNS usado para se conectar ao cluster e <nome de domínio> é o servidor de nome de domínio totalmente qualificado:
isi auth ads spn create --user=<Administrator> --spn=cifs/<cluster.domain.local> --domain=<domain name> isi auth ads spn create --user=<Administrator> --spn=host/<cluster.domain.local> --domain=<domain name>IMPORTANTE!
Você deve especificar um nome de usuário de administrador do AD ao adicionar os SPNs. Se você não fizer isso, receberá o seguinte erro:LdapError: Falha ao modificar atributo[19]
Depois de executar o comando, você será solicitado a digitar a senha de administrador.
- Execute o seguinte comando para confirmar se as contas SPN que você criou agora estão listadas:
isi auth ads spn list --domain=<DNS domain>
Additional Information
Informações adicionais
Você também pode remover contas SPN existentes usando o comando isi auth .
Para remover contas SPN, execute os seguintes comandos, substituindo Administrador> por< uma conta de usuário que tenha direitos administrativos para o domínio e substituindo <cluster.domain.local> pelo nome DNS com o nome que você deseja remover:
isi auth ads spn delete --user=<Administrator> --spn=cifs/<cluster.domain.local>
isi auth ads spn delete --user=<Administrator> --spn=host/<cluster.domain.local>
Affected Products
IsilonProducts
Isilon, PowerScale OneFSArticle Properties
Article Number: 000022042
Article Type: How To
Last Modified: 28 Nov 2025
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.