PowerScale: OneFS: SmartConnect DNS girişlerini kullanarak Kerberos kimlik doğrulamasına izin vermek için SPN hesapları oluşturma

Summary: SmartConnect DNS girişlerini kullanarak Kerberos kimlik doğrulamasına izin vermek için SPN hesaplarının nasıl oluşturulacağıyla ilgili makale.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Giriş

Active Directory tabanlı bir ortamda kullanıcı adı ve parola girmeden bir kümeye adıyla bağlanmak için Kerberos kimlik doğrulaması kullanılmalıdır. 

Kerberos kimlik doğrulaması kullanılarak bir kümeye erişilirken istemci, kümeyle bir Kerberos bileti oluşturur. Bu, istemcinin bağlanmak için kullandığı DNS adını temel alır. Varsayılan olarak, küme yalnızca geçerli Kerberos anahtarları için küme adını kaydeder. Bu, bağlanmak için SmartConnect tabanlı DNS girişleri kullanılırken Kerberos anahtarının reddedilmesine neden olabilir. Ayrıca kullanıcıyı kümeye erişmek için kullanıcı adını ve parolasını yeniden girmeye zorlayabilir.




 

İşlemler

Birden fazla Kerberos anahtarını desteklemek için Active Directory Etki Alanı'ndaki küme bilgisayarı için ek SPN (hizmet asıl adı) hesapları kaydetmeniz gerekir. Bunu isi auth komutunu kullanarak yapabilirsiniz. Bu işlem, Active Directory Etki Alanında bir yönetici hesabı gerektirdiği için otomatik olarak gerçekleştirilmez.

Her DNS adı için iki SPN girişi oluşturulmalıdır.

SPN hesaplarını kaydetmek için:

  1. Kümede yapılandırılan SmartConnect Bölgelerini listelemek için komut satırından aşağıdaki komutu çalıştırın: 
    isi networks list pools
  2. Kayıtlı SPN adlarını listelemek için aşağıdaki komutu çalıştırın ve DNS etki alanını DNS etki alanının> tam nitelikli etki alanı adıyla değiştirin<: 
    isi auth ads spn list --domain=<DNS domain>
  3. Hangi SPN hesaplarının kaydedilmesi gerektiğini belirlemek için SmartConnect Bölgeleri listesini SPN adları listesiyle karşılaştırın.
     

    Örneğin, dnsnl.domain.local adlı bir SmartConnect Bölgeniz varsa bu DNS adı için girişler olup olmadığını görmek üzere SPN listesini kontrol edin. Active Directory Etki Alanında kayıtlı her SPN hesabı için iki giriş olmalıdır

  4. Gerekli SPN hesabı girişleri yoksa bunları eklemek için aşağıdaki komutları çalıştırın. Burada Administrator>, etki alanı üzerinde yönetici haklarına sahip bir kullanıcı hesabıdır; cluster.domain.local<>,< kümeye bağlanmak için kullanılan DNS adıdır ve <etki alanı adı>, tam etki alanı adı sunucusudur: 
    isi auth ads spn create --user=<Administrator> --spn=cifs/<cluster.domain.local> --domain=<domain name>
isi auth ads spn create --user=<Administrator> --spn=host/<cluster.domain.local> --domain=<domain name>

     

    ÖNEMLİ!
    SPN'leri eklerken bir AD yönetici kullanıcı adı belirtmeniz gerekir. Bunu başaramazsanız aşağıdaki hata mesajını alırsınız:

    LdapError: Öznitelik değiştirilemedi[19]

    Komutu çalıştırdıktan sonra yönetici parolasını girmeniz istenir.

  5. Oluşturduğunuz SPN hesaplarının artık listelendiğini onaylamak için aşağıdaki komutu çalıştırın: 
    isi auth ads spn list --domain=<DNS domain>

Additional Information

Ek bilgiler

isi auth komutunu kullanarak mevcut SPN hesaplarını da kaldırabilirsiniz.

SPN hesaplarını kaldırmak için aşağıdaki komutları çalıştırın: Administrator> değerini etki alanı üzerinde yönetici haklarına sahip bir kullanıcı hesabıyla ve<<cluster.domain.local> yerine kaldırmak istediğiniz adın DNS adını yazın:

isi auth ads spn delete --user=<Administrator> --spn=cifs/<cluster.domain.local>
isi auth ads spn delete --user=<Administrator> --spn=host/<cluster.domain.local>

 

Affected Products

Isilon

Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000022042
Article Type: How To
Last Modified: 28 Nov 2025
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.