PowerScale: OneFS: Navne på tjenesteprincipaler til Kerberos-godkendelse

Indførelsen
Et SPN (Service Principal Name) er det navn, hvormed en klient entydigt identificerer en forekomst af en service. SPN er unik, selv for flere tjenesteforekomster på computere i et Active Directory-miljø. Hvis flere navne bruges af klienter til godkendelsesformål, tildeles en tjenesteforekomst flere SPN'er. Dette omfatter ét unikt SPN for hvert SmartConnect-zonenavn eller alias i DNS. Du kan finde flere oplysninger i artiklenTjenesteprincipalnavnei Microsoft Developer Network Center.

Kerberos med NFS i et ikke-Active Directory-miljø
OneFS konfigurerer og konfigurerer ikke automatisk NFS Kerberos med en ikke-Active Directory-godkendelsesserver (f.eks. MIT eller HEIMDAL). Dette kræver en anden manuel konfiguration for det ikke-Active Directory-miljø, der er angivet i følgende artikel. Se OneFS: Sådan konfigureres Isilon-klyngen til at bruge Kerberos med NFS i et ikke-Active Directory-miljø,KB-artikel 16584.

Kerberos med Active Directory-miljø
Hvis du vil oprette forbindelse til en klynge efter navn uden at angive et brugernavn og en adgangskode i et Active Directory-baseret miljø, skal Kerberos-godkendelse bruges. 

Når du åbner en klynge ved hjælp af Kerberos, opretter klienten en Kerberos-billet med klyngen baseret på det DNS-navn, klienten bruger til at oprette forbindelse. Når du tilmelder dig et AD-domæne, registrerer klyngen alle SmartConnect-zonenavne eller -aliasser som SPN'er, der er konfigureret på klyngemaskinkontoen på domænet. Alle yderligere SmartConnect-zonenavne eller -aliasser, der oprettes, efter klyngen sluttes til domænet, skal have SPN'er tilføjet manuelt. Dette gælder både DNS-navnet og det korte navn. 

Der skal også være en delegeringspost på DNS-serveren for hvert nyt SmartConnect-zonenavn eller -alias.

SPN'er skal være entydige på tværs af en Active Directory-skov. Hvis der findes dublerede SPN'er eller maskinkonti, kan der opstå godkendelsesfejl. Se OneFS: Sådan finder du dublerede SPN er (Service Principal Names) i Active Directory, https://www.dell.com/dci/fp/session/authorize?client_id=3a4eea6a-4a4e-4f2e-be4a-adc5d51a357a&redirect_uri=https%3A%2F%2Fwww.dell.com%2Fsupport%2Fkbdoc%2Fen-us%2F000032723

Når en klynge sluttes til flere AD-domæner, tilføjer eksisterende SmartConnect-zoner på tidspunktet for tilslutning SPN er for hver AD-udbyder. Dette kan resultere i dublerede SPN'er, der er registreret mellem de to domæner. Dette medfører problemer (for FQDN SPN'er), hvis de to domæner deler en tovejstillid (Microsoft Trusts) med klienter, der opretter forbindelse til klyngen på tværs af områder. En klient fra DomainA, der får adgang til en adgangszone på klyngen ved hjælp af DomainB, bruger en forkert maskinkonto til at kryptere billetten, hvilket resulterer i "KRB5KRB_AP_ERR_MODIFIED"- fejl.

Sådan får du vist registrerede SPN'er:

OneFS 6.5 og tidligere versioner:

# isi auth ads spn list

OneFS 7.0 og nyere versioner:

# isi auth ads spn list --domain=<FullyQualifiedDomainName>

Outputtet ligner eksemplet nedenfor:

# isi auth ads spn list --domain=MY.DOMAIN.COM
SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.COM

Symptomer på manglende SPN'er

• OneFS opretter en hændelse/advarsel, hvis SPN'er mangler, når der oprettes forbindelse til Active Directory, svarende til dem nedenfor (KB 502666):

  Recurring: AD server missing needed SPN(s) HOST/isicluster, HOST/isicluster.isilon.com; try 'isi auth ads spn check'
  
  AD server missing needed SPN(s) HOST/zonecifs.isilon.com, HOST/zonemgmt.isilon.com, HOST/nfs.isilon.com; try 'isi auth ads spn check'

• Godkendelse til klyngen ved hjælp af SmartConnect-zonenavn eller kort navn mislykkes, men tilslutning ved hjælp af IP fungerer.
• Høj mængde NTLM-godkendelsesanmodninger til domænecontrollere.

Sådan finder du det manglende SPN:

OneFS 6.0 og tidligere versioner:
Angiv SmartConnect-zoner på klyngen:

# isi networks list pools

Sammenlign derefter med listen over registreret SPN:

# isi auth ads spn list.

SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.CORP

 
OneFS 6.5-versioner: 

# isi auth ads spn check

OneFS 7.x-versioner:

# isi auth ads spn check --domain=<FQDN>

OneFS 8.x og nyere versioner:

# isi auth ads spn check --provider-name
or
# isi auth ads spn check <provider-name>

Bemærk: I OneFS kan flere domæner og adgangszoner konfigureres. Det kan være nødvendigt at køre kommandoen for hvert domæne, der er tilsluttet klyngen. Det anbefales, at domænet skrives med store bogstaver, da der i nogle tidligere versioner skelnes mellem store og små bogstaver. Flere adgangszoner med domæner, der er tillid til, kan også forårsage problemer med dobbelt SPN. Kontakt support for at få hjælp til flere adgangszoner med domæner, der er tillid til.

Oprettelseeller tilføjelse af SPN'er kræver en brugerkonto med administrative rettigheder til domænet.

VIGTIG!
Brugeren skal angive et AD-administratorbrugernavn, når SPN'erne tilføjes. Hvis brugeren ikke gør dette, modtager brugeren følgende fejl:

LdapError: Failed to modify attribute[19]

Brug kun selve brugernavnet ukvalificeret (ingen domænebetegnelse).

Sådan tilføjes manglende SPN ved hjælp af reparationsindstillingen i OneFS 6.5 og nyere versioner:

OneFS 6.5-versioner:

# isi auth ads spn check --repair --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn check --repair --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn fix <providername> --user=<admin user of AD>

Bemærk: I OneFS kan flere domæner og adgangszoner konfigureres. Hvis du bruger reparationsindstillingen med flere adgangszoner og et domæne, der er tillid til, kan det medføre dublerede SPN'er. Det anbefales, at SPN oprettes ved hjælp af kommandoen "isi auth ads spn create".

Advarsel: Nogle kundemiljøer kan omfatte flere klynger, der bruger de samme SmartConnect-zonenavne. Disse kan være afhængige af failover-automatisering for at tilføje/fjerne SPN'er mellem klynger og ændre DNS til failover-formål. Kørsel af reparations-/reparationskommandoerne kan medføre godkendelsesproblemer, hvis det gøres med forsigtighed. Isilon anbefaler i stedet kun at tilføje SPN'er, der er nødvendige pr. SPN.


Sådan tilføjes et enkelt SPN i OneFS 6.5 og nyere versioner:

OneFS 6.5-versioner:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn create <providername> --spn=<service>/<DNS name> --user=<admin user of AD>

Bemærk: Yderligere SPN'er kan tilføjes efter behov (f.eks. hvis CNAME'er er i brug) ud over listen "manglende SPN'er".

Relaterede artikler:

" Godkendelsestjenester kan mislykkes, hvis SPN (Service Principal Name) er forkert eller mangler," 89649
"OneFS: Sådan opretter du SPN-konti for at tillade Kerberos-godkendelse ved hjælp af SmartConnect DNS-poster," 16528
"Sådan får du vist en SPN-liste i et Microsoft Active Directory-miljø," 16589
"SQL-klient kan ikke "Masseindsætte" filer fra en Isilon-klynge til en SQL-database," 89574
"Sådan aktiveres Mac OS X Single Sign-On (SSO) til Active Directory-aktiverede CIFS-aktier i OneFS 5.5.x - 6.5.x, "16675
"Isilon OneFS 7.1.0.0: SMB2-klienter kan ikke oprette forbindelse til klyngen ved hjælp af Kerberos-godkendelse," 174024
"OneFS: How to find duplicate Service Principal Names (SPNs) i Active Directory," 186215.
" OneFS: Sådan konfigureres Isilon-klyngen til at bruge Kerberos med NFS i et ikke-Active Directory-miljø," 16584."
OneFS: AD-server mangler nødvendige SPN'er advarsel," 502666