PowerScale: OneFS: Nombres principales de servicio para la autenticación Kerberos

Introducción
Un nombre principal de servicio (SPN) es el nombre con el cual un cliente identifica de manera única una instancia de un servicio. El SPN es único, incluso para varias instancias de servicio en equipos dentro de un entorno de Active Directory. Si los clientes usan varios nombres con fines de autenticación, a una instancia de servicio se le asignan varios SPN. Esto incluye un SPN único para cada nombre de zona o alias de SmartConnect en DNS. Para obtener más información, consulte el artículoNombres de entidad de seguridad de servicioen Microsoft Developer Network Center.

Kerberos con NFS en un entorno que no es de Active Directory
OneFS no instala ni configura automáticamente Kerberos NFS con un servidor de autenticación que no sea de Active Directory (como MIT o HEIMDAL). Esto requiere una configuración manual diferente para el entorno que no es de Active Directory, como se indica en el siguiente artículo. Consulte OneFS: Cómo configurar el clúster de Isilon para usar Kerberos con NFS en un entorno que no es de Active Directory,artículo de la base de conocimientos 16584.

Kerberos con entorno
de Active DirectoryPara conectarse a un clúster por nombre sin proporcionar un nombre de usuario y una contraseña en un entorno basado en Active Directory, se debe utilizar la autenticación Kerberos. 

Cuando se accede a un clúster mediante Kerberos, el cliente establece un vale de Kerberos con el clúster según el nombre DNS que utiliza para conectarse. Cuando se une a un dominio de AD, el clúster registra los nombres o alias de zona de SmartConnect como SPN configurados en la cuenta de la máquina del clúster en el dominio. Los alias o nombres de zona de SmartConnect adicionales creados después de unir el clúster al dominio deben tener SPN agregados manualmente. Esto es válido tanto para el nombre DNS como para el nombre corto. 

También debe haber un registro de delegación en el servidor DNS para cada nuevo nombre de zona o alias de SmartConnect.

Los SPN deben ser únicos en un bosque de Active Directory. Si existen SPN o cuentas de máquina duplicados, pueden producirse errores de autenticación. Consulte OneFS: Cómo encontrar nombres principales de servicio (SPN) duplicados en Active Directory, https://www.dell.com/dci/fp/session/authorize?client_id=3a4eea6a-4a4e-4f2e-be4a-adc5d51a357a&redirect_uri=https%3A%2F%2Fwww.dell.com%2Fsupport%2Fkbdoc%2Fen-us%2F000032723

Al unir un clúster a varios dominios de AD, las zonas de SmartConnect existentes en el momento de la unión agregan SPN para cada proveedor de AD. Esto puede dar lugar a SPN duplicados registrados entre los dos dominios. Esto causa problemas (para los SPN de FQDN) si los dos dominios comparten una confianza bidireccional (confianzas de Microsoft) con los clientes que se conectan al clúster entre dominios. Un cliente del dominio A que accede a una zona de acceso en el clúster mediante el dominio B utiliza una cuenta de máquina incorrecta para cifrar el ticket, lo que genera errores de "KRB5KRB_AP_ERR_MODIFIED ".

Para ver los SPN registrados:

OneFS 6.5 y versiones anteriores:

# isi auth ads spn list

OneFS 7.0 y versiones posteriores:

# isi auth ads spn list --domain=<FullyQualifiedDomainName>

El resultado es similar al siguiente ejemplo:

# isi auth ads spn list --domain=MY.DOMAIN.COM
SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.COM

Síntomas de la falta de SPN

• OneFS crea un evento o una alerta si faltan SPN cuando se conecta a Active Directory, similar a los siguientes (KB 502666):

  Recurring: AD server missing needed SPN(s) HOST/isicluster, HOST/isicluster.isilon.com; try 'isi auth ads spn check'
  
  AD server missing needed SPN(s) HOST/zonecifs.isilon.com, HOST/zonemgmt.isilon.com, HOST/nfs.isilon.com; try 'isi auth ads spn check'

• La autenticación en el clúster mediante el nombre de zona o el nombre corto de SmartConnect falla, pero la conexión mediante IP funciona.
• Gran cantidad de solicitudes de autenticación NTLM a controladoras de dominio.

Para encontrar el SPN faltante:

OneFS 6.0 y versiones anteriores:
Enumere las zonas de SmartConnect en el clúster:

# isi networks list pools

A continuación, compárelo con la lista de SPN registrados:

# isi auth ads spn list.

SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.CORP

 
Versiones de OneFS 6.5: 

# isi auth ads spn check

Versiones de OneFS 7.x:

# isi auth ads spn check --domain=<FQDN>

OneFS 8.x y versiones posteriores:

# isi auth ads spn check --provider-name
or
# isi auth ads spn check <provider-name>

Nota: En OneFS, se pueden configurar varios dominios y zonas de acceso. Es posible que se deba ejecutar el comando para cada dominio unido al clúster. Se recomienda que el dominio esté en mayúsculas, ya que algunas versiones anteriores distinguen mayúsculas de minúsculas. Varias zonas de acceso con dominios de confianza también pueden causar problemas de SPN duplicados. Póngase en contacto con el servicio de soporte para obtener ayuda con varias zonas de acceso con dominios de confianza.

La creacióno adición de SPN requiere una cuenta de usuario con derechos administrativos en el dominio.

¡IMPORTANTE!
El usuario debe especificar un nombre de usuario de administrador de AD cuando agregue los SPN. Si el usuario no lo hace, recibe el siguiente error:

LdapError: Failed to modify attribute[19]

Utilice solo el nombre de usuario en sí no calificado (sin designación de dominio).

Para agregar el SPN faltante mediante la opción de reparación en OneFS 6.5 y versiones posteriores:

Versiones de OneFS 6.5:

# isi auth ads spn check --repair --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn check --repair --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn fix <providername> --user=<admin user of AD>

Nota: En OneFS, se pueden configurar varios dominios y zonas de acceso. El uso de la opción de reparación con varias zonas de acceso y dominio de confianza puede provocar SPN duplicados. Se recomienda crear el SPN mediante el comando "isi auth ads spn create".

Advertencia: Algunos entornos de clientes pueden implicar varios clústeres que utilizan los mismos nombres de zona de SmartConnect. Estos pueden depender de la automatización de la conmutación por error para agregar o quitar SPN entre clústeres y modificar el DNS con fines de conmutación por error. La ejecución de los comandos de corrección/reparación puede presentar problemas de autenticación; si se hace, utilícelo con discreción. Isilon recomienda solo agregar los SPN que sean necesarios por SPN.


Para agregar un SPN único en OneFS 6.5 y versiones posteriores:

Versiones de OneFS 6.5:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn create <providername> --spn=<service>/<DNS name> --user=<admin user of AD>

Nota: Se pueden agregar SPN adicionales si es necesario (por ejemplo, si los CNAME están en uso) más allá de la lista de "SPN faltantes".

Artículos relacionados:

" Los servicios de autenticación pueden fallar si el nombre principal de servicio (SPN) es incorrecto o no se encuentra", 89649
"OneFS: Cómo crear cuentas SPN para permitir la autenticación Kerberos mediante entradas DNS de SmartConnect", 16528
"Cómo ver una lista de SPN en un entorno de Microsoft Active Directory", 16589
"El cliente de SQL no puede realizar una "inserción masiva" de archivos desde un clúster Isilon a una base de datos SQL", 89574
"Cómo habilitar el inicio de sesión único (SSO) de Mac OS X en recursos compartidos CIFS habilitados para Active Directory en OneFS 5.5.x - 6.5.x, 16675
Isilon OneFS 7.1.0.0: Los clientes SMB2 no pueden conectarse al clúster mediante la autenticación Kerberos", 174024
"OneFS: Cómo encontrar nombres principales de servicio (SPN) duplicados en Active Directory", 186215.
OneFS: Cómo configurar el clúster de Isilon para usar Kerberos con NFS en un entorno que no es de Active Directory", 16584.
OneFS: Alerta de falta de SPN necesarios para el servidor AD", 502666