PowerScale : OneFS : Noms principaux de service pour l’authentification Kerberos

Introduction
Un nom principal de service (SPN) est le nom par lequel un client identifie de manière unique une instance d’un service. Le SPN est unique, même pour plusieurs instances de service sur des ordinateurs au sein d’un environnement Active Directory. Si plusieurs noms sont utilisés par les clients à des fins d’authentification, une instance de service se voit attribuer plusieurs SPN. Cela comprend un SPN unique pour chaque nom de zone SmartConnect ou alias dans le DNS. Pour plus d’informations, reportez-vous à l’articleNoms principaux de servicedans Microsoft Developer Network Center.

Kerberos avec NFS dans un environnement
non Active DirectoryOneFS n’installe pas et ne configure pas automatiquement NFS Kerberos avec un serveur d’authentification non Active Directory (tel que MIT ou HEIMDAL). Cela nécessite une configuration manuelle différente pour l’environnement non-Active Directory répertorié dans l’article suivant. Voir OneFS : Configuration du cluster Isilon pour utiliser Kerberos avec NFS dans un environnement non Active Directory dansl’article de la base de connaissances 16584.

Kerberos avec environnement
Active DirectoryPour pouvoir vous connecter à un cluster par son nom sans fournir de nom d’utilisateur ni de mot de passe dans un environnement basé sur Active Directory, vous devez utiliser l’authentification Kerberos. 

Lors de l’accès à un cluster à l’aide de Kerberos, le client établit un ticket Kerberos avec le cluster en fonction du nom DNS qu’il utilise pour se connecter. Lors de la jonction d’un domaine AD, le cluster enregistre tous les noms de zone ou alias SmartConnect en tant que SPN configurés sur le compte de machine du cluster sur le domaine. Tous les noms de zone SmartConnect ou alias supplémentaires créés après la jonction du cluster au domaine doivent faire l’objet d’une ajout manuel. Cela est vrai pour le nom DNS et le nom abrégé. 

Il doit également y avoir un enregistrement de délégation sur le serveur DNS pour chaque nouveau nom de zone SmartConnect ou alias.

Les SPN doivent être uniques au sein d’une forêt Active Directory. S’il existe des SPN ou des comptes de machine en double, des échecs d’authentification peuvent se produire. Voir OneFS : Recherche des noms principaux de service (SPN) en double dans Active Directory, https://www.dell.com/dci/fp/session/authorize?client_id=3a4eea6a-4a4e-4f2e-be4a-adc5d51a357a&redirect_uri=https%3A%2F%2Fwww.dell.com%2Fsupport%2Fkbdoc%2Fen-us%2F000032723

Lors de la jonction d’un cluster à plusieurs domaines AD, les zones SmartConnect existantes au moment de la jonction ajoutent des SPN pour chaque fournisseur AD. Cela peut entraîner l’enregistrement de SPN en double entre les deux domaines. Cela pose des problèmes (pour les SPN FQDN) si les deux domaines partagent une relation de confiance bidirectionnelle (approbations Microsoft) avec les clients qui se connectent au cluster de manière inter-domaines. Un client du domaine A accédant à une zone d’accès sur le cluster à l’aide du domaine B utilise un compte d’ordinateur incorrect pour chiffrer le ticket, ce qui entraîne des erreurs « KRB5KRB_AP_ERR_MODIFIED ».

Pour afficher les SPN enregistrés :

OneFS 6.5 et versions antérieures :

# isi auth ads spn list

OneFS 7.0 et versions supérieures :

# isi auth ads spn list --domain=<FullyQualifiedDomainName>

Le résultat est semblable à l’exemple ci-dessous :

# isi auth ads spn list --domain=MY.DOMAIN.COM
SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.COM

Symptômes des SPN manquants

• OneFS crée un événement/une alerte si des SPN sont manquants lors de la connexion à Active Directory similaire à ceux ci-dessous (502666 de la base de connaissances) :

  Recurring: AD server missing needed SPN(s) HOST/isicluster, HOST/isicluster.isilon.com; try 'isi auth ads spn check'
  
  AD server missing needed SPN(s) HOST/zonecifs.isilon.com, HOST/zonemgmt.isilon.com, HOST/nfs.isilon.com; try 'isi auth ads spn check'

• L’authentification sur le cluster par nom de zone SmartConnect ou nom abrégé échoue, mais la connexion à l’aide d’une adresse IP fonctionne.
• Grand nombre de demandes d’authentification NTLM adressées aux contrôleurs de domaine.

Pour trouver le SPN manquant :

OneFS 6.0 et versions antérieures :
Répertoriez les zones SmartConnect sur le cluster :

# isi networks list pools

Comparez ensuite à la liste des SPN enregistrés :

# isi auth ads spn list.

SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.CORP

 
Versions de OneFS 6.5 : 

# isi auth ads spn check

Versions OneFS 7.x :

# isi auth ads spn check --domain=<FQDN>

OneFS 8.x et versions supérieures :

# isi auth ads spn check --provider-name
or
# isi auth ads spn check <provider-name>

Remarque : OneFS permet de configurer plusieurs domaines et zones d’accès. Vous devrez peut-être exécuter la commande pour chaque domaine joint au cluster. Il est recommandé d’utiliser le domaine en lettres majuscules, car certaines versions antérieures sont sensibles à la casse. Plusieurs zones d’accès avec des domaines de confiance peuvent également provoquer des problèmes de SPN en double. Contactez le support pour obtenir de l’aide avec plusieurs zones d’accès avec des domaines approuvés.

La créationou l’ajout de SPN nécessite un compte d’utilisateur disposant de droits d’administration sur le domaine.

IMPORTANT!
L’utilisateur doit spécifier un nom d’utilisateur administrateur AD lors de l’ajout des SPN. Si l’utilisateur ne parvient pas à le faire, il reçoit l’erreur suivante :

LdapError: Failed to modify attribute[19]

Utilisez uniquement le nom d’utilisateur lui-même sans qualification (pas de désignation de domaine).

Pour ajouter un SPN manquant à l’aide de l’option de réparation dans OneFS 6.5 et versions supérieures :

Versions OneFS 6.5 :

# isi auth ads spn check --repair --user=<domainadmin>

OneFS 7.x :

# isi auth ads spn check --repair --user=<domainadmin> --domain=<FQDN>

OneFS 8.x :

# isi auth ads spn fix <providername> --user=<admin user of AD>

Remarque : OneFS permet de configurer plusieurs domaines et zones d’accès. L’utilisation de l’option de réparation avec plusieurs zones d’accès et domaines de confiance peut entraîner la duplication de SPN. Il est recommandé de créer le SPN à l’aide de la commande « isi auth ads spn create ».

Avertissement : Certains environnements clients peuvent impliquer plusieurs clusters utilisant les mêmes noms de zone SmartConnect. Celles-ci peuvent s’appuyer sur l’automatisation du basculement pour ajouter/supprimer des SPN entre les clusters, et sur la modification du DNS à des fins de basculement. L’exécution des commandes de réparation/réparation peut introduire des problèmes d’authentification si elle est effectuée avec discernement. Isilon recommande d’ajouter uniquement les SPN nécessaires par SPN.


Pour ajouter un seul SPN dans OneFS 6.5 et versions supérieures :

OneFS versions 6.5 :

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin>

OneFS 7.x :

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin> --domain=<FQDN>

OneFS 8.x :

# isi auth ads spn create <providername> --spn=<service>/<DNS name> --user=<admin user of AD>

Remarque : Des SPN supplémentaires peuvent être ajoutés si nécessaire (par exemple, si des CNAME sont en cours d’utilisation) au-delà de la liste des « SPN manquants ».

Articles connexes :

" Les services d’authentification peuvent échouer si le nom principal de service (SPN) est incorrect ou manquant », 89649
"OneFS : Comment créer des comptes SPN pour permettre l’authentification Kerberos à l’aide des entrées DNS SmartConnect », 16528
« Affichage d’une liste de SPN dans un environnement Microsoft Active Directory », 16589
« Le client SQL ne peut pas insérer en bloc des fichiers d’un cluster Isilon dans une base de données SQL », 89574
« Activation de l’authentification unique (SSO) Mac OS X sur les partages CIFS activés pour Active Directory dans OneFS 5.5.x - 6.5.x «16675
"Isilon OneFS 7.1.0.0 : Les clients SMB2 ne peuvent pas se connecter au cluster à l’aide de l’authentification Kerberos », 174024
« OneFS : Comment trouver les noms principaux de service (SPN) en double dans Active Directory », 186215 .
OneFS : Comment configurer le cluster Isilon pour utiliser Kerberos avec NFS dans un environnement non Active Directory », 16584.
OneFS : AD server missing needed SPNs alert », 502666