PowerScale: OneFS: Namen service-principals voor Kerberos-authenticatie

Introductie
Een Service Principal Name (SPN) is de naam waarmee een client een instantie van een service uniek identificeert. De SPN is uniek, zelfs voor meerdere service-instanties op computers binnen een Active Directory-omgeving. Als clients meerdere namen gebruiken voor verificatiedoeleinden, worden aan een service-instantie meerdere SPN's toegewezen. Dit omvat één unieke SPN voor elke SmartConnect-zonenaam of -alias in DNS. Raadpleeg voor meer informatie het artikelNamen van service-principalenin het Microsoft Developer Network Center.

Kerberos met NFS in een niet-Active Directory-omgeving
OneFS stelt NFS Kerberos niet automatisch in en configureert deze met een niet-Active Directory-verificatieserver (zoals MIT of HEIMDAL). Hiervoor is een andere handmatige configuratie vereist voor de niet-Active Directory-omgeving die in het volgende artikel wordt vermeld. Zie OneFS: Het Isilon cluster configureren voor het gebruik van Kerberos met NFS in een niet-Active Directory-omgeving,KB-artikel 16584.

Kerberos met Active Directory-omgeving
Om verbinding te maken met een cluster op naam zonder een gebruikersnaam en wachtwoord op te geven in een op Active Directory gebaseerde omgeving, moet Kerberos-authenticatie worden gebruikt. 

Bij het benaderen van een cluster met behulp van Kerberos, stelt de client een Kerberos-ticket in bij het cluster op basis van de DNS-naam die de client gebruikt om verbinding te maken. Wanneer u verbinding maakt met een AD-domein, registreert het cluster alle SmartConnect-zonenamen of aliassen als SPN's die zijn geconfigureerd op het clustermachine-account op het domein. Aan extra SmartConnect-zonenamen of aliassen die worden gemaakt nadat het cluster aan het domein is toegevoegd, moeten handmatig SPN's worden toegevoegd. Dit geldt voor zowel de DNS-naam als de korte naam. 

Er moet ook een delegatierecord op de DNS-server zijn voor elke nieuwe SmartConnect-zonenaam of -alias.

SPN's moeten uniek zijn in een Active Directory-forest. Als er dubbele SPN's of machineaccounts bestaan, kunnen er verificatiefouten optreden. Zie OneFS: Dubbele Service Principal Names (SPN's) vinden in Active Directory, https://www.dell.com/dci/fp/session/authorize?client_id=3a4eea6a-4a4e-4f2e-be4a-adc5d51a357a&redirect_uri=https%3A%2F%2Fwww.dell.com%2Fsupport%2Fkbdoc%2Fen-us%2F000032723

Hoewel een cluster wordt toegevoegd aan meerdere AD-domeinen, voegen bestaande SmartConnect-zones op het moment van deelname SPN's toe voor elke AD-provider. Dit kan ertoe leiden dat er dubbele SPN's worden geregistreerd tussen de twee domeinen. Dit veroorzaakt problemen (voor FQDN SPN's) als de twee domeinen een vertrouwensrelatie in twee richtingen delen (Microsoft Trusts) met clients die op een cross-realm manier verbinding maken met het cluster. Een client van DomeinA die toegang heeft tot een toegangszone op het cluster met behulp van DomeinB, gebruikt een onjuist machineaccount om het ticket te versleutelen, wat resulteert in "KRB5KRB_AP_ERR_MODIFIED" -fouten.

Geregistreerde SPN's bekijken:

OneFS 6.5 en eerdere versies:

# isi auth ads spn list

OneFS 7.0 en latere versies:

# isi auth ads spn list --domain=<FullyQualifiedDomainName>

De uitvoer lijkt op het onderstaande voorbeeld:

# isi auth ads spn list --domain=MY.DOMAIN.COM
SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.COM

Symptomen van ontbrekende SPN's

• OneFS maakt een gebeurtenis/waarschuwing als SPN's ontbreken wanneer deze zijn verbonden met Active Directory, vergelijkbaar met de onderstaande (KB 502666):

  Recurring: AD server missing needed SPN(s) HOST/isicluster, HOST/isicluster.isilon.com; try 'isi auth ads spn check'
  
  AD server missing needed SPN(s) HOST/zonecifs.isilon.com, HOST/zonemgmt.isilon.com, HOST/nfs.isilon.com; try 'isi auth ads spn check'

• Verificatie van het cluster door SmartConnect-zonenaam of korte naam mislukt, maar verbinding maken via IP werkt.
• Groot aantal NTLM-verificatieaanvragen bij domeincontrollers.

De ontbrekende SPN vinden:

OneFS 6.0 en eerdere versies:
Geef de SmartConnect-zones op het cluster weer:

# isi networks list pools

Vergelijk vervolgens met de lijst met geregistreerde SPN:

# isi auth ads spn list.

SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.CORP

 
OneFS 6.5-versies: 

# isi auth ads spn check

OneFS 7.x versies:

# isi auth ads spn check --domain=<FQDN>

OneFS 8.x en latere versies:

# isi auth ads spn check --provider-name
or
# isi auth ads spn check <provider-name>

Opmerking: In OneFS kunnen meerdere domeinen en toegangszones worden geconfigureerd. De opdracht moet mogelijk worden uitgevoerd voor elk domein dat deel uitmaakt van het cluster. Het wordt aanbevolen om het domein in hoofdletters te gebruiken, omdat sommige eerdere versies hoofdlettergevoelig zijn. Meerdere toegangszones met vertrouwde domeinen kunnen ook duplicate SPN-problemen veroorzaken. Neem contact op met Support voor hulp bij meerdere toegangszones met vertrouwde domeinen.

Voor het makenof toevoegen van SPN's is een gebruikersaccount met beheerdersrechten voor het domein vereist.

BELANGRIJK!
De gebruiker moet de gebruikersnaam van een AD-beheerder opgeven bij het toevoegen van de SPN's. Als de gebruiker dit niet doet, ontvangt de gebruiker de volgende foutmelding:

LdapError: Failed to modify attribute[19]

Gebruik alleen de gebruikersnaam zelf ongekwalificeerd (geen domeinaanduiding).

Ontbrekende SPN toevoegen met de reparatieoptie in OneFS 6.5 en latere versies:

OneFS 6.5-versies:

# isi auth ads spn check --repair --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn check --repair --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn fix <providername> --user=<admin user of AD>

Opmerking: In OneFS kunnen meerdere domeinen en toegangszones worden geconfigureerd. Het gebruik van de reparatieoptie met meerdere toegangszones en een vertrouwd domein kan leiden tot dubbele SPN's. Het wordt aanbevolen om de SPN te maken met de opdracht

"isi auth ads spn create".Waarschuwing: Sommige klantomgevingen kunnen meerdere clusters omvatten die dezelfde SmartConnect-zonenamen gebruiken. Deze kunnen afhankelijk zijn van failoverautomatisering om SPN's tussen clusters toe te voegen/te verwijderen en DNS te wijzigen voor failover-doeleinden. Het uitvoeren van de fix/repair-opdrachten kan leiden tot verificatieproblemen. Als u dit doet, gebruik het dan met beleid. Isilon raadt aan om in plaats daarvan alleen SPN's toe te voegen die per SPN nodig zijn.


Een enkele SPN toevoegen in OneFS 6.5 en latere versies:

OneFS 6.5-versies:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn create <providername> --spn=<service>/<DNS name> --user=<admin user of AD>

Opmerking: Extra SPN's kunnen indien nodig worden toegevoegd (bijvoorbeeld als CNAME's in gebruik zijn) buiten de lijst "ontbrekende SPN's".

Gerelateerde artikelen:

" Authentication services can fail if the Service Principal Name (SPN) is incorrect or missing," 89649
"OneFS: SPN-accounts maken om Kerberos-authenticatie toe te staan met behulp van SmartConnect DNS-vermeldingen," 16528
"Een SPN-lijst weergeven in een Microsoft Active Directory-omgeving," 16589
"SQL-client kan bestanden van een Isilon-cluster niet in bulk invoegen in een SQL-database," 89574
"Mac OS X single sign-on (SSO) inschakelen naar CIFS-shares met Active Directory in OneFS 5.5.x - 6.5.x, "16675
"Isilon OneFS 7.1.0.0: SMB2-clients cannot connect to the cluster using Kerberos authentication," 174024
"OneFS: Dubbele Service Principal Names (SPN's) vinden in Active Directory', 186215.
" OneFS: Het Isilon-cluster configureren voor het gebruik van Kerberos met NFS in een niet-Active Directory-omgeving, 16584.
OneFS: AD-server ontbreekt benodigde SPN-waarschuwing", 502666