PowerScale: OneFS: Główne nazwy usługi dla uwierzytelniania Kerberos

Wprowadzenie
Główna nazwa usługi (SPN) to nazwa, za pomocą której klient jednoznacznie identyfikuje wystąpienie usługi. Nazwa SPN jest unikatowa, nawet w przypadku wielu wystąpień usługi na komputerach w środowisku usługi Active Directory. Jeśli klienci używają wielu nazw do celów uwierzytelniania, wystąpienie usługi ma przypisanych wiele nazw SPN. Obejmuje to jedną unikatową nazwę SPN dla każdej nazwy strefy SmartConnect lub aliasu w systemie DNS. Aby uzyskać więcej informacji, zobacz artykułGłówne nazwy usługw Centrum Microsoft Developer Network.

Kerberos z NFS w środowisku innym niż Active Directory
OneFS nie konfiguruje automatycznie protokołu Kerberos NFS z serwerem uwierzytelniania innym niż Active Directory (takim jak MIT lub HEIMDAL). Wymaga to innej ręcznej konfiguracji dla środowiska innego niż Active Directory wymienionego w następnym artykule. Zobacz OneFS: Jak skonfigurować klaster Isilon do używania protokołu Kerberos z NFS w środowisku innym niż Active Directory,artykuł 16584 bazy wiedzy.

Kerberos ze środowiskiem Active Directory
Aby połączyć się z klastrem według nazwy bez podawania nazwy użytkownika i hasła w środowisku opartym na usłudze Active Directory, należy użyć uwierzytelniania Kerberos. 

Podczas uzyskiwania dostępu do klastra przy użyciu protokołu Kerberos klient ustanawia bilet Kerberos z klastrem na podstawie nazwy DNS używanej przez klienta do nawiązywania połączenia. Podczas dołączania do domeny usługi AD klaster rejestruje wszystkie nazwy stref lub aliasy SmartConnect jako nazwy SPN skonfigurowane na koncie komputera klastrowego w domenie. Nazwy stref lub aliasy SmartConnect utworzone po przyłączeniu klastra do domeny muszą mieć ręcznie dodane nazwy SPN. Dotyczy to zarówno nazwy DNS, jak i nazwy krótkiej. 

Na serwerze DNS musi również istnieć rekord delegowania dla każdej nowej nazwy lub aliasu strefy SmartConnect.

Nazwy SPN muszą być unikatowe w lesie usługi Active Directory. Jeśli istnieją zduplikowane nazwy SPN lub konta maszyn, mogą wystąpić błędy uwierzytelniania. Zobacz OneFS: Jak znaleźć zduplikowane nazwy główne usługi (SPN) w usłudze Active Directory, https://www.dell.com/dci/fp/session/authorize?client_id=3a4eea6a-4a4e-4f2e-be4a-adc5d51a357a&redirect_uri=https%3A%2F%2Fwww.dell.com%2Fsupport%2Fkbdoc%2Fen-us%2F000032723

Podczas przyłączania klastra do wielu domen usługi AD istniejące strefy SmartConnect w momencie dołączania dodają nazwy SPN dla każdego dostawcy usługi AD. Może to spowodować zduplikowanie nazw SPN zarejestrowanych między dwiema domenami. Powoduje to problemy (w przypadku nazw SPN nazwy FQDN), jeśli dwie domeny współużytkują dwukierunkowe zaufanie (relacje zaufania firmy Microsoft) z klientami łączącymi się z klastrem w sposób obejmujący wiele obszarów. Klient z domeny A uzyskujący dostęp do strefy dostępu w klastrze przy użyciu domeny B używa nieprawidłowego konta komputera do szyfrowania biletu, co powoduje błędy "KRB5KRB_AP_ERR_MODIFIED ".

Aby wyświetlić zarejestrowane nazwy SPN:

OneFS 6.5 i starsze wersje:

# isi auth ads spn list

OneFS 7.0 i nowsze wersje:

# isi auth ads spn list --domain=<FullyQualifiedDomainName>

Dane wyjściowe wyglądają podobnie do poniższego przykładu:

# isi auth ads spn list --domain=MY.DOMAIN.COM
SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.COM

Objawy braku nazw SPN

• OneFS tworzy zdarzenie/alert, jeśli brakuje nazw SPN po nawiązaniu połączenia z usługą Active Directory, podobnie jak w poniższych przypadkach (502666 bazy wiedzy):

  Recurring: AD server missing needed SPN(s) HOST/isicluster, HOST/isicluster.isilon.com; try 'isi auth ads spn check'
  
  AD server missing needed SPN(s) HOST/zonecifs.isilon.com, HOST/zonemgmt.isilon.com, HOST/nfs.isilon.com; try 'isi auth ads spn check'

• Uwierzytelnianie w klastrze przez nazwę strefy SmartConnect lub krótką nazwę kończy się niepowodzeniem, ale połączenie przy użyciu adresu IP działa.
• Duża liczba żądań uwierzytelnienia NTLM wysyłanych do kontrolerów domeny.

Aby znaleźć brakującą nazwę SPN:

OneFS 6.0 i starsze wersje:
Wyświetlanie listy stref SmartConnect w klastrze:

# isi networks list pools

Następnie porównaj z listą zarejestrowanych nazw SPN:

# isi auth ads spn list.

SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.CORP

 
Wersje OneFS 6.5: 

# isi auth ads spn check

Wersje OneFS 7.x:

# isi auth ads spn check --domain=<FQDN>

OneFS 8.x i nowsze wersje:

# isi auth ads spn check --provider-name
or
# isi auth ads spn check <provider-name>

Uwaga: W OneFS można skonfigurować wiele domen i stref dostępu. Może być konieczne uruchomienie polecenia dla każdej domeny przyłączonej do klastra. Zaleca się, aby domena była pisana wielkimi literami, ponieważ w niektórych wcześniejszych wersjach rozróżniana jest wielkość liter. Wiele stref dostępu z zaufanymi domenami może również powodować problemy ze zduplikowaną nazwą SPN. Skontaktuj się z pomocą techniczną, aby uzyskać pomoc dotyczącą wielu stref dostępu z zaufanymi domenami.

Tworzenielub dodawanie nazw SPN wymaga konta użytkownika z uprawnieniami administratora do domeny.

WAŻNY!
Użytkownik musi określić nazwę użytkownika administratora usługi AD podczas dodawania nazw SPN. Jeśli użytkownik tego nie zrobi, otrzyma następujący błąd:

LdapError: Failed to modify attribute[19]

Używaj tylko samej nazwy użytkownika niekwalifikowanej (bez oznaczenia domeny).

Aby dodać brakującą nazwę SPN za pomocą opcji naprawy w OneFS 6.5 i nowszych wersjach:

OneFS 6.5 wersje:

# isi auth ads spn check --repair --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn check --repair --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn fix <providername> --user=<admin user of AD>

Uwaga: W OneFS można skonfigurować wiele domen i stref dostępu. Użycie opcji naprawy z wieloma strefami dostępu i zaufaną domeną może spowodować zduplikowanie nazw SPN. Zaleca się utworzenie nazwy SPN przy użyciu polecenia "isi auth ads spn create ".

Ostrzeżenie: Niektóre środowiska klienta mogą obejmować wiele klastrów używających tych samych nazw stref SmartConnect. Mogą one polegać na automatyzacji trybu failover w celu dodawania/usuwania nazw SPN między klastrami i zmieniania DNS na potrzeby pracy awaryjnej. Uruchomienie poleceń naprawy/naprawy może spowodować problemy z uwierzytelnianiem, jeśli zostanie wykonane, należy zachować ostrożność. Isilon zaleca dodawanie tylko tych nazw SPN, które są potrzebne dla każdej nazwy SPN.


Aby dodać pojedynczą nazwę SPN w OneFS 6.5 i nowszych wersjach:

Wersje OneFS 6.5:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn create <providername> --spn=<service>/<DNS name> --user=<admin user of AD>

Uwaga: W razie potrzeby można dodać dodatkowe nazwy SPN (na przykład jeśli CNAME są używane) poza listą "brakujące nazwy SPN".

Podobne artykuły:

" Usługi uwierzytelniania mogą ulec awarii, jeśli główna nazwa usługi (SPN) jest nieprawidłowa lub jej brakuje" 89649
"OneFS: Jak tworzyć konta SPN, aby umożliwić uwierzytelnianie Kerberos przy użyciu wpisów DNS SmartConnect," 16528
"Jak wyświetlić listę SPN w środowisku Microsoft Active Directory," 16589
"Klient SQL nie może "Bulk Insert" plików z klastra Isilon do bazy danych SQL," 89574
"Jak włączyć jednokrotne logowanie (SSO) systemu Mac OS X do udziałów CIFS z obsługą usługi Active Directory w OneFS 5.5.x – 6.5.x, 16675
Isilon OneFS 7.1.0.0: Klienci SMB2 nie mogą łączyć się z klastrem przy użyciu uwierzytelniania Kerberos 174024
OneFS: Jak znaleźć zduplikowane główne nazwy usług (SPN) w usłudze Active Directory", 186215.
OneFS: Jak skonfigurować klaster Isilon do używania protokołu Kerberos z NFS w środowisku innym niż Active Directory", 16584.
OneFS: Serwer usługi AD nie ma wymaganego alertu o nazwach SPN", 502666