PowerScale: OneFS: Nomes da entidade de serviço para autenticação Kerberos

Introdução
Um SPN (Service Principal Name, nome principal do serviço) é o nome pelo qual um client identifica exclusivamente uma instância de um serviço. O SPN é exclusivo, mesmo para várias instâncias de serviço em computadores dentro de um ambiente do Active Directory. Se vários nomes forem usados pelos clients para fins de autenticação, uma instância de serviço será atribuída a vários SPNs. Isso inclui um SPN exclusivo para cada nome de zona ou alias do SmartConnect no DNS. Para obter mais informações, consulte o artigoNomes da entidade de serviçono Microsoft Developer Network Center.

Kerberos com NFS em um ambiente
que não seja do Active DirectoryO OneFS não configura e configura automaticamente o NFS Kerberos com um servidor de autenticação que não seja do Active Directory (como MIT ou HEIMDAL). Isso requer uma configuração manual diferente para o ambiente não Active Directory listado no artigo a seguir. Consulte o OneFS: Como configurar o Isilon Cluster para usar Kerberos com NFS em um ambiente que não seja do Active Directory,artigo 16584 da Base de conhecimento.

Kerberos com ambiente
Active DirectoryPara se conectar a um cluster pelo nome sem fornecer um nome de usuário e senha em um ambiente baseado no Active Directory, a autenticação Kerberos deve ser usada. 

Ao acessar um cluster usando Kerberos, o client estabelece um tíquete Kerberos com o cluster com base no nome DNS que o client está usando para se conectar. Ao ingressar em um domínio do AD, o cluster registra quaisquer nomes de zona ou aliases do SmartConnect como SPNs configurados na conta da máquina do cluster no domínio. Todos os nomes de zona ou aliases adicionais do SmartConnect criados após a associação do cluster ao domínio devem ter SPNs adicionados manualmente. Isso é verdadeiro para o nome DNS e o nome abreviado. 

Também deve haver um registro de delegação no servidor DNS para cada novo alias ou nome de zona do SmartConnect.

Os SPNs devem ser exclusivos em uma floresta do Active Directory. Se existirem SPNs ou contas de máquina duplicadas, poderão ocorrer falhas de autenticação. Consulte o OneFS: Como encontrar SPNs (Service Principal Names, nomes da entidade de serviço) duplicados no Active Directory, https://www.dell.com/dci/fp/session/authorize?client_id=3a4eea6a-4a4e-4f2e-be4a-adc5d51a357a&redirect_uri=https%3A%2F%2Fwww.dell.com%2Fsupport%2Fkbdoc%2Fen-us%2F000032723

Ao associar um cluster a vários domínios do AD, as zonas existentes do SmartConnect no momento da associação adicionam SPNs para cada provedor do AD. Isso pode resultar em SPNs duplicados registrados entre os dois domínios. Isso causará problemas (para SPNs de FQDN) se os dois domínios compartilharem uma relação de confiança bidirecional (Microsoft Trusts) com os clients que se conectam ao cluster de modo entre realm. Um client do DomainA que acessa uma zona de acesso no cluster usando o DomainB usa uma conta de máquina incorreta para criptografar o tíquete, resultando em erros de "KRB5KRB_AP_ERR_MODIFIED".

Para visualizar os SPNs registrados:

OneFS 6.5 e versões anteriores:

# isi auth ads spn list

OneFS 7.0 e versões posteriores:

# isi auth ads spn list --domain=<FullyQualifiedDomainName>

O resultado é semelhante ao exemplo abaixo:

# isi auth ads spn list --domain=MY.DOMAIN.COM
SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.COM

Sintomas de SPNs ausentes

• O OneFS criará um evento/alerta se SPNs estiverem ausentes quando conectados ao Active Directory semelhantes aos abaixo (KB 502666):

  Recurring: AD server missing needed SPN(s) HOST/isicluster, HOST/isicluster.isilon.com; try 'isi auth ads spn check'
  
  AD server missing needed SPN(s) HOST/zonecifs.isilon.com, HOST/zonemgmt.isilon.com, HOST/nfs.isilon.com; try 'isi auth ads spn check'

• A autenticação no cluster pelo nome da zona SmartConnect ou nome abreviado falha, mas a conexão usando IP funciona.
• Grande quantidade de solicitações de autenticação NTLM para controladores de domínio.

Para localizar o SPN ausente:

OneFS 6.0 e versões anteriores:liste
as zonas do SmartConnect no cluster:

# isi networks list pools

Em seguida, compare com a lista de SPNs registrados:

# isi auth ads spn list.

SPNs registered for isicluster$:
     HOST/isicluster
     HOST/isicluster.MY.DOMAIN.CORP

 
OneFS 6.5 versões: 

# isi auth ads spn check

OneFS 7.x versões:

# isi auth ads spn check --domain=<FQDN>

OneFS 8.x e versões posteriores:

# isi auth ads spn check --provider-name
or
# isi auth ads spn check <provider-name>

Nota: No OneFS, vários domínios e zonas de acesso podem ser configurados. Pode ser necessário executar o comando para cada domínio associado ao cluster. É recomendável que o domínio esteja em letras maiúsculas, pois algumas versões anteriores diferenciam maiúsculas de minúsculas. Várias zonas de acesso com domínios confiáveis também podem causar problemas de SPN duplicado. Entre em contato com o suporte para obter assistência com várias zonas de acesso com domínios confiáveis.

Criarou adicionar SPNs requer uma conta de usuário com direitos administrativos para o domínio.

IMPORTANTE!
O usuário deve especificar um nome de usuário de administrador do AD ao adicionar os SPNs. Se o usuário não fizer isso, ele receberá o seguinte erro:

LdapError: Failed to modify attribute[19]

Use apenas o nome de usuário não qualificado (sem designação de domínio).

Para adicionar SPN ausente usando a opção de reparo no OneFS 6.5 e versões posteriores:

Versões do OneFS 6.5:

# isi auth ads spn check --repair --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn check --repair --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn fix <providername> --user=<admin user of AD>

Nota: No OneFS, vários domínios e zonas de acesso podem ser configurados. Usar a opção de reparo com várias zonas de acesso e domínio confiável pode causar SPNs duplicados. É recomendável que o SPN seja criado usando o comando "isi auth ads spn create".

Atenção: Alguns ambientes do cliente podem envolver vários clusters usando os mesmos nomes de zona do SmartConnect. Eles podem contar com a automação de failover para adicionar/remover SPNs entre clusters e alterar o DNS para fins de failover. A execução dos comandos de correção/reparo pode introduzir problemas de autenticação, se concluída, use com critério. Em vez disso, o Isilon recomenda adicionar apenas SPNs que são necessários por SPN.


Para adicionar um único SPN no OneFS 6.5 e versões posteriores:

OneFS 6.5:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin>

OneFS 7.x:

# isi auth ads spn create --spn=<service>/<DNS name> --user=<domainadmin> --domain=<FQDN>

OneFS 8.x:

# isi auth ads spn create <providername> --spn=<service>/<DNS name> --user=<admin user of AD>

Nota: SPNs adicionais podem ser adicionados se necessário (por exemplo, se CNAMEs estiverem em uso) além da lista "SPNs ausentes".

Artigos relacionados:

" Os serviços de autenticação podem falhar se o nome principal do serviço (SPN) estiver incorreto ou ausente," 89649
"OneFS: Como criar contas SPN para permitir a autenticação Kerberos usando entradas DNS do SmartConnect," 16528
"Como exibir uma lista SPN em um ambiente Microsoft Active Directory", 16589
"O cliente SQL não pode "Inserir em massa" arquivos de um cluster do Isilon em um banco de dados SQL," 89574
"Como habilitar o logon único (SSO) do Mac OS X para compartilhamentos CIFS habilitados para Active Directory no OneFS 5.5.x - 6.5.x, "16675
"Isilon OneFS 7.1.0.0: Os clients SMB2 não podem se conectar ao cluster usando a autenticação Kerberos," 174024
"OneFS: Como encontrar SPNs (Service Principal Names, nomes principais de serviço) duplicados no Active Directory", 186215.".
OneFS: Como configurar o Isilon Cluster para usar Kerberos com NFS em um ambiente que não seja do Active Directory", 16584.
OneFS: Alerta de SPNs necessários faltando no servidor do AD", 502666