Isilon: Falla la autenticación mediante FQDN, error "KRB5KRB_AP_ERR_MODIFIED"

Summary: Problemas para acceder al FQDN de recursos compartidos de Isilon. Puede acceder a la misma a través de IP. La autenticación Kerberos falla cuando se usa el FQDN, pero la autenticación NTLM se realiza correctamente cuando se usa la dirección IP. "No se encontró el servidor en la base de datos de Kerberos" ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

La autenticación mediante FQDN falla con el siguiente mensaje de error en lsassd.log:
 

cluster-2: 2019-06-11T08:15:02-07:00 <30.4> cluster-2 lsass[4680]: [LwKrb5InitializeUserLoginCredentialsS4U /b/mnt/src/isilon/fsp/lwadvapi/threaded/lwkrb5.c:1394] KRB5 Error code: -1765328377 (Message: Server not found in Kerberos database)


Este mensaje indica que; Isilon no puede reconocer al cliente que solicita uno de los servicios que Isilon tiene para ofrecer. Esto hará que la autenticación conmute por error a través de Kerberos porque el cliente no será un vale válido que Isilon pueda reconocer y descifrar. 

El mismo mensaje se puede interpretar a través de los seguimientos de la red, cuando ve que Isilon [10.17.0.154] envía el paquete "KRB5KRB_AP_ERR_MODIFIED" de vuelta al cliente [10.106.12.162] para una solicitud de configuración de sesión:


Error  

Cause

Esto puede suceder por varias razones, pero las más comunes se enumeran a continuación:

  • Hay una cuenta con el mismo SPN dentro del bosque. A veces, el KDC devuelve un error de KRB_S_PRINCIPAL_UNKNOWN, pero hay casos en los que dará un vale de Kerberos que el servicio [en nuestro caso es Isilon] no puede descifrar y, por lo tanto, obtener un KRB5KRB_AP_ERR_MODIFIED.
  • El nombre principal de servicio está en la cuenta de Active Directory incorrecta (computadora o usuario). Nuevamente, se trata de un caso de SPN duplicado.
  • La cuenta de Active Directory que ejecuta el servicio actualizó o cambió su contraseña y usted experimenta el problema debido a un problema de latencia o replicación de Active Directory.


En este caso, el cliente intenta acceder a un recurso compartido de Isilon mediante el FQDN "mixed.isilon.com".

Ahora echemos un vistazo al rastro de red de este intento.


Seguimiento de red 


1. Vemos la resolución de nombre adecuado para "mixed.isilon.com" y la respuesta del servidor DNS con la dirección IP de 10.17.0.156 (tramas 5042 y 5049)

2. A continuación, la máquina obtiene un TGT del controlador de dominio (consulte AS-REQ y AS-REP) (cuadros 5082 y 5093)

3. Luego, la máquina solicita y obtiene un vale de servicio para "mixed.isilon.com" (cuadros 5101 y 5104). Como puede ver a continuación, la máquina solicitaba un vale de Kerberos de "mixed.isilon.com"


CName significa el nombre del cliente y SName el nombresalida




del servicio 4.  A continuación, la máquina vuelve a Isilon e intenta autenticarse mediante el vale de Kerberos que acaba de recibir de la controladora de dominio (tramas 5107 y 5111). Durante la autenticación, Isilon responde con KRB5KRB_AP_ERR_MODIFIED (trama 5111).


Si ve en el paso 3, el cliente obtiene el vale de Kerberos del dominio "ISILON.COM" mientras el clúster está unido a su dominio de confianza en este escenario a "CORP.COM". Esto significa que hay un SPN duplicado registrado en ISILON.COM e Isilon no puede descifrar el vale presentado por el cliente, ya que el clúster utiliza CORP.COM para autenticarse; Esto hace que falle la autenticación.

Ejemplo de la presencia de SPN:

SPN duplicados enumerados en ISILON.COM y CORP.COM respectivamente 
 

/usr/bin/isi --timeout=15 auth ads spn list ISILON.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6

/usr/bin/isi --timeout=15 auth ads spn list CORP.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6

Resolution

Compruebe si hay dominios de confianza y SPN duplicados en el dominio al que está unido Isilon y el dominio de confianza:

Para comprobar los dominios de confianza:

# isi auth ads trusts list --provider-name=<Domain name cluster is joined to>

- Para enumerar los SPN presentes en un dominio:
 

# isi auth ads spn list --provider-name=<Domain name>


Si hay SPN duplicados presentes y solo se utiliza el dominio principal para la autenticación, elimine el SPN siguiendo el artículo de la base de conocimientos OneFS: Cómo encontrar nombres principales de servicio (SPN) duplicados en Active Directory, lo que impide que los clientes SMB se autentiquen en el clúster.

Additional Information

Enlace útil: Registro de un nombre de entidad de seguridad de servicio para conexiones Kerberos


 

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000055610
Article Type: Solution
Last Modified: 22 May 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.