Ісілон: Помилка аутентифікації через FQDN, помилка "KRB5KRB_AP_ERR_MODIFIED"

Автентифікація через FQDN не вдається з таким повідомленням про помилку в lsassd.log:
 

Це повідомлення вказує на те, що; Isilon не в змозі впізнати клієнта, який звертається за однією з послуг, які пропонує Isilon. Це призведе до помилки розпізнавання через Kerberos, оскільки клієнт не матиме дійсного квитка, який Isilon може розпізнати та розшифрувати. 

Те ж саме повідомлення може бути інтерпретоване по трасуванню мережі, коли ви бачите, що Isilon [10.17.0.154] відправляє пакет "KRB5KRB_AP_ERR_MODIFIED" назад клієнту [10.106.12.162] для запиту на налаштування сеансу:


 

Це може статися з кількох причин, але найбільш поширені перераховані нижче:

• У межах лісу є аккаунт з таким же СПН. Іноді KDC видає помилку назад KRB_S_PRINCIPAL_UNKNOWN, але бувають випадки, коли він видає квиток Kerberos, який сервіс [у нашому випадку це Isilon] не може розшифрувати і таким чином отримати KRB5KRB_AP_ERR_MODIFIED.

• Ім'я учасника служби вказано в неправильному обліковому записі Active Directory (комп'ютер або користувач). Це знову ж таки випадок дублювання СПН.

• Обліковий запис Active Directory, на якому запущено службу, оновив або змінив пароль, і ви зіткнулися з проблемою через затримку реплікації Active Directory або реплікацію Active Directory.

Тут клієнт намагається отримати доступ до шару Isilon за допомогою FQDN "mixed.isilon.com".

Тепер давайте подивимося на мережевий слід цієї спроби.


 


1. Ми бачимо правильну роздільну здатність імені, для "mixed.isilon.com" і відповідь DNS-сервера з IP-адресою 10.17.0.156 (кадри 5042 і 5049)

2. Потім машина отримує TGT від контролера домену (див. AS-REQ і AS-REP) (кадри 5082 і 5093)

3. Потім машина запитує і отримує Service Ticket за «mixed.isilon.com» (кадри 5101 і 5104). Як ви можете бачити нижче, машина просила квиток Kerberos з літерою «mixed.isilon.com»CName


означає ім'я клієнта, а SName означає назву




служби 4.  Після цього апарат повертається до Isilon і намагається пройти автентифікацію за допомогою квитка Kerberos, який він щойно отримав від контролера домену (кадри 5107 і 5111). Під час аутентифікації Isilon відповідає KRB5KRB_AP_ERR_MODIFIED (кадр 5111).


Якщо ви бачите крок 3, клієнт отримує квиток Kerberos з області "ISILON.COM", а кластер приєднано до свого довіреного домену в цьому сценарії до "CORP.COM". Це означає, що в ISILON.COM зареєстрований дублікат SPN, і Isilon не може розшифрувати квиток, представлений клієнтом, оскільки кластер використовує CORP.COM для аутентифікації; Це призводить до помилки автентифікації.

Приклад наявності дублікатів SPN:

SPN, перелічених у ISILON.COM та CORP.COM відповідно 
 

Перевірте наявність довірених доменів і дублікатів SPN на домені, до якого приєднано Isilon, і довіреному домені:

Щоб перевірити довірені домени:

# isi auth ads trusts list --provider-name=<Domain name cluster is joined to>

- Щоб відобразити наявність SPN у домені:
 

Якщо присутні дублікати SPN, а для автентифікації використовується лише основний домен, видаліть SPN відповідно до KB OneFS: Як знайти повторювані імена керівників служб (SPN) в Active Directory, які запобігають автентифікації клієнтів SMB у кластері.