PowerScale: OneFS: Los servicios de autenticación pueden fallar si el nombre principal de servicio (SPN) es incorrecto o falta

Problema

Si un clúster se une a un dominio y el administrador intenta una reincorporación inmediata antes de que AD haya replicado la cuenta desde la unión inicial, esto puede causar problemas. Es posible que el nombre principal de servicio (SPN) de la cuenta de máquina del clúster se haya configurado incorrectamente. Aunque este evento es poco común, causa fallas de autenticación.

Síntomas

Después de unir correctamente el clúster a un dominio, el clúster no puede autenticar usuarios y se registran los siguientes mensajes de error en /var/log/lsassd.log:

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]

Causa

Causa 1:

Los SPN deben ser únicos en un bosque de Active Directory. Si se produce un conflicto de replicación en el que se crean dos cuentas de máquina en dos controladoras de dominio diferentes, AD podría cambiar el nombre del SPN de la cuenta de máquina del clúster. Cuando se accede a la cuenta de máquina con el SPN cuyo nombre se ha cambiado, pueden producirse errores de autenticación.

Causa 2:

La segunda razón por la que se producen estos errores es si el clúster tiene una zona DNS diferente a la del dominio al que se está uniendo. Esto puede hacer que se registre la cuenta SPN incorrecta para la cuenta de computadora de los clústeres en el dominio de Active Directory. Para comprobar esta causa, ejecute el comando "isi network" y compare la lista de búsqueda de DNS con el nombre de dominio completo del dominio al que intenta unirse.

Soluciones alternativas

Solución alternativa para la causa 1:

Póngase en contacto con un administrador de Active Directory y pídale que elimine todas las cuentas de máquina que se crearon mediante la unión del clúster al dominio. Replique estos cambios en las otras controladoras de dominio del dominio y, a continuación, vuelva a unir el clúster al dominio.

Solución alternativa para la causa 2:

Si estos no coinciden, actualice la lista de búsqueda de DNS para que coincida con el FQDN del dominio de Active Directory, elimine la cuenta de computadora creada anteriormente y vuelva a unirse al dominio.