PowerScale: OneFS: I servizi di autenticazione possono avere esito negativo se il nome dell'entità servizio (SPN) non è corretto o mancante

Problema

Se un cluster viene aggiunto a un dominio e l'amministratore tenta di riaggiungerlo immediatamente prima che AD abbia replicato l'account dall'aggiunta iniziale, potrebbero verificarsi problemi. Il nome dell'entità servizio (SPN) dell'account computer del cluster potrebbe essere impostato in modo errato. Anche se questo evento non è comune, causa errori di autenticazione.

Sintomi

Dopo aver aggiunto correttamente il cluster a un dominio, il cluster non può autenticare gli utenti e i seguenti messaggi di errore vengono registrati in /var/log/lsassd.log:

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]

Causa

Causa 1:

Gli SPN devono essere univoci in una foresta Active Directory. Se si verifica un conflitto di replica in cui vengono creati due account computer su due controller di dominio diversi, Active Directory potrebbe rinominare l'SPN per l'account computer del cluster. Quando si accede all'account del computer con l'SPN rinominato, possono verificarsi errori di autenticazione.

Causa 2:

Il secondo motivo per cui si verificano questi errori è se il cluster ha una zona DNS diversa rispetto al dominio a cui viene aggiunto. Ciò può causare la registrazione dell'account SPN errato per l'account computer del cluster nel dominio Active Directory. Per verificare questa causa, eseguire il comando "isi network" e confrontare l'elenco di ricerca DNS con il nome di dominio completo del dominio a cui si sta tentando di accedere.

Soluzioni alternative

Soluzione alternativa per la causa 1:

Contattare un amministratore di Active Directory e chiedere che rimuova tutti gli account computer creati aggiungendo il cluster al dominio. Replicare queste modifiche agli altri controller di dominio nel dominio, quindi reinserire il cluster nel dominio.

Soluzione alternativa per la causa 2:

Se non corrispondono, aggiornare l'elenco di ricerca DNS in modo che corrisponda all'FQDN per il dominio Active Directory, eliminare l'account del computer creato in precedenza e ricongiungerlo al dominio.