PowerScale: OneFS: Os serviços de autenticação podem falhar se o nome principal do serviço (SPN) estiver incorreto ou faltando

Problema

Se um cluster for associado a um domínio e o administrador tentar uma reingresso imediata antes que o AD tenha replicado a conta a partir da associação inicial, isso pode causar problemas. O SPN (Service Principal Name, nome da entidade de serviço) da conta da máquina do cluster pode estar definido incorretamente. Embora esse evento seja incomum, ele causa falhas de autenticação.

Sintomas

Depois de ingressar com sucesso no cluster em um domínio, o cluster não pode autenticar usuários e as seguintes mensagens de erro são registradas em /var/log/lsassd.log:

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]

Causa

Causa 1:

Os SPNs devem ser exclusivos em uma floresta do Active Directory. Se ocorrer um conflito de replicação em que duas contas de máquina são criadas em dois controladores de domínio diferentes, o AD poderá renomear o SPN para a conta de máquina do cluster. Ao acessar a conta da máquina com o SPN renomeado, podem ocorrer falhas de autenticação.

Causa 2:

O segundo motivo para esses erros ocorrerem é se o cluster tiver uma zona DNS diferente do domínio ao qual está sendo associado. Isso pode fazer com que a conta SPN incorreta seja registrada para a conta de computador dos clusters no domínio do Active Directory. Para verificar essa causa, execute o comando "isi network" e compare a Lista de Pesquisa de DNS com o Nome de Domínio Totalmente Qualificado do domínio ao qual você está tentando ingressar.

Soluções temporárias

Solução temporária para a causa 1:

Entre em contato com um administrador do Active Directory e peça que ele remova todas as contas de computador que foram criadas associando o cluster ao domínio. Replique essas alterações para os outros controladores de domínio no domínio e, em seguida, associe novamente o cluster ao domínio.

Solução temporária para a causa 2:

Se elas não corresponderem, atualize a Lista de Pesquisa de DNS para corresponder ao FQDN do domínio do Active Directory, exclua a conta de computador criada anteriormente e ingresse novamente no domínio.