Article Number: 000126268
isi_auth_expert
para examinar el entorno de autenticación de un clúster de PowerScale OneFS. Esto puede ayudar a garantizar que esté configurado correctamente e identificar las condiciones que podrían estar causando latencia de acceso a datos como resultado de problemas de autenticación.
isi_auth_expert
ejecuta una serie de pruebas, incluidas la conectividad y la latencia de red y puertos, el enlace y la desviación del reloj. Estos resultados se pueden utilizar para aislar una configuración problemática o una ruta de red que está causando problemas de acceso a datos.
isi_auth_expert
en OneFS 7.2.1.5. Consulte la sección Comprobaciones y parámetros adicionales en OneFS 7.2.1.5 y versiones posteriores de este artículo para obtener más información.
isi_auth_expert
, realice lo siguiente:
isi_auth_expertLos usuarios también pueden ejecutar el comando con una o más de las opciones que se enumeran en la tabla siguiente:
Opción | Explicación |
-h, --help |
Mostrar la sintaxis de este comando |
-h, --debug |
Mostrar mensajes de depuración |
-v, --verbose |
Habilitar una salida detallada (más robusta) |
--no-color |
Desactivar la salida coloreada |
wcvirt1-1# isi_auth_expert Checking authentication process health ... done Checking LDAP provider 'ldaptest' server connectivity ... done Checking LDAP provider 'ldaptest' base dn ... done Checking LDAP provider 'ldaptest' object enumeration support ... done Checking LDAP provider 'ldaptest' group base dn ... done Checking LDAP provider 'ldaptest' user base dn ... done [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider 'ldaptest' was not found on LDAP server ldaptest.west.isilon.com. Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1 .wmc-ada.west.isilon.com on port 3268.
Cuando se ejecuta isi_auth_expert
, se realizan las siguientes comprobaciones:
En la siguiente sección, se describen las pruebas que isi_auth_expert
se ejecuta para cada proveedor de Active Directory (AD).
Comprobar la conectividad
de la controladora de dominio Determine si el clúster tiene conectividad de red básica con al menos una controladora de dominio (DC) en el dominio de AD.
Comprobar puertos
de CCVerifique que, por cada DC, el clúster pueda conectarse a los puertos relacionados con AD y que los puertos acepten conexiones.
Puerto | Explicación | Uso de AD | Tipo de tráfico |
---|---|---|---|
88 | El puerto 88 se utiliza para el tráfico de autenticación Kerberos. | Autenticación de usuarios y equipos, confianzas en el nivel de bosque | Kerberos |
139 | El puerto 139 se utiliza para el tráfico de NetBIOS y NetLogon. | Autenticación de usuarios y computadoras, Replicación | DFSN, servicio de sesión de NetBIOS, NetLogon |
389 | El puerto 389 se utiliza para consultas de LDAP. | Directorio, replicación, autenticación de usuarios y equipos, política de grupo, confianzas | LDAP |
445 | El puerto 445 se utiliza para la replicación. | Replicación, autenticación de computadoras y usuarios, política de grupo, confianzas. | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
3268 | El puerto 3268 se utiliza para las consultas de LDAP del catálogo global. (se usa si el catálogo global en el proveedor de AD está habilitado) | Directorio, replicación, autenticación de usuarios y equipos, política de grupo, confianzas | LDAP GC |
isi_auth_expert
se ejecuta para cada proveedor de LDAP.
Conectividad LDAP
Compatibilidad con objetos enumerados de LDAP
Validar el DN base configurado
Validar user-base-dn configurado
Validar group-base-dn configurado
Las siguientes comprobaciones se agregaron en OneFS 7.2.1.5.
Active Directory
isi_auth_expert
puede calcular dos tipos de latencias: Latencia de ping y latencia de LDAP para todas las controladoras de dominio. Si la desviación del reloj es inferior a cinco minutos, el comando devuelve lo siguiente: "Hay un sesgo mínimo o nulo entre el proveedor de AD y su máquina".
Opción | Explicación |
---|---|
--ldap-user |
Comprueba el proveedor de LDAP de un usuario especificado |
--sfu-user |
Comprueba el catálogo global de Active Directory de un usuario especificado |
--admin-creds |
Proporcione las credenciales necesarias para comprobar el catálogo global de Active Directory. |
isi_auth_expert
con el comando --ldap-user=<user>
parámetro donde <user> es el usuario que desea comprobar. El nombre de usuario debe tener el formato "nombre sin formato" para que la búsqueda funcione. La comprobación de atributos de usuario de LDAP se conecta a un servidor LDAP y consulta para el usuario especificado. A continuación, podemos comprobar los resultados de la consulta para asegurarnos de que el usuario tiene todos los atributos necesarios para la autenticación en cualquier dominio.
isi_auth_expert
con el comando --sfu-user=<user>
y --admin-creds="[('<Domain>', '<User>', '<password>')]"
parámetros en los que <user> es el usuario de SFU que desea comprobar y "[('<Domain>', '<User>', '<password>')]" son las credenciales que isi_auth_expert
debe proporcionar para realizar la búsqueda del catálogo global en la controladora de dominio. Tenemos la siguiente limitación cuando se revisa el catálogo global: Debe proporcionar credenciales de administrador.
isi_auth_expert
determina si faltan SPN, si están obsoletos o son incorrectos. Esta función se ejecuta automáticamente cada vez que isi_auth_expert
se ejecuta el comando.
isi auth ads spn
o isi auth krb5 spn
comandos para enumerar, comprobar o corregir los SPN faltantes notificados.Isilon, PowerScale OneFS
29 Apr 2024
7
Solution