Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Isilon: Como usar o comando isi_auth_expert do PowerScale OneFS para gerenciar problemas de autenticação

Summary: Este artigo explica como usar o comando isi_auth_expert do Isilon OneFS para gerenciar a autenticação.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Não obrigatório

Cause

Não obrigatório

Resolution

Introdução

Os administradores podem executar o isi_auth_expert para examinar o ambiente de autenticação de um cluster do PowerScale OneFS. Isso pode ajudar a garantir que ele esteja configurado corretamente e a identificar condições que podem estar causando latência de acesso aos dados como resultado de problemas de autenticação.

O isi_auth_expert O comando executa uma série de testes, inclusive conectividade de rede e porta, latência, vinculação e distorção do relógio. Esses resultados podem ser usados para isolar uma configuração ou um caminho de rede problemático que esteja causando problemas de acesso aos dados.

Os indivíduos podem querer executar esta ferramenta:
  • Quando usuários novos ou existentes experimentam latência ao se conectar a um compartilhamento ou são solicitados a inserir credenciais de login ao acessar dados
  • Quando o cluster está relatando eventos relacionados ao status off-line do Active Directory ou LDAP (Lightweight Directory Access Protocol)
  • Depois de modificar a configuração do provedor de autenticação
  • Depois que as alterações de configuração afetaram os caminhos de rede entre um cluster e seus provedores de autenticação
Nota: Novas verificações e parâmetros foram adicionados ao isi_auth_expert no OneFS 7.2.1.5. Consulte a seção Verificações e parâmetros adicionais do OneFS 7.2.1.5 e posteriores deste artigo para obter mais informações.


Instruções

Para executar o isi_auth_expert e faça o seguinte:
isi_auth_expert
Os indivíduos também podem executar o comando com uma ou mais das opções listadas na tabela abaixo:
 
Opção Explicação
-h, --help Mostrar a sintaxe desse comando
-h, --debug Exibir mensagens de depuração
-v, --verbose Habilitar saída detalhada (mais robusta)
--no-color Desativar saída colorida
Exemplo de resultado:
wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.


Testes implementados

Durante a execução isi_auth_expert , as seguintes verificações são realizadas:


Verificações do processo

Esse teste confirma que os processos relacionados à autenticação (lsass, lwio e netlogon) estão em execução. Se algum dos processos não estiver em execução, um erro será exibido.


Active Directory

A seção a seguir descreve os testes que o isi_auth_expert comando executado para cada provedor do Active Directory (AD).

  • Verificar a conectividade
    do controlador de domínio Determine se o cluster tem conectividade de rede básica com pelo menos um controlador de domínio (DC) no domínio do AD.

Verifique as portas
CCVerifique se, para cada DC, o cluster pode se conectar às portas relacionadas ao AD e se as portas estão aceitando conexões.
 

Porta Explicação Uso do AD Tipo de tráfego
88 A porta 88 é usada para tráfego de autenticação Kerberos. Autenticação de usuário e computador, relações de confiança em nível de floresta Kerberos
139 A porta 139 é usada para tráfego NetBIOS e NetLogon. Autenticação de usuário e computador, replicação DFSN, Serviço de sessão NetBIOS, NetLogon
389 A porta 389 é usada para consultas LDAP. Diretório, replicação, autenticação de usuário e computador, política de grupo, relações de confiança LDAP
445 A porta 445 é usada para replicação. Replicação, Autenticação de Usuário e Computador, Diretiva de Grupo, Relações de Confiança. SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
3268 A porta 3268 é usada para consultas LDAP de catálogo global. (usado se o catálogo global no provedor do AD estiver habilitado) Diretório, replicação, autenticação de usuário e computador, política de grupo, relações de confiança LDAP GC


LDAP

A seção a seguir descreve os testes que o isi_auth_expert O comando é executado para cada provedor de LDAP.

Conectividade LDAP

  • Verifique a conectividade do servidor LDAP fazendo uma associação LDAP anônima e verificando os resultados.

Suporte a objetos enumerados LDAP

  • Confirme se cada servidor LDAP oferece suporte a objetos enumerados verificando os controles compatíveis dos servidores LDAP. O OneFS exige os controles de resultados paginados ou a exibição em lista virtual e os controles de classificação no servidor.

Validar o DN de base configurado

  • Execute uma consulta de teste no DN base configurado para garantir a compatibilidade de configuração com o servidor LDAP.

Validar user-base-dn configurado

  • Execute uma consulta de teste no user-base-dn configurado para garantir a compatibilidade de configuração com o servidor LDAP.

Validar group-base-dn configurado

  • Execute uma consulta de teste no group-base-dn configurado para garantir a compatibilidade de configuração com o servidor LDAP.


Outras verificações e parâmetros no OneFS 7.2.1.5 e versões posteriores

As verificações a seguir foram adicionadas ao OneFS 7.2.1.5.

  • Active Directory

    • Verificação de latência do controlador de domínio
    • Verificação de latência e distorção do relógio
    • Serviço de catálogo global para verificação de usuário (SFU)
  • LDAP - Verificação de usuário
  • Kerberos — o SPN (Service Principal Name, nome da entidade de serviço) verifica zonas e aliases do SmartConnect
A pasta isi_auth_expert O comando pode calcular dois tipos de latências: Latência de ping e latência de LDAP para todos os controladores de domínio. Se a distorção do relógio for inferior a cinco minutos, o comando retornará: "Há pouca ou nenhuma distorção entre o provedor de AD e sua máquina."

Os seguintes parâmetros também foram adicionados.
 
Opção     Explicação
--ldap-user Verifica se há um usuário especificado no provedor LDAP
--sfu-user Verifica se há um usuário especificado no catálogo global do Active Directory
--admin-creds Forneça as credenciais necessárias ao verificar o catálogo global do Active Directory.


Verificação de atributos de usuário LDAP

Para executar a verificação de atributo de usuário LDAP, você deve executar o isi_auth_expert com o comando --ldap-user=<user> parâmetro em que <user> é o usuário que você deseja verificar. O nome de usuário tem que ser da forma "nome simples" para que a pesquisa funcione. A verificação de atributos de usuário LDAP se conecta a um servidor LDAP e o consulta para o usuário especificado. Em seguida, podemos verificar os resultados da consulta para garantir que o usuário tenha todos os atributos necessários para a autenticação em qualquer domínio.


Verificação de SFU do catálogo global do Active Directory

Um servidor de catálogo global é um controlador de domínio que tem informações sobre o domínio ao qual está associado e todos os outros domínios na floresta. Como um servidor LDAP, o catálogo global tem uma lista de dados associados ao domínio que controla, além de uma cópia parcial dos dados que obtém de outros controladores de domínio. Se ele não tiver todos os dados que os controladores de domínio estão compartilhando, pode haver problemas de autenticação.

Para executar a verificação SFU do catálogo global do Active Directory, você deve executar o isi_auth_expert com o comando --sfu-user=<user> e --admin-creds="[('<Domain>', '<User>', '<password>')]" parâmetros em que <o usuário> é o usuário SFU que você deseja verificar e "[('<Domínio', '<Usuário>>', '<senha>')]" são as credenciais do isi_auth_expert deve fornecer para executar a pesquisa de catálogo global no controlador de domínio. Temos a seguinte limitação ao verificar o catálogo global: Você deve fornecer credenciais de administrador.


Verificação do nome principal do servidor (SPN)

Os SPNs poderão causar falhas de autenticação se eles não estiverem presentes quando você ingressa em um provedor Kerberos ou se alterar o nome de uma zona do SmartConnect. A pasta isi_auth_expert determina se os SPNs estão ausentes, obsoletos ou incorretos. Esse recurso é executado automaticamente sempre que o isi_auth_expert O comando é executado.

Esse recurso é usado para verificar SPNs ausentes nos provedores Kerberos e também nas zonas do SmartConnect. O comando coleta todos os SPNs associados aos provedores e às zonas do SmartConnect e garante que os SPNs necessários estejam presentes.

Se você estiver usando aliases do SmartConnect, ele também fará a verificação desses aliases. Você pode usar o isi auth ads spn ou isi auth krb5 spn comandos para listar, verificar ou corrigir SPNs ausentes relatados.

Affected Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000126268
Article Type: Solution
Last Modified: 29 Apr 2024
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.