isi_auth_expert
para examinar o ambiente de autenticação de um cluster do PowerScale OneFS. Isso pode ajudar a garantir que ele esteja configurado corretamente e a identificar condições que podem estar causando latência de acesso aos dados como resultado de problemas de autenticação.
isi_auth_expert
O comando executa uma série de testes, inclusive conectividade de rede e porta, latência, vinculação e distorção do relógio. Esses resultados podem ser usados para isolar uma configuração ou um caminho de rede problemático que esteja causando problemas de acesso aos dados.
isi_auth_expert
no OneFS 7.2.1.5. Consulte a seção Verificações e parâmetros adicionais do OneFS 7.2.1.5 e posteriores deste artigo para obter mais informações.
isi_auth_expert
e faça o seguinte:
isi_auth_expertOs indivíduos também podem executar o comando com uma ou mais das opções listadas na tabela abaixo:
Opção | Explicação |
-h, --help |
Mostrar a sintaxe desse comando |
-h, --debug |
Exibir mensagens de depuração |
-v, --verbose |
Habilitar saída detalhada (mais robusta) |
--no-color |
Desativar saída colorida |
wcvirt1-1# isi_auth_expert Checking authentication process health ... done Checking LDAP provider 'ldaptest' server connectivity ... done Checking LDAP provider 'ldaptest' base dn ... done Checking LDAP provider 'ldaptest' object enumeration support ... done Checking LDAP provider 'ldaptest' group base dn ... done Checking LDAP provider 'ldaptest' user base dn ... done [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider 'ldaptest' was not found on LDAP server ldaptest.west.isilon.com. Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1 .wmc-ada.west.isilon.com on port 3268.
Durante a execução isi_auth_expert
, as seguintes verificações são realizadas:
A seção a seguir descreve os testes que o isi_auth_expert
comando executado para cada provedor do Active Directory (AD).
Verificar a conectividade
do controlador de domínio Determine se o cluster tem conectividade de rede básica com pelo menos um controlador de domínio (DC) no domínio do AD.
Verifique as portas
CCVerifique se, para cada DC, o cluster pode se conectar às portas relacionadas ao AD e se as portas estão aceitando conexões.
Porta | Explicação | Uso do AD | Tipo de tráfego |
---|---|---|---|
88 | A porta 88 é usada para tráfego de autenticação Kerberos. | Autenticação de usuário e computador, relações de confiança em nível de floresta | Kerberos |
139 | A porta 139 é usada para tráfego NetBIOS e NetLogon. | Autenticação de usuário e computador, replicação | DFSN, Serviço de sessão NetBIOS, NetLogon |
389 | A porta 389 é usada para consultas LDAP. | Diretório, replicação, autenticação de usuário e computador, política de grupo, relações de confiança | LDAP |
445 | A porta 445 é usada para replicação. | Replicação, Autenticação de Usuário e Computador, Diretiva de Grupo, Relações de Confiança. | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
3268 | A porta 3268 é usada para consultas LDAP de catálogo global. (usado se o catálogo global no provedor do AD estiver habilitado) | Diretório, replicação, autenticação de usuário e computador, política de grupo, relações de confiança | LDAP GC |
isi_auth_expert
O comando é executado para cada provedor de LDAP.
Conectividade LDAP
Suporte a objetos enumerados LDAP
Validar o DN de base configurado
Validar user-base-dn configurado
Validar group-base-dn configurado
As verificações a seguir foram adicionadas ao OneFS 7.2.1.5.
Active Directory
isi_auth_expert
O comando pode calcular dois tipos de latências: Latência de ping e latência de LDAP para todos os controladores de domínio. Se a distorção do relógio for inferior a cinco minutos, o comando retornará: "Há pouca ou nenhuma distorção entre o provedor de AD e sua máquina."
Opção | Explicação |
---|---|
--ldap-user |
Verifica se há um usuário especificado no provedor LDAP |
--sfu-user |
Verifica se há um usuário especificado no catálogo global do Active Directory |
--admin-creds |
Forneça as credenciais necessárias ao verificar o catálogo global do Active Directory. |
isi_auth_expert
com o comando --ldap-user=<user>
parâmetro em que <user> é o usuário que você deseja verificar. O nome de usuário tem que ser da forma "nome simples" para que a pesquisa funcione. A verificação de atributos de usuário LDAP se conecta a um servidor LDAP e o consulta para o usuário especificado. Em seguida, podemos verificar os resultados da consulta para garantir que o usuário tenha todos os atributos necessários para a autenticação em qualquer domínio.
isi_auth_expert
com o comando --sfu-user=<user>
e --admin-creds="[('<Domain>', '<User>', '<password>')]"
parâmetros em que <o usuário> é o usuário SFU que você deseja verificar e "[('<Domínio', '<Usuário>>', '<senha>')]" são as credenciais do isi_auth_expert
deve fornecer para executar a pesquisa de catálogo global no controlador de domínio. Temos a seguinte limitação ao verificar o catálogo global: Você deve fornecer credenciais de administrador.
isi_auth_expert
determina se os SPNs estão ausentes, obsoletos ou incorretos. Esse recurso é executado automaticamente sempre que o isi_auth_expert
O comando é executado.
isi auth ads spn
ou isi auth krb5 spn
comandos para listar, verificar ou corrigir SPNs ausentes relatados.