Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Isilon. Использование команды PowerScale OneFS «isi_auth_expert» для управления проблемами аутентификации

Summary: В этой статье объясняется, как использовать команду Isilon OneFS isi_auth_expert для управления аутентификацией.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Не требуется

Cause

Не требуется

Resolution

Введение

Администраторы могут запускать isi_auth_expert для проверки среды аутентификации кластера PowerScale OneFS. Это поможет убедиться, что он правильно настроен, и определить условия, которые могут вызвать задержку доступа к данным в результате проблем аутентификации.

Teh isi_auth_expert Команда выполняет ряд тестов, включая возможность подключения к сети и портам, а также задержку, привязку и смещение часов. Эти результаты можно использовать для выявления проблемной конфигурации или сетевого пути, вызывающего проблемы с доступом к данным.

Отдельные пользователи могут запустить этот инструмент:
  • Когда существующие или новые пользователи сталкиваются с задержкой при подключении к сетевой папке или когда им предлагается ввести учетные данные при доступе к данным.
  • Когда кластер сообщает о событиях, связанных с автономным режимом Active Directory или LDAP (Lightweight Directory Access Protocol)
  • После изменения настроек поставщика проверки подлинности
  • После того, как изменения конфигурации повлияли на сетевые пути между кластером и его поставщиками проверки подлинности
Примечание.: В файл добавлены новые проверки и параметры isi_auth_expert в OneFS 7.2.1.5. Дополнительные сведения см. в разделе Дополнительные проверки и параметры в OneFS 7.2.1.5 и более поздних версиях этой статьи.


Инструкции

Чтобы запустить команду isi_auth_expert выполните следующие действия: 
isi_auth_expert
Отдельные пользователи также могут выполнить команду с одним или несколькими из параметров, перечисленных в таблице ниже:
 
Параметр Пояснение
-h, --help Показать синтаксис этой команды
-h, --debug Отображение сообщений отладки
-v, --verbose Включить подробный (более надежный) вывод
--no-color Отключение цветного вывода
Пример результата: 
wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.


Реализованные тесты

При запуске isi_auth_expert выполняются следующие проверки:


Проверки процессов

Этот тест подтверждает, что процессы, связанные с аутентификацией (lsass, lwio и netlogon), запущены. Если какой-либо из процессов не запущен, возвращается сообщение об ошибке.


Active Directory

В следующем разделе описываются тесты, которые isi_auth_expert выполняется для каждого поставщика Active Directory (AD).

  • Проверка возможности
    подключения контроллера домена Определите, имеет ли кластер базовое сетевое подключение хотя бы к одному контроллеру домена (DC) в домене AD.

Проверьте порты
постоянного токаУбедитесь, что для каждого контроллера домена кластер может подключаться к портам, связанным с AD, и что порты принимают подключения.
 

Порт Пояснение Использование AD Тип трафика
88 Порт 88 используется для трафика аутентификации Kerberos. Аутентификация пользователей и компьютеров, тресты на уровне леса Kerberos
139 Порт 139 используется для трафика NetBIOS и NetLogon. Аутентификация пользователей и компьютеров, репликация DFSN, NetBIOS Session Service, NetLogon
389 Порт 389 используется для запросов LDAP. Каталоги, репликация, аутентификация пользователей и компьютеров, групповая политика, доверие LDAP
445 Для репликации используется порт 445. Репликация, аутентификация пользователей и компьютеров, групповая политика, доверие. SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
3268 Порт 3268 используется для запросов к глобальному каталогу к протоколу LDAP. (используется, если в поставщике AD включен глобальный каталог) Каталоги, репликация, аутентификация пользователей и компьютеров, групповая политика, доверие LDAP GC


LDAP

В следующем разделе описываются тесты, которые isi_auth_expert выполняется для каждого поставщика LDAP.

Возможности подключения по протоколу LDAP

  • Проверьте возможность подключения к серверу LDAP, создав анонимную привязку LDAP и проверив результаты.

Поддержка перечисленных объектов LDAP

  • Убедитесь, что каждый сервер LDAP поддерживает перечисленные объекты, проверив поддерживаемые элементами управления серверов LDAP. Для OneFS требуются либо выгружаемые элементы управления результатами, либо виртуальное представление списка и элементы управления сортировкой на стороне сервера.

Проверить настроенное base-dn

  • Выполните тестовый запрос к настроенному base-dn, чтобы убедиться в совместимости конфигурации с сервером LDAP.

Проверить настроенное имя с базы данных пользователя

  • Выполните тестовый запрос к настроенному user-base-dn, чтобы убедиться в совместимости конфигурации с сервером LDAP.

Проверить настроенное базовое-доменное имя группы

  • Выполните тестовый запрос к настроенному group-base-dn, чтобы убедиться в совместимости конфигурации с сервером LDAP.


Другие проверки и параметры в OneFS 7.2.1.5 и более поздних версиях

Следующие проверки были добавлены в OneFS 7.2.1.5.

  • Active Directory

    • Проверка задержки контроллера домена
    • Проверка расхождения часов и задержки
    • Проверка службы глобального каталога для пользователей (SFU)
  • LDAP — проверка пользователя
  • Kerberos — имя субъекта-службы (SPN) проверяет зоны и псевдонимы SmartConnect
В строке isi_auth_expert Команда может вычислять два типа задержек: Задержка проверки связи и задержки LDAP для всех контроллеров домена. Если разность часов составляет менее пяти минут, команда возвращает: «Разница между поставщиком AD и вашим компьютером минимальна или отсутствует».

Также были добавлены следующие параметры.
 
Параметр     Пояснение
--ldap-user Проверяет поставщик LDAP для указанного пользователя
--sfu-user Проверяет наличие определенного пользователя в глобальном каталоге Active Directory
--admin-creds Введите учетные данные, необходимые при проверке глобального каталога Active Directory.


Проверка атрибутов пользователя LDAP

Чтобы выполнить проверку атрибутов пользователя LDAP, необходимо выполнить команду isi_auth_expert с помощью команды --ldap-user=<user> где <user> — это пользователь, которого вы хотите проверить. Для работы поиска имя пользователя должно иметь форму "plain name". При проверке атрибутов пользователя LDAP устанавливается соединение с сервером LDAP и запрашивается у него сведения об указанном пользователе. Затем мы можем проверить результаты запроса, чтобы убедиться, что у пользователя есть все необходимые атрибуты, необходимые для аутентификации в любом домене.


Проверка SFU глобального каталога Active Directory

Сервер глобального каталога — это контроллер домена, содержащий информацию о домене, с которым он связан, и обо всех других доменах в лесу. Как и сервер LDAP, глобальный каталог содержит список данных, связанных с доменом, которым он управляет, в дополнение к частичной копии данных, получаемых от других контроллеров домена. Если в нем нет всех данных, совместно используемых контроллерами домена, могут возникнуть проблемы с проверкой подлинности.

Чтобы выполнить проверку SFU глобального каталога Active Directory, необходимо выполнить команду isi_auth_expert с помощью команды --sfu-user=<user> и --admin-creds="[('<Domain>', '<User>', '<password>')]" параметры, где <user> — это пользователь SFU, которого вы хотите проверить, а "[('<Domain>', '<User>', '<password>')]" - это учетные данные isi_auth_expert команда должна обеспечивать выполнение поиска по глобальному каталогу в контроллере домена. При проверке глобального каталога действует следующее ограничение: Необходимо указать учетные данные администратора.


Проверка имени субъекта сервера (SPN)

Имена SPN могут привести к сбоям проверки подлинности, если они отсутствуют при присоединении к поставщику Kerberos или при изменении имени зоны SmartConnect. В строке isi_auth_expert определяет, являются ли SPN отсутствующими, устаревшими или неправильными. Эта функция запускается автоматически каждый раз, когда isi_auth_expert Выполняется команда.

Эта функция используется для проверки отсутствия имен SPN как в поставщиках Kerberos, так и в зонах SmartConnect. Команда собирает данные обо всех SPN, связанных с поставщиками и зонами SmartConnect, и проверяет наличие необходимых SPN.

Если вы используете псевдонимы SmartConnect, он также проверяет соответствие с этими псевдонимами. Вы можете использовать метод isi auth ads spn или isi auth krb5 spn команды для перечисления, проверки или исправления отсутствующих имен SPN.

Affected Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000126268
Article Type: Solution
Last Modified: 29 Apr 2024
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.