Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000126268

Isilon: Použití příkazu isi_auth_expert systému PowerScale OneFS ke správě problémů s ověřením

Summary: Tento článek vysvětluje, jak používat příkaz Isilon OneFS isi_auth_expert ke správě ověřování.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Není vyžadováno

Cause

Není vyžadováno

Resolution

Úvod

Správci mohou spustit isi_auth_expert Příkaz k prozkoumání ověřovacího prostředí clusteru PowerScale OneFS. To může pomoct zajistit správnou konfiguraci a identifikovat podmínky, které by mohly způsobovat latenci přístupu k datům v důsledku problémů s ověřováním.

isi_auth_expert Příkaz spustí řadu testů, včetně připojení k síti a portům a latence, vazby a nerovnoměrné distribuce hodin. Tyto výsledky lze použít k izolaci problematické konfigurace nebo síťové cesty, která způsobuje problémy s přístupem k datům.

Jednotlivci mohou chtít spustit tento nástroj:
  • Když stávající nebo noví uživatelé zaznamenají latenci při připojování ke sdílené složce nebo jsou při přístupu k datům vyzváni k zadání přihlašovacích údajů
  • Když cluster hlásí události týkající se stavu offline služby Active Directory nebo protokolu LDAP (Lightweight Directory Access Protocol)
  • Po úpravě nastavení zprostředkovatele ověřování
  • Poté, co změny konfigurace ovlivnily síťové cesty mezi clusterem a jeho zprostředkovateli ověřování
Poznámka: Byly přidány nové posudky a parametry isi_auth_expert v systému OneFS 7.2.1.5. Další informace naleznete v části Další kontroly a parametry v systému OneFS 7.2.1.5 a novějších v tomto článku.


Pokyny

Chcete-li spustit isi_auth_expert proveďte následující kroky: 
isi_auth_expert
Jednotlivci mohou příkaz spustit také s jednou nebo více možnostmi uvedenými v následující tabulce:
 
Možnost Vysvětlení
-h, --help Zobrazí syntaxi tohoto příkazu.
-h, --debug Zobrazení zpráv o ladění
-v, --verbose Povolit podrobnější (robustnější) výstup
--no-color Zakázat barevný výstup
Příklad výstupu: 
wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.


Realizované testy

Při běhu isi_auth_expert provedou se následující posudky:


Procesní kontroly

Tento test potvrzuje, že jsou spuštěné procesy související s ověřováním (lsass, lwio a netlogon). Pokud některý z procesů není spuštěn, zobrazí se chyba.


Active Directory

V následující části jsou popsány testy, které isi_auth_expert Příkaz se provádí pro každého poskytovatele služby Active Directory (AD).

  • Kontrola připojení
    řadiče domény Zjistěte, zda má cluster základní síťové připojení alespoň k jednomu řadiči domény (DC) v doméně AD.

Kontrola DC portů
Ověřte, že se cluster pro každý řadič domény může připojit k portům souvisejícím se službou AD a že porty přijímají připojení.
 

Port Vysvětlení Použití AD Typ provozu
88 Port 88 se používá pro přenosy ověřování Kerberos. Ověřování uživatelů a počítačů, vztahy důvěryhodnosti na úrovni doménové struktury Kerberos
139 Port 139 se používá pro přenosy NetBIOS a NetLogon. Autentizace uživatelů a počítačů, replikace DFSN, NetBIOS Session Service, NetLogon
389 Port 389 se používá pro dotazy LDAP. Adresář, replikace, ověřování uživatelů a počítačů, zásady skupiny, vztahy důvěryhodnosti LDAP
445 Port 445 se používá pro replikaci. Replikace, ověřování uživatelů a počítačů, zásady skupiny, vztahy důvěryhodnosti. SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
3268 Port 3268 se používá pro dotazy LDAP globálního katalogu. (používá se, pokud je povolený globální katalog u poskytovatele AD) Adresář, replikace, ověřování uživatelů a počítačů, zásady skupiny, vztahy důvěryhodnosti LDAP GC


LDAP

V následující části jsou popsány testy, které isi_auth_expert pro každého zprostředkovatele LDAP.

Konektivita LDAP

  • Zkontrolujte připojení k serveru LDAP vytvořením anonymní vazby LDAP a kontrolou výsledků.

Podpora objektů ve výčtu LDAP

  • Ověřte, zda každý server LDAP podporuje výčtové objekty, a to tak, že zkontrolujete podporované ovládací prvky serverů LDAP. Systém OneFS vyžaduje ovládací prvky stránkovaných výsledků nebo zobrazení virtuálního seznamu i ovládací prvky řazení na straně serveru.

Ověření nakonfigurovaného base-dn

  • Proveďte testovací dotaz na nakonfigurované base-dn, abyste zajistili kompatibilitu konfigurace se serverem LDAP.

Ověření nakonfigurovaného user-base-dn

  • Proveďte testovací dotaz na nakonfigurované user-base-dn, abyste zajistili kompatibilitu konfigurace se serverem LDAP.

Ověření nakonfigurovaného group-base-dn

  • Proveďte testovací dotaz na nakonfigurovaný group-base-dn, abyste zajistili kompatibilitu konfigurace se serverem LDAP.


Další kontroly a parametry v systému OneFS 7.2.1.5 a novějším

Do systému OneFS 7.2.1.5 byly přidány následující kontroly.

  • Active Directory

    • Kontrola latence řadiče domény
    • Kontrola rozdílu hodin a latence
    • Služba globálního katalogu pro kontrolu uživatele (SFU)
  • LDAP – kontrola uživatele
  • Kerberos – hlavní název služby (SPN) kontroluje zóny a aliasy SmartConnect
Řádek isi_auth_expert příkaz může vypočítat dva typy latencí: Latence příkazu ping a latence protokolu LDAP pro všechny řadiče domény. Pokud je nerovnoměrná distribuce hodin menší než pět minut, příkaz vrátí: "Mezi poskytovatelem služby AD a vaším počítačem

je minimální nebo žádný rozdíl."Byly také přidány následující parametry.
 
Možnost     Vysvětlení
--ldap-user Zkontroluje poskytovatele LDAP pro zadaného uživatele.
--sfu-user Kontrola globálního katalogu služby Active Directory pro zadaného uživatele
--admin-creds Zadejte pověření, která jsou vyžadována při kontrole globálního katalogu služby Active Directory.


Kontrola atributů uživatele LDAP

Chcete-li spustit kontrolu atributů uživatele LDAP, je nutné spustit příkaz isi_auth_expert pomocí příkazu --ldap-user=<user> parametr, kde <uživatel> je uživatel, kterého chcete zkontrolovat. Uživatelské jméno musí být ve tvaru "prosté jméno", aby vyhledávání fungovalo. Kontrola atributů uživatele LDAP se připojí k serveru LDAP a dotáže se na určeného uživatele. Výsledky dotazu pak můžeme zkontrolovat, abychom se ujistili, že uživatel má všechny potřebné atributy potřebné pro autentizaci v jakékoli doméně.


Kontrola SFU globálního katalogu služby Active Directory

Server globálního katalogu je řadič domény, který obsahuje informace o doméně, ke které je přidružen, a o všech ostatních doménách v doménové struktuře. Podobně jako server LDAP obsahuje globální katalog kromě částečné kopie dat získaných z jiných řadičů domény také seznam dat přidružených k doméně, kterou řídí. Pokud neobsahuje všechna data, která řadiče domény sdílejí, může dojít k problémům s ověřováním.

Chcete-li spustit kontrolu SFU globálního katalogu služby Active Directory, je nutné spustit příkaz isi_auth_expert pomocí příkazu --sfu-user=<user> a --admin-creds="[('<Domain>', '<User>', '<password>')]" parametry, kde <uživatel> je uživatel SFU, kterého chcete zkontrolovat, a "[('<Doména>', '<Uživatel>', '<heslo>')]" jsou přihlašovací údaje, které isi_auth_expert Příkaz musí zadat, aby bylo možné provést vyhledávání globálního katalogu v řadiči domény. Při kontrole globálního katalogu platí následující omezení: Je nutné zadat přihlašovací údaje správce.


Kontrola hlavního názvu serveru (SPN)

Hlavní názvy služeb (SPN) mohou způsobit selhání ověřování, pokud nejsou přítomny při připojení k poskytovateli služby Kerberos nebo pokud změníte název zóny SmartConnect. Řádek isi_auth_expert určuje, zda názvy SPN chybí, jsou zastaralé nebo nesprávné. Tato funkce se spustí automaticky vždy, když isi_auth_expert příkaz se spustí.

Tato funkce se používá ke kontrole chybějících názvů SPN u poskytovatelů protokolu Kerberos a také v zónách SmartConnect. Příkaz shromáždí všechny hlavní názvy služeb (SPN) přidružené k poskytovatelům a zónám SmartConnect a zajistí, aby byly přítomny požadované názvy SPN.

Pokud používáte aliasy SmartConnect, zkontroluje také tyto aliasy. Pomocí tlačítka isi auth ads spn nebo isi auth krb5 spn příkazy k výpisu, kontrole nebo opravě nahlášených chybějících názvů SPN.

Article Properties

Affected Product

Isilon, PowerScale OneFS

Last Published Date

29 Apr 2024

Version

7

Article Type

Solution

Back to Top