Isilon: Verwenden des Befehls „PowerScale OneFS isi_auth_expert“ zum Managen von Authentifizierungsproblemen

Nicht erforderlich

Nicht erforderlich

Einführung

Administratoren können den Befehl isi_auth_expert Befehl zum Untersuchen der Authentifizierungsumgebung eines PowerScale OneFS-Clusters. Auf diese Weise kann sichergestellt werden, dass er ordnungsgemäß konfiguriert ist, und Bedingungen identifiziert werden, die aufgrund von Authentifizierungsproblemen zu einer Latenz beim Datenzugriff führen könnten.

Das isi_auth_expert führt eine Reihe von Tests aus, einschließlich Netzwerk- und Portkonnektivität und Latenz, Bindung und Zeitabweichung. Diese Ergebnisse können verwendet werden, um eine problematische Konfiguration oder einen problematischen Netzwerkpfad zu isolieren, die/der Probleme beim Datenzugriff verursacht.

Einzelpersonen können dieses Tool ausführen:

• Wenn bei bestehenden oder neuen Nutzern beim Herstellen einer Verbindung zu einer Freigabe Latenz auftritt oder sie beim Zugriff auf Daten zur Eingabe von Anmeldeinformationen aufgefordert werden
• Wenn das Cluster Ereignisse in Bezug auf den Offlinestatus von Active Directory oder LDAP (Lightweight Directory Access Protocol) meldet
• Nach dem Ändern des Authentifizierungsanbieter-Setups
• Nachdem sich Konfigurationsänderungen auf die Netzwerkpfade zwischen einem Cluster und seinen Authentifizierungsanbietern ausgewirkt haben

Anweisungen

So führen Sie die isi_auth_expert gehen Sie wie folgt vor:

isi_auth_expert

Einzelpersonen können den Befehl auch mit einer oder mehreren der in der folgenden Tabelle aufgeführten Optionen ausführen:
 

Option	Erklärung
-h, --help	Syntax für diesen Befehl anzeigen
-h, --debug	Debugging-Meldungen anzeigen
-v, --verbose	Aktivieren einer ausführlichen (robusteren) Ausgabe
--no-color	Farbausgabe deaktivieren

Beispiel Ausgabe:

wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.

Implementierte Tests

Beim Ausführen isi_auth_expert werden die folgenden Prüfungen durchgeführt:

Prozessprüfungen

Dieser Test bestätigt, dass die authentifizierungsbezogenen Prozesse (lsass, lwio und netlogon) ausgeführt werden. Wenn einer der Prozesse nicht ausgeführt wird, wird ein Fehler zurückgegeben.

Active Directory

Im folgenden Abschnitt werden die Tests beschrieben, die die isi_auth_expert wird für jeden AD-Anbieter (Active Directory) ausgeführt.

• Überprüfen der Domain-Controller-Konnektivität
  Stellen Sie fest, ob der Cluster über eine grundlegende Netzwerkverbindung zu mindestens einem Domain Controller (DC) in der AD-Domain verfügt.

DC-Anschlüsse
prüfenÜberprüfen Sie für jeden Domänencontroller, ob das Cluster eine Verbindung zu den AD-bezogenen Ports herstellen kann und ob die Ports Verbindungen akzeptieren.
 

Schnittstelle	Erklärung	AD-Nutzung	Datenverkehrstyp
88	Port 88 wird für den Kerberos-Authentifizierungsdatenverkehr verwendet.	Nutzer- und Computerauthentifizierung, Vertrauensstellungen auf Gesamtstrukturebene	Kerberos
139	Port 139 wird für NetBIOS- und NetLogon-Datenverkehr verwendet.	Nutzer- und Computerauthentifizierung, Replikation	DFSN, NetBIOS-Sitzungsservice, NetLogon
389	Port 389 wird für LDAP-Abfragen verwendet.	Verzeichnis, Replikation, Nutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen	DAP
445	Port 445 wird für die Replikation verwendet.	Replikation, Nutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen.	SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
3268	Port 3268 wird für globale LDAP-Katalogabfragen verwendet. (wird verwendet, wenn der globale Katalog im AD-Anbieter aktiviert ist)	Verzeichnis, Replikation, Nutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen	LDAP-GC

DAP

Im folgenden Abschnitt werden die Tests beschrieben, die die isi_auth_expert wird für jeden LDAP-Anbieter ausgeführt.

LDAP-Konnektivität

• Überprüfen Sie die LDAP-Serverkonnektivität, indem Sie eine anonyme LDAP-Bindung erstellen und die Ergebnisse überprüfen.

Unterstützung für LDAP-Aufzählungsobjekte

• Vergewissern Sie sich, dass jeder LDAP-Server Aufzählungsobjekte unterstützt, indem Sie die unterstützten Steuerelemente der LDAP-Server überprüfen. OneFS erfordert entweder die Steuerelemente für ausgelagerte Ergebnisse oder sowohl die virtuelle Listenansicht als auch serverseitige Sortiersteuerelemente.

Konfigurierten base-dn validieren

• Führen Sie eine Testabfrage für den konfigurierten base-dn durch, um die Konfigurationskompatibilität mit dem LDAP-Server sicherzustellen.

Konfigurierten user-base-dn validieren

• Führen Sie eine Testabfrage für den konfigurierten "user-base-dn" durch, um die Konfigurationskompatibilität mit dem LDAP-Server sicherzustellen.

Konfigurierten group-base-dn validieren

• Führen Sie eine Testabfrage für den konfigurierten gruppenbasierten DN durch, um die Konfigurationskompatibilität mit dem LDAP-Server sicherzustellen.

Andere Prüfungen und Parameter in OneFS 7.2.1.5 und höher

Die folgenden Prüfungen wurden in OneFS 7.2.1.5 hinzugefügt.

• Active Directory

  • Latenzprüfung des Domänencontrollers
  • Überprüfung der Zeitabweichung und der Latenz
  • Globaler Katalogservice für Nutzer(SFU)-Prüfung
• LDAP – Nutzerprüfung
• Kerberos – Service Principal Name (SPN) prüft auf SmartConnect-Zonen und -Aliasnamen

Der isi_auth_expert können zwei Arten von Latenzen berechnet werden: Ping-Latenz und LDAP-Latenz für alle Domain Controller. Wenn die Zeitabweichung weniger als fünf Minuten beträgt, gibt der Befehl Folgendes zurück: "Es gibt nur minimale oder gar keine Abweichung zwischen dem AD-Anbieter und Ihrem Computer."

Die folgenden Parameter wurden ebenfalls hinzugefügt.
 

Option	Erklärung
--ldap-user	Prüft den LDAP-Anbieter auf einen bestimmten Nutzer
--sfu-user	Überprüft den globalen Active Directory-Katalog auf einen bestimmten Nutzer
--admin-creds	Geben Sie die Zugangsdaten an, die zum Überprüfen des globalen Active Directory-Katalogs erforderlich sind.

LDAP-Nutzerattributprüfung

Um die LDAP-Nutzerattributprüfung auszuführen, müssen Sie den Befehl isi_auth_expert Befehl mit dem Befehl --ldap-user=<user> Parameter, wobei <user> der Nutzer ist, den Sie überprüfen möchten. Der Benutzername muss die Form "Klarname" haben, damit die Suche funktioniert. Die LDAP-Nutzerattributprüfung stellt eine Verbindung zu einem LDAP-Server her und fragt diesen für den angegebenen Nutzer ab. Anschließend können wir die Ergebnisse der Abfrage überprüfen, um sicherzustellen, dass der Nutzer über alle erforderlichen Attribute verfügt, die für die Authentifizierung in einer beliebigen Domain erforderlich sind.

SFU-Überprüfung des globalen Active Directory-Katalogs

Ein globaler Katalogserver ist ein Domänencontroller, der Informationen über die Domäne enthält, der er zugeordnet ist, und alle anderen Domänen in der Gesamtstruktur. Wie ein LDAP-Server verfügt der globale Katalog über eine Liste der Daten, die der Domäne zugeordnet sind, die er steuert, sowie über eine partielle Kopie der Daten, die er von anderen Domaincontrollern erhält. Wenn sie nicht über alle Daten verfügt, die von den Domain Controllern gemeinsam verwendet werden, können Authentifizierungsprobleme auftreten.

Um die SFU-Prüfung des globalen Active Directory-Katalogs auszuführen, müssen Sie den Befehl isi_auth_expert Befehl mit dem Befehl --sfu-user=<user> und --admin-creds="[('<Domain>', '<User>', '<password>')]" Parameter, wobei <user> der SFU-Benutzer ist, den Sie überprüfen möchten, und "[('<Domain', '<User>>', '<password>')]" sind die Anmeldeinformationen, die die isi_auth_expert muss angegeben werden, um die Suche nach dem globalen Katalog im Domain Controller durchzuführen. Beim Überprüfen des globalen Katalogs gibt es folgende Einschränkung: Sie müssen Administrator-Anmeldeinformationen angeben.

Prüfung des Serverprinzipalnamens (SPN)

SPNs können zu Authentifizierungsfehlern führen, wenn sie beim Beitritt zu einem Kerberos-Anbieter nicht vorhanden sind oder wenn Sie den Namen einer SmartConnect-Zone ändern. Der isi_auth_expert bestimmt, ob SPNs fehlen, veraltet oder falsch sind. Diese Funktion wird automatisch ausgeführt, wenn die isi_auth_expert ausgeführt wird.

Diese Funktion wird verwendet, um in Kerberos-Anbietern und auch in SmartConnect-Zonen nach fehlenden SPNs zu suchen. Der Befehl erfasst alle SPNs, die den Anbietern und SmartConnect-Zonen zugeordnet sind, und stellt sicher, dass die erforderlichen SPNs vorhanden sind.

Wenn Sie SmartConnect-Aliasnamen verwenden, werden diese Aliase ebenfalls geprüft. Sie können die Funktion isi auth ads spn oder isi auth krb5 spn Befehle zum Auflisten, Prüfen oder Beheben von gemeldeten fehlenden SPNs.