Article Number: 000126268
isi_auth_expert
Befehl zum Untersuchen der Authentifizierungsumgebung eines PowerScale OneFS-Clusters. Auf diese Weise kann sichergestellt werden, dass er ordnungsgemäß konfiguriert ist, und Bedingungen identifiziert werden, die aufgrund von Authentifizierungsproblemen zu einer Latenz beim Datenzugriff führen könnten.
isi_auth_expert
führt eine Reihe von Tests aus, einschließlich Netzwerk- und Portkonnektivität und Latenz, Bindung und Zeitabweichung. Diese Ergebnisse können verwendet werden, um eine problematische Konfiguration oder einen problematischen Netzwerkpfad zu isolieren, die/der Probleme beim Datenzugriff verursacht.
isi_auth_expert
in OneFS 7.2.1.5. Weitere Informationen finden Sie im Abschnitt Zusätzliche Prüfungen und Parameter in OneFS 7.2.1.5 und höher dieses Artikels.
isi_auth_expert
gehen Sie wie folgt vor:
isi_auth_expertEinzelpersonen können den Befehl auch mit einer oder mehreren der in der folgenden Tabelle aufgeführten Optionen ausführen:
Option | Erklärung |
-h, --help |
Syntax für diesen Befehl anzeigen |
-h, --debug |
Debugging-Meldungen anzeigen |
-v, --verbose |
Aktivieren einer ausführlichen (robusteren) Ausgabe |
--no-color |
Farbausgabe deaktivieren |
wcvirt1-1# isi_auth_expert Checking authentication process health ... done Checking LDAP provider 'ldaptest' server connectivity ... done Checking LDAP provider 'ldaptest' base dn ... done Checking LDAP provider 'ldaptest' object enumeration support ... done Checking LDAP provider 'ldaptest' group base dn ... done Checking LDAP provider 'ldaptest' user base dn ... done [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider 'ldaptest' was not found on LDAP server ldaptest.west.isilon.com. Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1 .wmc-ada.west.isilon.com on port 3268.
Beim Ausführen isi_auth_expert
werden die folgenden Prüfungen durchgeführt:
Im folgenden Abschnitt werden die Tests beschrieben, die die isi_auth_expert
wird für jeden AD-Anbieter (Active Directory) ausgeführt.
Überprüfen der Domain-Controller-Konnektivität
Stellen Sie fest, ob der Cluster über eine grundlegende Netzwerkverbindung zu mindestens einem Domain Controller (DC) in der AD-Domain verfügt.
DC-Anschlüsse
prüfenÜberprüfen Sie für jeden Domänencontroller, ob das Cluster eine Verbindung zu den AD-bezogenen Ports herstellen kann und ob die Ports Verbindungen akzeptieren.
Schnittstelle | Erklärung | AD-Nutzung | Datenverkehrstyp |
---|---|---|---|
88 | Port 88 wird für den Kerberos-Authentifizierungsdatenverkehr verwendet. | Nutzer- und Computerauthentifizierung, Vertrauensstellungen auf Gesamtstrukturebene | Kerberos |
139 | Port 139 wird für NetBIOS- und NetLogon-Datenverkehr verwendet. | Nutzer- und Computerauthentifizierung, Replikation | DFSN, NetBIOS-Sitzungsservice, NetLogon |
389 | Port 389 wird für LDAP-Abfragen verwendet. | Verzeichnis, Replikation, Nutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen | DAP |
445 | Port 445 wird für die Replikation verwendet. | Replikation, Nutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen. | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
3268 | Port 3268 wird für globale LDAP-Katalogabfragen verwendet. (wird verwendet, wenn der globale Katalog im AD-Anbieter aktiviert ist) | Verzeichnis, Replikation, Nutzer- und Computerauthentifizierung, Gruppenrichtlinien, Vertrauensstellungen | LDAP-GC |
isi_auth_expert
wird für jeden LDAP-Anbieter ausgeführt.
LDAP-Konnektivität
Unterstützung für LDAP-Aufzählungsobjekte
Konfigurierten base-dn validieren
Konfigurierten user-base-dn validieren
Konfigurierten group-base-dn validieren
Die folgenden Prüfungen wurden in OneFS 7.2.1.5 hinzugefügt.
Active Directory
isi_auth_expert
können zwei Arten von Latenzen berechnet werden: Ping-Latenz und LDAP-Latenz für alle Domain Controller. Wenn die Zeitabweichung weniger als fünf Minuten beträgt, gibt der Befehl Folgendes zurück: "Es gibt nur minimale oder gar keine Abweichung zwischen dem AD-Anbieter und Ihrem Computer."
Option | Erklärung |
---|---|
--ldap-user |
Prüft den LDAP-Anbieter auf einen bestimmten Nutzer |
--sfu-user |
Überprüft den globalen Active Directory-Katalog auf einen bestimmten Nutzer |
--admin-creds |
Geben Sie die Zugangsdaten an, die zum Überprüfen des globalen Active Directory-Katalogs erforderlich sind. |
isi_auth_expert
Befehl mit dem Befehl --ldap-user=<user>
Parameter, wobei <user> der Nutzer ist, den Sie überprüfen möchten. Der Benutzername muss die Form "Klarname" haben, damit die Suche funktioniert. Die LDAP-Nutzerattributprüfung stellt eine Verbindung zu einem LDAP-Server her und fragt diesen für den angegebenen Nutzer ab. Anschließend können wir die Ergebnisse der Abfrage überprüfen, um sicherzustellen, dass der Nutzer über alle erforderlichen Attribute verfügt, die für die Authentifizierung in einer beliebigen Domain erforderlich sind.
isi_auth_expert
Befehl mit dem Befehl --sfu-user=<user>
und --admin-creds="[('<Domain>', '<User>', '<password>')]"
Parameter, wobei <user> der SFU-Benutzer ist, den Sie überprüfen möchten, und "[('<Domain', '<User>>', '<password>')]" sind die Anmeldeinformationen, die die isi_auth_expert
muss angegeben werden, um die Suche nach dem globalen Katalog im Domain Controller durchzuführen. Beim Überprüfen des globalen Katalogs gibt es folgende Einschränkung: Sie müssen Administrator-Anmeldeinformationen angeben.
isi_auth_expert
bestimmt, ob SPNs fehlen, veraltet oder falsch sind. Diese Funktion wird automatisch ausgeführt, wenn die isi_auth_expert
ausgeführt wird.
isi auth ads spn
oder isi auth krb5 spn
Befehle zum Auflisten, Prüfen oder Beheben von gemeldeten fehlenden SPNs.Isilon, PowerScale OneFS
29 Apr 2024
7
Solution