Isilon: Usar el comando isi_auth_expert de PowerScale OneFS para administrar problemas de autenticación (en inglés)

No se requiere

No se requiere

Introducción

Los administradores pueden ejecutar el comando isi_auth_expert para examinar el entorno de autenticación de un clúster de PowerScale OneFS. Esto puede ayudar a garantizar que esté configurado correctamente e identificar las condiciones que podrían estar causando latencia de acceso a datos como resultado de problemas de autenticación.

El isi_auth_expert ejecuta una serie de pruebas, incluidas la conectividad y la latencia de red y puertos, el enlace y la desviación del reloj. Estos resultados se pueden utilizar para aislar una configuración problemática o una ruta de red que está causando problemas de acceso a datos.

Es posible que las personas deseen ejecutar esta herramienta:

• Cuando los usuarios nuevos o existentes experimentan latencia mientras se conectan a un recurso compartido, o se les solicita que ingresen credenciales de inicio de sesión cuando acceden a los datos
• Cuando el clúster informa eventos relacionados con el estado offline de Active Directory o el protocolo ligero de acceso a directorios (LDAP)
• Después de modificar la configuración del proveedor de autenticación
• Después de que los cambios en la configuración hayan afectado las rutas de red entre un clúster y sus proveedores de autenticación

Instrucciones

Para ejecutar el isi_auth_expert , realice lo siguiente:

isi_auth_expert

Los usuarios también pueden ejecutar el comando con una o más de las opciones que se enumeran en la tabla siguiente:
 

Opción	Explicación
-h, --help	Mostrar la sintaxis de este comando
-h, --debug	Mostrar mensajes de depuración
-v, --verbose	Habilitar una salida detallada (más robusta)
--no-color	Desactivar la salida coloreada

Ejemplo del mensaje de salida:

wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.

Pruebas implementadas

Cuando se ejecuta isi_auth_expert , se realizan las siguientes comprobaciones:

Comprobaciones del proceso

Esta prueba confirma que los procesos relacionados con la autenticación (lsass, lwio y netlogon) se están ejecutando. Si alguno de los procesos no está en ejecución, se muestra un error.

Active Directory

En la siguiente sección, se describen las pruebas que isi_auth_expert se ejecuta para cada proveedor de Active Directory (AD).

• Comprobar la conectividad
  de la controladora de dominio Determine si el clúster tiene conectividad de red básica con al menos una controladora de dominio (DC) en el dominio de AD.

Comprobar puertos
de CCVerifique que, por cada DC, el clúster pueda conectarse a los puertos relacionados con AD y que los puertos acepten conexiones.
 

Puerto	Explicación	Uso de AD	Tipo de tráfico
88	El puerto 88 se utiliza para el tráfico de autenticación Kerberos.	Autenticación de usuarios y equipos, confianzas en el nivel de bosque	Kerberos
139	El puerto 139 se utiliza para el tráfico de NetBIOS y NetLogon.	Autenticación de usuarios y computadoras, Replicación	DFSN, servicio de sesión de NetBIOS, NetLogon
389	El puerto 389 se utiliza para consultas de LDAP.	Directorio, replicación, autenticación de usuarios y equipos, política de grupo, confianzas	LDAP
445	El puerto 445 se utiliza para la replicación.	Replicación, autenticación de computadoras y usuarios, política de grupo, confianzas.	SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
3268	El puerto 3268 se utiliza para las consultas de LDAP del catálogo global. (se usa si el catálogo global en el proveedor de AD está habilitado)	Directorio, replicación, autenticación de usuarios y equipos, política de grupo, confianzas	LDAP GC

LDAP

En la siguiente sección, se describen las pruebas que isi_auth_expert se ejecuta para cada proveedor de LDAP.

Conectividad LDAP

• Compruebe la conectividad del servidor LDAP realizando un enlace LDAP anónimo y comprobando los resultados.

Compatibilidad con objetos enumerados de LDAP

• Confirme que cada servidor LDAP sea compatible con los objetos enumerados. Para ello, compruebe los controles soportados por los servidores LDAP. OneFS requiere los controles de resultados paginados o la vista de lista virtual y los controles de clasificación del lado del servidor.

Validar el DN base configurado

• Realice una consulta de prueba en el DN base configurado para garantizar la compatibilidad de la configuración con el servidor LDAP.

Validar user-base-dn configurado

• Realice una consulta de prueba en el user-base-dn configurado para garantizar la compatibilidad de la configuración con el servidor LDAP.

Validar group-base-dn configurado

• Realice una consulta de prueba en el group-base-dn configurado para garantizar la compatibilidad de la configuración con el servidor LDAP.

Otras comprobaciones y parámetros en OneFS 7.2.1.5 y versiones posteriores

Las siguientes comprobaciones se agregaron en OneFS 7.2.1.5.

• Active Directory

  • Comprobación de latencia de la controladora de dominio
  • Verificación de latencia y sesgo del reloj
  • Servicio de catálogo global para verificación de usuario (SFU)
• LDAP: comprobación de usuario
• Kerberos: el nombre principal de servicio (SPN) busca zonas y alias de SmartConnect

La carpeta isi_auth_expert puede calcular dos tipos de latencias: Latencia de ping y latencia de LDAP para todas las controladoras de dominio. Si la desviación del reloj es inferior a cinco minutos, el comando devuelve lo siguiente: "Hay un sesgo mínimo o nulo entre el proveedor de AD y su máquina".

También se agregaron los siguientes parámetros.
 

Opción	Explicación
--ldap-user	Comprueba el proveedor de LDAP de un usuario especificado
--sfu-user	Comprueba el catálogo global de Active Directory de un usuario especificado
--admin-creds	Proporcione las credenciales necesarias para comprobar el catálogo global de Active Directory.

Comprobación de atributos de usuario de LDAP

Para ejecutar la comprobación de atributos de usuario de LDAP, debe ejecutar el isi_auth_expert con el comando --ldap-user=<user> parámetro donde <user> es el usuario que desea comprobar. El nombre de usuario debe tener el formato "nombre sin formato" para que la búsqueda funcione. La comprobación de atributos de usuario de LDAP se conecta a un servidor LDAP y consulta para el usuario especificado. A continuación, podemos comprobar los resultados de la consulta para asegurarnos de que el usuario tiene todos los atributos necesarios para la autenticación en cualquier dominio.

Comprobación de SFU del catálogo global de Active Directory

Un servidor de catálogo global es una controladora de dominio que tiene información sobre el dominio al que está asociado y todos los demás dominios del bosque. Al igual que un servidor LDAP, el catálogo global tiene una lista de datos asociados con el dominio que controla, además de una copia parcial de los datos que obtiene de otros controladores de dominio. Si no tiene todos los datos que comparten los controladores de dominio, podría haber problemas de autenticación.

Para ejecutar la comprobación de SFU del catálogo global de Active Directory, debe ejecutar el isi_auth_expert con el comando --sfu-user=<user> y --admin-creds="[('<Domain>', '<User>', '<password>')]" parámetros en los que <user> es el usuario de SFU que desea comprobar y "[('<Domain>', '<User>', '<password>')]" son las credenciales que isi_auth_expert debe proporcionar para realizar la búsqueda del catálogo global en la controladora de dominio. Tenemos la siguiente limitación cuando se revisa el catálogo global: Debe proporcionar credenciales de administrador.

Comprobación del nombre principal del servidor (SPN)

Los SPN pueden causar errores de autenticación si no están presentes cuando se une a un proveedor de Kerberos o si cambia el nombre de una zona de SmartConnect. La carpeta isi_auth_expert determina si faltan SPN, si están obsoletos o son incorrectos. Esta función se ejecuta automáticamente cada vez que isi_auth_expert se ejecuta el comando.

Esta característica se usa para comprobar si faltan SPN en ambos proveedores de Kerberos y también en las zonas de SmartConnect. El comando recolecta todos los SPN asociados con los proveedores y las zonas de SmartConnect, y garantiza que los SPN necesarios estén presentes.

Si utiliza alias de SmartConnect, también se comprueban esos alias. Puede utilizar la función isi auth ads spn o isi auth krb5 spn comandos para enumerar, comprobar o corregir los SPN faltantes notificados.