Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000126268

Ісілон: Використання команди PowerScale OneFS isi_auth_expert для керування проблемами автентифікації

Summary: У цій статті пояснюється, як використовувати команду Isilon OneFS isi_auth_expert для керування автентифікацією.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Не вимагається

Cause

Не вимагається

Resolution

Введення

Адміністратори можуть запускати функцію isi_auth_expert для перевірки середовища автентифікації кластера PowerScale OneFS. Це може допомогти переконатися, що він правильно налаштований, і визначити умови, які можуть спричинити затримку доступу до даних через проблеми з автентифікацією.

Об'єкт isi_auth_expert Command запускає серію тестів, включаючи підключення до мережі та порту та затримку, прив'язку та перекіс тактової частоти. Ці результати можуть бути використані для ізоляції проблемної конфігурації або мережевого шляху, який спричиняє проблеми з доступом до даних.

Фізичні особи можуть захотіти запустити цей інструмент:
  • Коли наявні або нові користувачі стикаються із затримкою під час підключення до спільного ресурсу або їм пропонується ввести облікові дані для входу під час доступу до даних
  • Коли кластер повідомляє про події, пов'язані з автономним станом Active Directory або Lightweight Directory Access Protocol (LDAP)
  • Після внесення змін до настройок постачальника автентифікації
  • Після того, як зміни конфігурації вплинули на мережеві шляхи між кластером і його постачальниками автентифікації
Примітка: До каталогу додано нові перевірки та параметри isi_auth_expert в OneFS 7.2.1.5. Щоб дізнатися більше, перегляньте розділ Додаткові перевірки та параметри в OneFS 7.2.1.5 і пізніших версіях цієї статті.


Інструкції

Щоб запустити файл isi_auth_expert команду, виконайте такі дії: 
isi_auth_expert
Користувачі також можуть виконувати команду з одним або кількома параметрами, переліченими в таблиці нижче:
 
Варіант Пояснення
-h, --help Показати синтаксис цієї команди
-h, --debug Відображення діагностичних повідомлень
-v, --verbose Увімкнути докладне (надійніше) виведення
--no-color Вимкнення кольорового виводу
Приклад виведення: 
wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.


Реалізовані тести

Під час бігу isi_auth_expert команда, виконуються наступні перевірки:


Перевірка процесу

Ця перевірка підтверджує, що процеси, пов'язані з розпізнаванням (lsass, lwio і netlogon), запущені. Якщо будь-який із процесів не запущено, повертається помилка.


Active Directory

У наступному розділі описано тести, які isi_auth_expert виконується для кожного постачальника Active Directory (AD).

  • Перевірте підключення
    контролера домену Визначте, чи має кластер базове підключення до мережі принаймні з одним контролером домену (DC) у домені AD.

Перевірте порти постійного струму
Переконайтеся, що для кожного постійного струму кластер може підключатися до портів, пов'язаних з AD, і що порти приймають з'єднання.
 

Порт Пояснення Використання AD Тип трафіку
88 Порт 88 використовується для трафіку розпізнавання Kerberos. Автентифікація користувачів і комп'ютерів, трасти на рівні лісу Kerberos (Керберос)
139 Порт 139 використовується для трафіку NetBIOS і NetLogon. Аутентифікація користувачів і комп'ютерів, реплікація DFSN, Служба сеансів NetBIOS, NetLogon
389 Порт 389 використовується для запитів LDAP. Каталоги, реплікація, автентифікація користувачів і комп'ютерів, групова політика, трасти LDAP
445 Для реплікації використовується порт 445. Реплікація, аутентифікація користувачів і комп'ютерів, групова політика, трасти. SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
3268 Порт 3268 використовується для запитів LDAP у глобальному каталозі. (використовується, якщо ввімкнено загальний каталог у надавачі AD) Каталоги, реплікація, автентифікація користувачів і комп'ютерів, групова політика, трасти LDAP GC


LDAP

У наступному розділі описано тести, які isi_auth_expert виконується для кожного засобу надання даних LDAP.

Підключення LDAP

  • Перевірте з'єднання з сервером LDAP, зробивши анонімну прив'язку LDAP і перевіривши результати.

Підтримка нумерованих об'єктів LDAP

  • Переконайтеся, що на кожному сервері LDAP передбачено підтримку нумерованих об'єктів, перевіривши підтримувані елементи керування серверами LDAP. Для роботи OneFS потрібні або елементи керування сторінковими результатами, або віртуальне подання списку та елементи керування сортуванням на стороні сервера.

Перевірено налаштований base-dn

  • Виконайте тестовий запит щодо налаштованого base-dn, щоб забезпечити сумісність налаштувань із сервером LDAP.

Реалізовано перевірку налаштованого user-base-dn

  • Виконайте тестовий запит щодо налаштованого user-base-dn, щоб забезпечити сумісність налаштувань із сервером LDAP.

Реалізовано перевірку налаштованої group-base-dn

  • Виконайте тестовий запит щодо налаштованої group-base-dn, щоб забезпечити сумісність налаштувань із сервером LDAP.


Інші перевірки та параметри в OneFS 7.2.1.5 і пізніших версіях

Наступні перевірки були додані в OneFS 7.2.1.5.

  • Active Directory

    • Перевірка затримки контролера домену
    • Перевірка перекосу годинника та затримки
    • Перевірка сервісу «Глобальний каталог для користувачів» (SFU)
  • LDAP - Перевірка користувачів
  • Kerberos — ім'я керівника служби (Service Principal Name, SPN) перевіряє зони та псевдоніми SmartConnect
Об'єкт isi_auth_expert команда може обчислювати два типи затримок: Затримка пінгу та затримка LDAP для всіх контролерів домену. Якщо перекіс годинника становить менше п'яти хвилин, команда повертає: «Перекіс між постачальником реклами та вашим комп'ютером мінімальний або відсутній».

Також були додані наступні параметри.
 
Варіант     Пояснення
--ldap-user Перевіряє засіб надання даних LDAP для вказаного користувача
--sfu-user Перевіряє глобальний каталог Active Directory для вказаного користувача
--admin-creds Укажіть облікові дані, необхідні під час перевірки глобального каталогу Active Directory.


Перевірка атрибутів користувача LDAP

Щоб запустити перевірку атрибутів користувача LDAP, вам слід виконати команду isi_auth_expert за допомогою команди --ldap-user=<user> де <user> – це користувач, якого ви хочете перевірити. Ім'я користувача має бути у формі "просте ім'я", щоб пошук працював. Перевірка атрибутів користувача LDAP встановлює з'єднання з сервером LDAP і надсилає запит до нього для вказаного користувача. Потім ми можемо перевірити результати запиту, щоб переконатися, що користувач має всі необхідні атрибути, необхідні для аутентифікації в будь-якому домені.


Перевірка SFU глобального каталогу Active Directory

Глобальний сервер каталогу — це контролер домену, який має інформацію про домен, з яким він пов'язаний, та всі інші домени в лісі. Подібно до сервера LDAP, глобальний каталог містить список даних, пов'язаних із доменом, який він контролює, на додачу до часткової копії даних, отриманих від інших контролерів домену. Якщо він не містить усіх даних, якими діляться контролери домену, можуть виникнути проблеми з автентифікацією.

Щоб запустити перевірку SFU глобального каталогу Active Directory, необхідно виконати перевірку isi_auth_expert за допомогою команди --sfu-user=<user> і --admin-creds="[('<Domain>', '<User>', '<password>')]" параметри, де <user> — це користувач SFU, якого ви хочете перевірити, а "[('<Domain', '<User>>', '<password>')]" - це облікові дані isi_auth_expert має бути надано для виконання пошуку в глобальному каталозі в контролері домену. У нас є наступне обмеження при перевірці глобального каталогу: Необхідно надати облікові дані адміністратора.


Перевірка імені учасника сервера (SPN)

SPN можуть спричиняти помилки автентифікації, якщо їх немає під час приєднання до постачальника Kerberos або якщо ви змінюєте назву зони SmartConnect. Об'єкт isi_auth_expert команда визначає, чи є SPN відсутніми, застарілими або неправильними. Ця функція запускається автоматично щоразу, коли isi_auth_expert виконується команда.

Ця функція використовується для перевірки відсутності SPN як у провайдерів Kerberos, так і в зонах SmartConnect. Команда збирає всі SPN, пов'язані з провайдерами та зонами SmartConnect, і забезпечує наявність необхідних SPN.

Якщо ви використовуєте псевдоніми SmartConnect, програма також перевіряє їх за цими псевдонімами. Ви можете скористатися функцією isi auth ads spn або isi auth krb5 spn команди для списку, перевірки або виправлення повідомлень про відсутні SPN.

Article Properties

Affected Product

Isilon, PowerScale OneFS

Last Published Date

29 Apr 2024

Version

7

Article Type

Solution

Back to Top