Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000126268

Isilon: Utilizzo del comando isi_auth_expert di PowerScale OneFS per gestire i problemi di autenticazione (in inglese)

Summary: Questo articolo spiega come utilizzare il comando Isilon OneFS isi_auth_expert per gestire l'autenticazione.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Non richiesto

Cause

Non richiesto

Resolution

Introduzione

Gli amministratori possono eseguire isi_auth_expert per esaminare l'ambiente di autenticazione di un cluster PowerScale OneFS. Ciò consente di garantirne la corretta configurazione e di identificare le condizioni che potrebbero causare latenza di accesso ai dati a causa di problemi di autenticazione.

Le isi_auth_expert Il comando esegue una serie di test, tra cui la connettività di rete e delle porte, la latenza, l'associazione e lo sfasamento di clock. Questi risultati possono essere utilizzati per isolare una configurazione o un percorso di rete problematico che causa problemi di accesso ai dati.

È possibile che gli utenti vogliano eseguire questo strumento:
  • Quando gli utenti nuovi o esistenti riscontrano latenza durante la connessione a una condivisione o viene richiesto di immettere le credenziali di accesso durante l'accesso ai dati
  • Quando il cluster segnala eventi relativi allo stato offline di Active Directory o LDAP (Lightweight Directory Access Protocol)
  • Dopo aver modificato la configurazione del provider di autenticazione
  • Dopo che le modifiche alla configurazione hanno interessato i percorsi di rete tra un cluster e i relativi provider di autenticazione
Nota: Nuovi controlli e parametri sono stati aggiunti alla isi_auth_expert in OneFS 7.2.1.5. Per ulteriori informazioni, vedere la sezione Controlli e parametri aggiuntivi in OneFS 7.2.1.5 e versioni successive di questo articolo.


Istruzioni

Per eseguire il comando isi_auth_expert , eseguire i seguenti passaggi: 
isi_auth_expert
Gli utenti possono eseguire il comando anche con una o più delle opzioni elencate nella tabella seguente:
 
Opzione Spiegazione
-h, --help Visualizzare la sintassi per questo comando
-h, --debug Visualizzazione dei messaggi di debug
-v, --verbose Abilitazione di un output dettagliato (più affidabile)
--no-color Disabilita output colorato
Esempio di output: 
wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.


Test implementati

Durante l'esecuzione isi_auth_expert vengono eseguiti i seguenti controlli:


Controlli di processo

Questo test conferma che i processi correlati all'autenticazione (lsass, lwio e netlogon) sono in esecuzione. Se uno qualsiasi dei processi non è in esecuzione, viene restituito un errore.


Active Directory

Nella sezione seguente vengono descritti i test eseguiti da isi_auth_expert viene eseguito per ogni provider Active Directory (AD).

  • Controllare la connettività
    del controller di dominio Determinare se il cluster dispone di connettività di rete di base ad almeno un controller di dominio (DC) nel dominio AD.

Controllo delle porte
CCVerificare che, per ogni DC, il cluster sia in grado di connettersi alle porte correlate ad AD e che le porte accettino le connessioni.
 

Porta Spiegazione Utilizzo AD Tipo di traffico
88 La porta 88 viene utilizzata per il traffico di autenticazione Kerberos. Autenticazione utente e computer, trust a livello di foresta Kerberos
139 La porta 139 viene utilizzata per il traffico NetBIOS e NetLogon. Autenticazione di utenti e computer, replica DFSN, Servizio sessione NetBIOS, NetLogon
389 La porta 389 viene utilizzata per le query LDAP. Directory, replica, autenticazione utente e computer, criteri di gruppo, trust LDAP
445 La porta 445 viene utilizzata per la replica. Replica, autenticazione di utenti e computer, Criteri di gruppo, Trust. SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
3268 La porta 3268 viene utilizzata per le query LDAP del catalogo globale. (utilizzato se il catalogo globale nel provider AD è abilitato) Directory, replica, autenticazione utente e computer, criteri di gruppo, trust LDAP GC


LDAP

Nella sezione seguente vengono descritti i test eseguiti da isi_auth_expert viene eseguito per ogni provider LDAP.

Connettività LDAP

  • Verificare la connettività del server LDAP creando un binding LDAP anonimo e controllando i risultati.

Supporto di oggetti enumerati LDAP

  • Verificare che ogni server LDAP supporti gli oggetti enumerati controllando i controlli supportati dei server LDAP. OneFS richiede i controlli dei risultati di paging o la vista elenco virtuale e i controlli di ordinamento lato server.

Convalida del DN di base configurato

  • Eseguire una query di test sul DN di base configurato per garantire la compatibilità della configurazione con il server LDAP.

Convalidare user-base-dn configurato

  • Eseguire una query di test sul dn di base utente configurato per garantire la compatibilità della configurazione con il server LDAP.

Convalidare group-base-dn configurato

  • Eseguire una query di test sul group-base-dn configurato per garantire la compatibilità della configurazione con il server LDAP.


Altri controlli e parametri in OneFS 7.2.1.5 e versioni successive

I seguenti controlli sono stati aggiunti in OneFS 7.2.1.5.

  • Active Directory

    • Controllo della latenza del controller di dominio
    • Disallineamento del clock e controllo della latenza
    • Controllo del servizio del catalogo globale per gli utenti (SFU)
  • LDAP - Controllo utenti
  • Kerberos: il nome dell'entità servizio (SPN) verifica la presenza di zone e alias SmartConnect
Il campo isi_auth_expert Il comando può calcolare due tipi di latenze: Latenza ping e LDAP per tutti i controller di dominio. Se lo sfasamento dell'orologio è inferiore a cinque minuti, il comando restituisce: "C'è uno sfasamento minimo o nullo tra il fornitore di AD e la tua macchina."

Sono stati aggiunti anche i seguenti parametri.
 
Opzione     Spiegazione
--ldap-user Controlla il provider LDAP per un utente specificato
--sfu-user Controlla il catalogo globale di Active Directory per un utente specificato
--admin-creds Fornire le credenziali richieste durante la verifica del catalogo globale di Active Directory.


Controllo degli attributi utente LDAP

Per eseguire il controllo dell'attributo LDAP user, è necessario eseguire il comando isi_auth_expert comando con il comando --ldap-user=<user> <dove user> è l'utente che si desidera controllare. Il nome utente deve essere del formato "plain name" affinché la ricerca funzioni. Il controllo dell'attributo utente LDAP si connette a un server LDAP e lo interroga per l'utente specificato. È quindi possibile controllare i risultati della query per verificare che l'utente disponga di tutti gli attributi necessari per l'autenticazione in qualsiasi dominio.


Controllo SFU del catalogo globale Active Directory

Un server di catalogo globale è un controller di dominio che contiene informazioni sul dominio a cui è associato e su tutti gli altri domini della foresta. Analogamente a un server LDAP, il catalogo globale contiene un elenco di dati associati al dominio controllato, oltre a una copia parziale dei dati ottenuti da altri controller di dominio. Se non contiene tutti i dati condivisi dai controller di dominio, potrebbero verificarsi problemi di autenticazione.

Per eseguire il controllo SFU del catalogo globale di Active Directory, è necessario eseguire il comando isi_auth_expert comando con il comando --sfu-user=<user> e --admin-creds="[('<Domain>', '<User>', '<password>')]" dove user> è l'utente SFU che si desidera controllare e "[('<Domain', '><User', '><password>')]" sono le credenziali < isi_auth_expert per eseguire la ricerca nel catalogo globale nel controller di dominio. Quando controlliamo il catalogo globale, abbiamo la seguente limitazione: È necessario fornire le credenziali di amministratore.


Controllo del nome dell'entità server (SPN)

Gli SPN possono causare errori di autenticazione se non sono presenti quando si aggiunge un provider Kerberos o se si modifica il nome di una zona SmartConnect. Il campo isi_auth_expert determina se gli SPN sono mancanti, obsoleti o errati. Questa funzione viene eseguita automaticamente ogni volta che il isi_auth_expert viene eseguito il comando.

Questa funzione viene utilizzata per verificare la presenza di SPN mancanti nei provider Kerberos e anche nelle zone SmartConnect. Il comando raccoglie tutti gli SPN associati ai provider e alle zone SmartConnect e garantisce che siano presenti gli SPN richiesti.

Se si utilizzano alias SmartConnect, verifica anche la loro comparabilità. È possibile utilizzare il comando isi auth ads spn oppure isi auth krb5 spn comandi per elencare, controllare o correggere gli SPN mancanti segnalati.

Article Properties

Affected Product

Isilon, PowerScale OneFS

Last Published Date

29 Apr 2024

Version

7

Article Type

Solution

Back to Top