Article Number: 000126268
isi_auth_expert
per esaminare l'ambiente di autenticazione di un cluster PowerScale OneFS. Ciò consente di garantirne la corretta configurazione e di identificare le condizioni che potrebbero causare latenza di accesso ai dati a causa di problemi di autenticazione.
isi_auth_expert
Il comando esegue una serie di test, tra cui la connettività di rete e delle porte, la latenza, l'associazione e lo sfasamento di clock. Questi risultati possono essere utilizzati per isolare una configurazione o un percorso di rete problematico che causa problemi di accesso ai dati.
isi_auth_expert
in OneFS 7.2.1.5. Per ulteriori informazioni, vedere la sezione Controlli e parametri aggiuntivi in OneFS 7.2.1.5 e versioni successive di questo articolo.
isi_auth_expert
, eseguire i seguenti passaggi:
isi_auth_expertGli utenti possono eseguire il comando anche con una o più delle opzioni elencate nella tabella seguente:
Opzione | Spiegazione |
-h, --help |
Visualizzare la sintassi per questo comando |
-h, --debug |
Visualizzazione dei messaggi di debug |
-v, --verbose |
Abilitazione di un output dettagliato (più affidabile) |
--no-color |
Disabilita output colorato |
wcvirt1-1# isi_auth_expert Checking authentication process health ... done Checking LDAP provider 'ldaptest' server connectivity ... done Checking LDAP provider 'ldaptest' base dn ... done Checking LDAP provider 'ldaptest' object enumeration support ... done Checking LDAP provider 'ldaptest' group base dn ... done Checking LDAP provider 'ldaptest' user base dn ... done [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider 'ldaptest' was not found on LDAP server ldaptest.west.isilon.com. Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1 .wmc-ada.west.isilon.com on port 3268.
Durante l'esecuzione isi_auth_expert
vengono eseguiti i seguenti controlli:
Nella sezione seguente vengono descritti i test eseguiti da isi_auth_expert
viene eseguito per ogni provider Active Directory (AD).
Controllare la connettività
del controller di dominio Determinare se il cluster dispone di connettività di rete di base ad almeno un controller di dominio (DC) nel dominio AD.
Controllo delle porte
CCVerificare che, per ogni DC, il cluster sia in grado di connettersi alle porte correlate ad AD e che le porte accettino le connessioni.
Porta | Spiegazione | Utilizzo AD | Tipo di traffico |
---|---|---|---|
88 | La porta 88 viene utilizzata per il traffico di autenticazione Kerberos. | Autenticazione utente e computer, trust a livello di foresta | Kerberos |
139 | La porta 139 viene utilizzata per il traffico NetBIOS e NetLogon. | Autenticazione di utenti e computer, replica | DFSN, Servizio sessione NetBIOS, NetLogon |
389 | La porta 389 viene utilizzata per le query LDAP. | Directory, replica, autenticazione utente e computer, criteri di gruppo, trust | LDAP |
445 | La porta 445 viene utilizzata per la replica. | Replica, autenticazione di utenti e computer, Criteri di gruppo, Trust. | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
3268 | La porta 3268 viene utilizzata per le query LDAP del catalogo globale. (utilizzato se il catalogo globale nel provider AD è abilitato) | Directory, replica, autenticazione utente e computer, criteri di gruppo, trust | LDAP GC |
isi_auth_expert
viene eseguito per ogni provider LDAP.
Connettività LDAP
Supporto di oggetti enumerati LDAP
Convalida del DN di base configurato
Convalidare user-base-dn configurato
Convalidare group-base-dn configurato
I seguenti controlli sono stati aggiunti in OneFS 7.2.1.5.
Active Directory
isi_auth_expert
Il comando può calcolare due tipi di latenze: Latenza ping e LDAP per tutti i controller di dominio. Se lo sfasamento dell'orologio è inferiore a cinque minuti, il comando restituisce: "C'è uno sfasamento minimo o nullo tra il fornitore di AD e la tua macchina."
Opzione | Spiegazione |
---|---|
--ldap-user |
Controlla il provider LDAP per un utente specificato |
--sfu-user |
Controlla il catalogo globale di Active Directory per un utente specificato |
--admin-creds |
Fornire le credenziali richieste durante la verifica del catalogo globale di Active Directory. |
isi_auth_expert
comando con il comando --ldap-user=<user>
<dove user> è l'utente che si desidera controllare. Il nome utente deve essere del formato "plain name" affinché la ricerca funzioni. Il controllo dell'attributo utente LDAP si connette a un server LDAP e lo interroga per l'utente specificato. È quindi possibile controllare i risultati della query per verificare che l'utente disponga di tutti gli attributi necessari per l'autenticazione in qualsiasi dominio.
isi_auth_expert
comando con il comando --sfu-user=<user>
e --admin-creds="[('<Domain>', '<User>', '<password>')]"
dove user> è l'utente SFU che si desidera controllare e "[('<Domain', '><User', '><password>')]" sono le credenziali < isi_auth_expert
per eseguire la ricerca nel catalogo globale nel controller di dominio. Quando controlliamo il catalogo globale, abbiamo la seguente limitazione: È necessario fornire le credenziali di amministratore.
isi_auth_expert
determina se gli SPN sono mancanti, obsoleti o errati. Questa funzione viene eseguita automaticamente ogni volta che il isi_auth_expert
viene eseguito il comando.
isi auth ads spn
oppure isi auth krb5 spn
comandi per elencare, controllare o correggere gli SPN mancanti segnalati.Isilon, PowerScale OneFS
29 Apr 2024
7
Solution