Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000126268

Isilon: PowerScale OneFS isi_auth_expert 명령을 사용하여 인증 문제 관리

Summary: 이 문서에서는 Isilon OneFS isi_auth_expert 명령을 사용하여 인증을 관리하는 방법에 대해 설명합니다.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

필요 없음

Cause

필요 없음

Resolution

소개

관리자는 isi_auth_expert 명령을 실행하여 PowerScale OneFS 클러스터의 인증 환경을 검사할 수 있습니다. 이를 통해 올바르게 구성되었는지 확인하고 인증 문제로 인해 데이터 액세스 레이턴시가 발생할 수 있는 조건을 식별할 수 있습니다.

Tthe isi_auth_expert 명령은 네트워크 및 포트 연결, 레이턴시, 바인딩 및 클록 스큐를 포함한 일련의 테스트를 실행합니다. 이러한 결과는 데이터 액세스 문제를 일으키는 문제가 있는 구성 또는 네트워크 경로를 격리하는 데 사용할 수 있습니다.

개인은 이 도구를 실행할 수 있습니다.
  • 기존 또는 새 사용자가 공유에 연결하는 동안 레이턴시를 경험하거나 데이터에 액세스할 때 로그인 자격 증명을 입력하라는 메시지가 표시되는 경우
  • 클러스터가 Active Directory 또는 LDAP(Lightweight Directory Access Protocol) 오프라인 상태와 관련된 이벤트를 보고하는 경우
  • 인증 공급자 설정을 수정한 후
  • 구성 변경이 클러스터와 해당 인증 공급자 간의 네트워크 경로에 영향을 준 후
참고: 새 검사 및 매개변수가 isi_auth_expert OneFS 7.2.1.5의 명령 자세한 내용은 이 문서의 OneFS 7.2.1.5 이상에서 추가 검사 및 매개변수 섹션을 참조하십시오.


지침

를 실행하려면 isi_auth_expert 명령을 사용하여 다음을 수행합니다. 
isi_auth_expert
개인은 아래 표에 나열된 하나 이상의 옵션을 사용하여 명령을 실행할 수도 있습니다.
 
옵션 설명
-h, --help 이 명령의 구문 표시
-h, --debug 디버깅 메시지 표시
-v, --verbose 자세한 정보(더 강력한) 출력을 활성화합니다.
--no-color 컬러 출력 비활성화
예시 출력: 
wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.


구현된 테스트

실행할 때 isi_auth_expert 명령을 실행하면 다음 검사가 수행됩니다.


프로세스 점검

이 테스트는 인증 관련 프로세스(lsass, lwio 및 netlogon)가 실행 중인지 확인합니다. 실행 중이 아닌 프로세스가 있으면 오류가 반환됩니다.


Active Directory

다음 섹션에서는 테스트에 대해 설명합니다. isi_auth_expert 명령은 각 AD(Active Directory) 공급자에 대해 수행합니다.

  • 도메인 컨트롤러 연결
    확인 클러스터에 AD 도메인에 있는 하나 이상의 DC(Domain Controller)에 대한 기본 네트워크 연결이 있는지 확인합니다.

DC 포트
확인모든 DC에 대해 클러스터가 AD 관련 포트에 연결할 수 있고 포트가 연결을 수락하는지 확인합니다.
 

포트 설명 AD 사용량 트래픽 유형
88 포트 88은 Kerberos 인증 트래픽에 사용됩니다. 사용자 및 컴퓨터 인증, 포리스트 수준 트러스트 Kerberos
139 포트 139는 NetBIOS 및 NetLogon 트래픽에 사용됩니다. 사용자 및 컴퓨터 인증, 복제 DFSN, NetBIOS 세션 서비스, NetLogon
389 포트 389는 LDAP 쿼리에 사용됩니다. 디렉터리, 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 트러스트 LDAP
445 포트 445는 복제에 사용됩니다. 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 트러스트 SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
3268 포트 3268은 글로벌 카탈로그 LDAP 쿼리에 사용됩니다. (AD 공급자의 글로벌 카탈로그가 활성화된 경우 사용됨) 디렉터리, 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 트러스트 LDAP GC


LDAP

다음 섹션에서는 테스트에 대해 설명합니다. isi_auth_expert 명령은 각 LDAP 공급자에 대해 수행됩니다.

LDAP 연결

  • 익명 LDAP 바인딩을 만들고 결과를 확인하여 LDAP 서버 연결을 확인합니다.

LDAP 열거 객체 지원

  • LDAP 서버의 지원되는 컨트롤을 확인하여 각 LDAP 서버가 열거된 개체를 지원하는지 확인합니다. OneFS에는 페이징된 결과 컨트롤이 필요하거나 가상 목록 보기와 서버 측 정렬 컨트롤이 모두 필요합니다.

구성된 base-dn 유효성 검사

  • 구성된 base-dn에 대해 테스트 쿼리를 수행하여 LDAP 서버와의 구성 호환성을 확인합니다.

구성된 user-base-dn 검증

  • 구성된 user-base-dn에 대해 테스트 쿼리를 수행하여 LDAP 서버와의 구성 호환성을 확인합니다.

구성된 group-base-dn 검증

  • 구성된 group-base-dn에 대해 테스트 쿼리를 수행하여 LDAP 서버와의 구성 호환성을 확인합니다.


OneFS 7.2.1.5 이상의 기타 검사 및 매개변수

OneFS 7.2.1.5에 다음 검사가 추가되었습니다.

  • Active Directory

    • 도메인 컨트롤러 레이턴시 확인
    • 클록 스큐 및 레이턴시 검사
    • 사용자를 위한 글로벌 카탈로그 서비스(SFU) 확인
  • LDAP - 사용자 확인
  • Kerberos - SPN(Service Principal Name)에서 SmartConnect 존 및 별칭 확인
비디오 isi_auth_expert 명령은 두 가지 유형의 대기 시간을 계산할 수 있습니다. 모든 도메인 컨트롤러에 대한 Ping 대기 시간 및 LDAP 대기 시간 클록 스큐가 5분 미만인 경우 명령은 다음을 반환합니다. "AD 공급업체와 컴퓨터 간에 왜곡이 최소화되거나 전혀 없습니다."

다음 매개 변수도 추가되었습니다.
 
옵션     설명
--ldap-user 지정된 사용자에 대한 LDAP 공급자를 확인합니다.
--sfu-user 지정된 사용자에 대한 Active Directory 글로벌 카탈로그를 확인합니다.
--admin-creds Active Directory 글로벌 카탈로그를 확인할 때 필요한 자격 증명을 제공하십시오.


LDAP 사용자 특성 확인

LDAP 사용자 속성 검사를 실행하려면 isi_auth_expert 명령을 --ldap-user=<user> 매개 변수 여기서 <user> 는 확인하려는 사용자입니다. 검색이 작동하려면 사용자 이름이 "일반 이름" 형식이어야 합니다. LDAP 사용자 속성 검사는 LDAP 서버에 연결하여 지정된 사용자에 대해 쿼리합니다. 그런 다음 쿼리 결과를 확인하여 사용자에게 모든 도메인에서 인증에 필요한 모든 특성이 있는지 확인할 수 있습니다.


Active Directory 글로벌 카탈로그 SFU 확인

글로벌 카탈로그 서버는 연결된 도메인과 포리스트의 다른 모든 도메인에 대한 정보가 있는 도메인 컨트롤러입니다. LDAP 서버와 마찬가지로 글로벌 카탈로그에는 다른 도메인 컨트롤러에서 가져온 데이터의 일부 복사본 외에도 제어하는 도메인과 연결된 데이터 목록이 있습니다. 도메인 컨트롤러가 공유하는 모든 데이터가 없는 경우 인증 문제가 있을 수 있습니다.

Active Directory 글로벌 카탈로그 SFU 검사를 실행하려면 isi_auth_expert 명령을 --sfu-user=<user>--admin-creds="[('<Domain>', '<User>', '<password>')]" <매개 변수 여기서 user>는 확인하려는 SFU 사용자이고 "[('도메인<', '<사용자>', '<비밀번호>')]"는 자격> 증명입니다. isi_auth_expert 도메인 컨트롤러에서 글로벌 카탈로그 조회를 수행하려면 명령을 제공해야 합니다. 글로벌 카탈로그를 확인할 때 다음과 같은 제한 사항이 있습니다. 관리자 자격 증명을 제공해야 합니다.


SPN(서버 사용자 이름) 확인

Kerberos 공급자에 연결할 때 SPN이 없거나 SmartConnect 존의 이름을 변경하는 경우 SPN으로 인해 인증이 실패할 수 있습니다. 비디오 isi_auth_expert 명령은 SPN이 누락되었거나, 유효하지 않거나, 잘못되었는지 확인합니다. 이 기능은 isi_auth_expert 명령이 실행됩니다.

이 기능은 Kerberos 공급업체와 SmartConnect 존에서 누락된 SPN을 확인하는 데 사용됩니다. 이 명령은 공급업체 및 SmartConnect 존과 연결된 모든 SPN을 수집하고 필요한 SPN이 있는지 확인합니다.

SmartConnect 별칭을 사용하는 경우 해당 별칭도 확인합니다. 를 사용할 수 있습니다. isi auth ads spn 또는 isi auth krb5 spn 보고된 누락된 SPN을 나열, 확인 또는 수정하는 명령입니다.

Article Properties

Affected Product

Isilon, PowerScale OneFS

Last Published Date

29 Apr 2024

Version

7

Article Type

Solution

Back to Top