Isilon：使用 PowerScale OneFS isi_auth_expert 命令管理驗證問題

不需要

不需要

簡介

系統管理員可以執行 isi_auth_expert 命令，以檢查 PowerScale OneFS 叢集的驗證環境。這有助於確保正確配置它，並識別由於身份驗證問題可能導致數據訪問延遲的情況。

的 isi_auth_expert 命令運行一系列測試，包括網路和埠連接以及延遲、綁定和時鐘偏差。這些結果可用來隔離導致資料存取問題的有問題的組態或網路路徑。

個人可能需要執行此工具：

• 當現有使用者或新使用者連線至共用時遇到延遲，或在存取資料時收到輸入登入認證的提示
• 當叢集報告有關 Active Directory 或輕量型目錄存取通訊協定 （LDAP） 離線狀態的事件時
• 修改身份驗證提供程式設定後
• 在組態變更影響叢集與其身份驗證提供程式之間的網路路徑後

指示

若要執行 isi_auth_expert 命令，執行以下操作：

isi_auth_expert

個人也可以使用下表中列出的一個或多個選項執行該命令：
 

選項	說明
-h, --help	顯示此命令的語法
-h, --debug	顯示除錯訊息
-v, --verbose	啟用詳細 （更健全的） 輸出
--no-color	停用彩色輸出

範例輸出：

wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.

已實作的測試

執行時 isi_auth_expert 命令，則會執行下列檢查：

程序檢查

此測試確認與驗證相關的程序 （lsass、lwio 和 netlogon） 正在執行中。如果任何進程未運行，則返回錯誤。

Active Directory

下列部份說明以下測試： isi_auth_expert 命令會針對每個 Active Directory （AD） 提供者執行。

• 檢查網域控制站連線
  能力 確定群集是否具有與 AD 域中至少一個域控制器 （DC） 的基本網路連接。

檢查 DC 連接埠
確認每個 DC 的叢集都可以連線至 AD 相關的連接埠，且連接埠正在接受連線。
 

連接埠	說明	AD 使用方式	流量類型
88	連接埠 88 用於 Kerberos 驗證流量。	使用者和電腦身份驗證、林級信任	科貝羅斯
139	連接埠 139 用於 NetBIOS 和 NetLogon 流量。	使用者與電腦認證、複製	DFSN， NetBIOS 工作階段服務， NetLogon
389	連接埠 389 用於 LDAP 查詢。	目錄、複製、使用者和電腦身份驗證、組策略、信任	LDAP
445	連接埠 445 用於複製。	複製、使用者和電腦認證、群組原則、信任。	SMB、CIFS、SMB2、DFSN、LSARPC、NbtSS、NetLogonR、SamR、SrvSvc
3268	連接埠 3268 用於全域編錄 LDAP 查詢。（如果啟用了 AD 提供程式中的全域編錄，則使用）	目錄、複製、使用者和電腦身份驗證、組策略、信任	LDAP GC

LDAP

下列部份說明以下測試： isi_auth_expert 命令會針對每個 LDAP 提供者執行。

LDAP 連線能力

• 通過進行匿名LDAP綁定並檢查結果來檢查LDAP伺服器連接。

LDAP 列舉物件支援

• 通過檢查LDAP伺服器支援的控件，確認每個LDAP伺服器都支援枚舉物件。OneFS 需要分頁結果控制項，或同時需要虛擬清單檢視和伺服器端排序控制項。

驗證設定的 base-dn

• 針對設定的 base-dn 執行測試查詢，以確保組態與 LDAP 伺服器相容。

驗證設定的 user-base-dn

• 對設定的使用者 base-dn 執行測試查詢，以確保組態與 LDAP 伺服器相容。

驗證設定的 group-base-dn

• 對設定的 group-base-dn 執行測試查詢，以確保組態與 LDAP 伺服器相容。

OneFS 7.2.1.5 及更新版本中的其他檢查和參數

OneFS 7.2.1.5 中新增下列檢查。

• Active Directory

  • 網域控制站延遲檢查
  • 時鐘偏差和延遲檢查
  • 使用者通用編錄服務 （SFU） 檢查
• LDAP - 使用者檢查
• Kerberos - 服務主體名稱 （SPN） 檢查 SmartConnect 區域和別名

可使用 isi_auth_expert 命令可以計算兩種類型的延遲：所有網域控制站的 Ping 延遲和 LDAP 延遲。如果時鐘偏差小於五分鐘，該命令將返回：“AD 提供程式和計算機之間的偏差很小或沒有偏差。”

還添加了以下參數。
 

選項	說明
--ldap-user	檢查特定使用者的 LDAP 提供者
--sfu-user	檢查特定使用者的 Active Directory 全域目錄
--admin-creds	提供檢查 Active Directory 全域目錄時所需的認證。

LDAP 使用者屬性檢查

若要執行 LDAP 使用者屬性檢查，您必須執行 isi_auth_expert 命令含 --ldap-user=<user> 參數，其中 <user> 是要檢查的使用者。使用者名稱必須為「純名稱」格式，才能進行搜尋。LDAP 使用者屬性檢查會連線到 LDAP 伺服器，並針對指定的使用者查詢該伺服器。然後，我們可以檢查查詢結果，以確保使用者具有在任何域中進行身份驗證所需的所有必要屬性。

Active Directory 全域目錄 SFU 檢查

全域編錄伺服器是一個域控制器，其中包含有關與其關聯的域以及林中所有其他域的資訊。與LDAP伺服器一樣，全域編錄除了具有從其他域控制器獲取的數據的部分副本外，還具有與其控制的域關聯的數據清單。如果它沒有域控制器共用的所有數據，則可能存在身份驗證問題。

若要執行 Active Directory 全域目錄 SFU 檢查，您必須執行 isi_auth_expert 命令含 --sfu-user=<user> 和 --admin-creds="[('<Domain>', '<User>', '<password>')]" 參數，其中 <user> 是您要檢查的 SFU 使用者，而「[（'<域>』、'<使用者>'、'<密碼>'）]」是 isi_auth_expert 命令必須提供，才能在網域控制站中執行全域目錄查詢。檢查全域編錄時，我們有以下限制：您必須提供系統管理員登入資料。

伺服器主體名稱 （SPN） 檢查

如果 SPN 在加入 Kerberos 提供程式時不存在，或者更改 SmartConnect 區域的名稱，則可能會導致身份驗證失敗。可使用 isi_auth_expert 命令確定SPN是否丟失、過時或不正確。此功能會在 isi_auth_expert 命令已執行。

此功能可用來檢查 Kerberos 提供者和 SmartConnect 區域中是否缺少 SPN。該命令收集與提供程式和 SmartConnect 區域關聯的所有 SPN，並確保存在所需的 SPN。

如果您使用的是 SmartConnect 別名，它也會檢查這些別名。您可以使用 isi auth ads spn 或 isi auth krb5 spn 用於列出、檢查或修復報告的丟失SPN的命令。