Isilon：使用 PowerScale OneFS isi_auth_expert 命令管理身份验证问题

不需要

不需要

简介

管理员可以运行 isi_auth_expert 命令检查 PowerScale OneFS 群集的身份验证环境。这有助于确保其配置正确，并确定由于身份验证问题可能导致数据访问延迟的条件。

这 isi_auth_expert 命令运行一系列测试，包括网络和端口连接以及延迟、绑定和时钟偏移。这些结果可用于隔离导致数据访问问题的有问题的配置或网络路径。

个人可能希望运行此工具：

• 现有用户或新用户在连接到共享时遇到延迟，或在访问数据时系统提示输入登录凭据
• 当群集报告有关 Active Directory 或轻型目录访问协议 （LDAP） 离线状态的事件时
• 修改身份验证提供程序设置之后
• 配置更改影响群集与其身份验证提供程序之间的网络路径之后

说明

要运行 isi_auth_expert 命令，请执行以下操作：

isi_auth_expert

个人还可以使用下表中列出的一个或多个选项运行该命令：
 

选项	说明
-h, --help	显示此命令的语法
-h, --debug	显示调试消息
-v, --verbose	启用详细（更强大）的输出
--no-color	禁用彩色输出

示例输出：

wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.

实施的测试

运行时 isi_auth_expert 命令，则执行以下检查：

过程检查

此测试可确认与身份验证相关的进程（lsass、lwio 和 netlogon）正在运行。如果有任何进程未运行，则会返回错误。

Active Directory

以下部分介绍了 isi_auth_expert 命令针对每个 Active Directory （AD） 提供程序执行。

• 检查域控制器连接
  确定群集是否与 AD 域中的至少一个域控制器 （DC） 具有基本网络连接。

检查直流端口
验证对于每个 DC，群集是否可以连接到与 AD 相关的端口，以及端口是否接受连接。
 

端口	说明	AD 使用情况	流量类型
88	端口 88 用于 Kerberos 身份验证流量。	用户和计算机身份验证，林级信任	Kerberos
139	端口 139 用于 NetBIOS 和 NetLogon 流量。	用户和计算机身份验证、复制	DFSN、NetBIOS 会话服务、NetLogon
389	端口 389 用于 LDAP 查询。	目录、复制、用户和计算机身份验证、组策略、信任	LDAP
445	端口 445 用于复制。	复制、用户和计算机身份验证、组策略、信任。	SMB、CIFS、SMB2、DFSN、LSARPC、NbtSS、NetLogonR、SamR、SrvSvc
3268	端口 3268 用于全局编录 LDAP 查询。（在启用 AD 提供程序中的全局编录时使用）	目录、复制、用户和计算机身份验证、组策略、信任	LDAP GC

LDAP

以下部分介绍了 isi_auth_expert 命令针对每个 LDAP 提供程序执行。

LDAP 连接

• 通过进行匿名 LDAP 绑定并检查结果来检查 LDAP 服务器连接。

LDAP 枚举对象支持

• 通过检查 LDAP 服务器支持的控件，确认每个 LDAP 服务器都支持枚举对象。OneFS 需要分页结果控件，或者同时需要虚拟列表视图和服务器端排序控件。

验证已配置的 base-dn

• 针对配置的 base-dn 执行测试查询，以确保配置与 LDAP 服务器兼容。

验证已配置的 user-base-dn

• 对配置的 user-base-dn 执行测试查询，以确保配置与 LDAP 服务器兼容。

验证已配置的 group-base-dn

• 对配置的 group-base-dn 执行测试查询，以确保配置与 LDAP 服务器兼容。

OneFS 7.2.1.5 及更高版本中的其他检查和参数

OneFS 7.2.1.5 中添加了以下检查。

• Active Directory

  • 域控制器延迟检查
  • 时钟偏差和延迟检查
  • 全局目录服务，用于用户 （SFU） 检查
• LDAP — 用户检查
• Kerberos — 服务主体名称 （SPN） 检查 SmartConnect 分区和别名

该 isi_auth_expert 命令可以计算两种类型的延迟：所有域控制器的 Ping 延迟和 LDAP 延迟。如果时钟偏差小于五分钟，则命令返回：“AD 提供商与您的计算机之间的偏差极小或没有偏差。”

还添加了以下参数。
 

选项	说明
--ldap-user	检查指定用户的 LDAP 提供程序
--sfu-user	检查指定用户的 Active Directory 全局编录
--admin-creds	提供检查 Active Directory 全局目录时所需的凭据。

LDAP 用户属性检查

要运行 LDAP 用户属性检查，您必须运行 isi_auth_expert 命令替换为 --ldap-user=<user> 参数，其中 <user> 是要检查的用户。用户名必须采用“纯名称”的形式，搜索才能正常工作。LDAP 用户属性检查连接到 LDAP 服务器并查询其中的指定用户。然后，我们可以检查查询结果，以确保用户具有在任何域中进行身份验证所需的所有必要属性。

Active Directory 全局编录 SFU 检查

全局编录服务器是一个域控制器，它包含有关与其关联的域以及林中所有其他域的信息。与 LDAP 服务器一样，全局编录除了具有从其他域控制器获取的数据的部分拷贝外，还具有与其控制的域关联的数据列表。如果它没有域控制器共享的所有数据，则可能存在身份验证问题。

要运行 Active Directory 全局编录 SFU 校验，您必须运行 isi_auth_expert 命令替换为 --sfu-user=<user> 和 --admin-creds="[('<Domain>', '<User>', '<password>')]" 参数，其中 <user>是要检查的交换网联用户，“[（'<Domain'， '<User>>'， '<password>'）]”是服务器的凭据。 isi_auth_expert 命令必须提供才能在域控制器中执行全局编录查找。检查全局编录时，我们有以下限制：您必须提供管理员凭据。

服务器主体名称 （SPN） 检查

如果在加入 Kerberos 提供程序时 SPN 不存在，或者您更改了 SmartConnect 分区的名称，则可能会导致身份验证失败。该 isi_auth_expert 命令确定 SPN 是否缺失、过时或不正确。每当 isi_auth_expert 命令运行。

此功能用于检查 Kerberos 提供程序和 SmartConnect 分区中是否缺少 SPN。该命令收集与提供程序和 SmartConnect 分区关联的所有 SPN，并确保存在所需的 SPN。

如果您使用的是 SmartConnect 别名，它还会针对这些别名进行检查。您可以使用 isi auth ads spn 或者文件的 isi auth krb5 spn 用于列出、检查或修复报告的缺失 SPN 的命令。