Article Number: 000126268
isi_auth_expert
PowerScale OneFS -klusterin todennusympäristön tarkistuskomento. Tämä voi auttaa varmistamaan, että se on määritetty oikein, ja tunnistamaan olosuhteet, jotka voivat aiheuttaa tietojen käyttöviiveen todennusongelmien vuoksi.
isi_auth_expert
Command suorittaa useita testejä, kuten verkko- ja porttiyhteydet sekä viiveen, sidonnan ja kellon vinoutuman. Näiden tulosten avulla voidaan eristää ongelmallinen kokoonpano tai verkkopolku, joka aiheuttaa tietojen käyttöongelmia.
isi_auth_expert
-komento OneFS 7.2.1.5:ssä. Lisätietoja on tämän artikkelin kohdassa OneFS 7.2.1.5:n ja uudempien versioiden lisätarkistukset ja -parametrit.
isi_auth_expert
-komento, toimi seuraavasti:
isi_auth_expertYksittäiset käyttäjät voivat suorittaa komennon myös yhdellä tai useammalla alla olevassa taulukossa luetelluista vaihtoehdoista:
Asetus | Selitys |
-h, --help |
Näytä komennon syntaksi |
-h, --debug |
Näytä virheenkorjausviestit |
-v, --verbose |
Ota käyttöön monisanainen (kestävämpi) tulostus |
--no-color |
Poista väritulostus käytöstä |
wcvirt1-1# isi_auth_expert Checking authentication process health ... done Checking LDAP provider 'ldaptest' server connectivity ... done Checking LDAP provider 'ldaptest' base dn ... done Checking LDAP provider 'ldaptest' object enumeration support ... done Checking LDAP provider 'ldaptest' group base dn ... done Checking LDAP provider 'ldaptest' user base dn ... done [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider 'ldaptest' was not found on LDAP server ldaptest.west.isilon.com. Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1 .wmc-ada.west.isilon.com on port 3268.
Käytettäessä isi_auth_expert
komento, suoritetaan seuraavat tarkistukset:
Seuraavassa osassa kuvataan testit, jotka isi_auth_expert
-komento suoritetaan kullekin Active Directory (AD) -palveluntarjoajalle.
Tarkista toimialueen ohjauskoneen yhteydet
Määritä, onko klusterilla perusverkkoyhteys vähintään yhteen AD-toimialueen ohjauskoneeseen.
Tarkista DC-portit
Varmista, että jokaisen toimialueen klusteri voi muodostaa yhteyden AD:hen liittyviin portteihin ja että portit hyväksyvät yhteyksiä.
Portti | Selitys | AD:n käyttö | Liikenteen tyyppi |
---|---|---|---|
88 | Porttia 88 käytetään Kerberos-todennusliikenteeseen. | Käyttäjän ja tietokoneen todennus, toimialuepuuryhmän luottamus | Kerberos |
139 | Porttia 139 käytetään NetBIOS- ja NetLogon-liikenteeseen. | Käyttäjän ja tietokoneen todennus, replikointi | DFSN, NetBIOS-istuntopalvelu, NetLogon |
389 | LDAP-kyselyissä käytetään porttia 389. | Hakemisto, replikointi, käyttäjän ja tietokoneen todennus, ryhmäkäytäntö, luottamussuhteet | LDAP |
445 | Replikointiin käytetään porttia 445. | Replikointi, käyttäjän ja tietokoneen todennus, ryhmäkäytäntö, luottamukset. | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
3268 | Porttia 3268 käytetään yleisen luettelon LDAP-kyselyihin. (käytetään, jos AD-palveluntarjoajan yleinen luettelo on käytössä) | Hakemisto, replikointi, käyttäjän ja tietokoneen todennus, ryhmäkäytäntö, luottamussuhteet | LDAP GC |
isi_auth_expert
komento suoritetaan kullekin LDAP-palveluntarjoajalle.
LDAP-yhteys
LDAP-luetteloitujen objektien tuki
Vahvista määritetty base-dn
Vahvista määritetty user-base-dn
Vahvista määritetty group-base-dn
Seuraavat tarkistukset on lisätty OneFS 7.2.1.5 -versioon.
Active Directory
isi_auth_expert
Komento voi laskea kahdenlaisia viiveitä: Kaikkien toimialueen ohjauskoneiden ping-viive ja LDAP-viive. Jos kellon vino on alle viisi minuuttia, komento palaa: "AD-palveluntarjoajan ja koneesi välillä on minimaalinen tai ei lainkaan vinoumaa."
Asetus | Selitys |
---|---|
--ldap-user |
Tarkistaa tietyn käyttäjän LDAP-palveluntarjoajan |
--sfu-user |
Tarkistaa tietyn käyttäjän Active Directoryn yleisen luettelon |
--admin-creds |
Anna tunnistetiedot, joita tarvitaan Active Directoryn yleisen luettelon tarkistamiseen. |
isi_auth_expert
komento, jossa on --ldap-user=<user>
parametri, jossa <käyttäjä> on tarkistettava käyttäjä. Käyttäjätunnuksen on oltava muotoa "tavallinen nimi", jotta haku toimii. LDAP-käyttäjän attribuuttitarkistus muodostaa yhteyden LDAP-palvelimeen ja kyselee sitä määritetyltä käyttäjältä. Voimme sitten tarkistaa kyselyn tulokset varmistaaksemme, että käyttäjällä on kaikki tarvittavat määritteet, joita tarvitaan todentamiseen missä tahansa verkkotunnuksessa.
isi_auth_expert
komento, jossa on --sfu-user=<user>
ja --admin-creds="[('<Domain>', '<User>', '<password>')]"
parametrit, joissa <käyttäjä> on SFU-käyttäjä, jonka haluat tarkistaa, ja "[('<Domain', '<User>', '<password>>')]" ovat tunnistetietoja isi_auth_expert
Komento on annettava, jotta yleisen luettelon haku voidaan suorittaa toimialueen ohjauspalvelimessa. Meillä on seuraava rajoitus, kun tarkistamme yleistä luetteloa: Sinun on annettava järjestelmänvalvojan tunnistetiedot.
isi_auth_expert
Komento määrittää, puuttuuko palvelun päänimet vai ovatko ne vanhentuneita vai virheellisiä. Tämä toiminto suoritetaan automaattisesti aina, kun isi_auth_expert
-komento suoritetaan.
isi auth ads spn
tai isi auth krb5 spn
ilmoitettujen puuttuvien palvelun päänimien luetteloimiseksi, tarkistamiseksi tai korjaamiseksi käytettävät komennot.Isilon, PowerScale OneFS
29 Apr 2024
7
Solution