Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000126268

Isilon: Todennusongelmien hallinta PowerScale OneFS:n isi_auth_expert-komennolla (englanninkielinen)

Summary: Tässä artikkelissa kerrotaan, miten todennusta hallitaan Isilon OneFS isi_auth_expert komennolla.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Ei tarvita

Cause

Ei tarvita

Resolution

Johdanto

Järjestelmänvalvojat voivat suorittaa isi_auth_expert PowerScale OneFS -klusterin todennusympäristön tarkistuskomento. Tämä voi auttaa varmistamaan, että se on määritetty oikein, ja tunnistamaan olosuhteet, jotka voivat aiheuttaa tietojen käyttöviiveen todennusongelmien vuoksi.

Ja isi_auth_expert Command suorittaa useita testejä, kuten verkko- ja porttiyhteydet sekä viiveen, sidonnan ja kellon vinoutuman. Näiden tulosten avulla voidaan eristää ongelmallinen kokoonpano tai verkkopolku, joka aiheuttaa tietojen käyttöongelmia.

Yksityishenkilöt voivat haluta suorittaa tämän työkalun:
  • Kun nykyiset tai uudet käyttäjät kokevat viivettä muodostaessaan yhteyden jaettuun resurssiin tai kun heitä pyydetään antamaan kirjautumistiedot tietoja käytettäessä
  • Kun klusteri raportoi Active Directoryn tai LDAP (Lightweight Directory Access Protocol) -protokollan offline-tilaan liittyviä tapahtumia
  • Todennuspalvelun asetusten muokkaamisen jälkeen
  • Kun kokoonpanomuutokset ovat vaikuttaneet klusterin ja sen todennustoimittajien välisiin verkkopolkuihin
Huomautus: Uudet tarkistukset ja parametrit lisättiin isi_auth_expert -komento OneFS 7.2.1.5:ssä. Lisätietoja on tämän artikkelin kohdassa OneFS 7.2.1.5:n ja uudempien versioiden lisätarkistukset ja -parametrit.


Ohjeita

Voit suorittaa isi_auth_expert -komento, toimi seuraavasti: 
isi_auth_expert
Yksittäiset käyttäjät voivat suorittaa komennon myös yhdellä tai useammalla alla olevassa taulukossa luetelluista vaihtoehdoista:
 
Asetus Selitys
-h, --help Näytä komennon syntaksi
-h, --debug Näytä virheenkorjausviestit
-v, --verbose Ota käyttöön monisanainen (kestävämpi) tulostus
--no-color Poista väritulostus käytöstä
Esimerkki tuloksesta: 
wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.


Toteutetut testit

Käytettäessä isi_auth_expert komento, suoritetaan seuraavat tarkistukset:


Prosessin tarkastukset

Tämä testi vahvistaa, että todentamiseen liittyvät prosessit (lsass, lwio ja netlogon) ovat käynnissä. Jos jokin prosesseista ei ole käynnissä, palautetaan virhe.


Active Directory

Seuraavassa osassa kuvataan testit, jotka isi_auth_expert -komento suoritetaan kullekin Active Directory (AD) -palveluntarjoajalle.

  • Tarkista toimialueen ohjauskoneen yhteydet
    Määritä, onko klusterilla perusverkkoyhteys vähintään yhteen AD-toimialueen ohjauskoneeseen.

Tarkista DC-portit
Varmista, että jokaisen toimialueen klusteri voi muodostaa yhteyden AD:hen liittyviin portteihin ja että portit hyväksyvät yhteyksiä.
 

Portti Selitys AD:n käyttö Liikenteen tyyppi
88 Porttia 88 käytetään Kerberos-todennusliikenteeseen. Käyttäjän ja tietokoneen todennus, toimialuepuuryhmän luottamus Kerberos
139 Porttia 139 käytetään NetBIOS- ja NetLogon-liikenteeseen. Käyttäjän ja tietokoneen todennus, replikointi DFSN, NetBIOS-istuntopalvelu, NetLogon
389 LDAP-kyselyissä käytetään porttia 389. Hakemisto, replikointi, käyttäjän ja tietokoneen todennus, ryhmäkäytäntö, luottamussuhteet LDAP
445 Replikointiin käytetään porttia 445. Replikointi, käyttäjän ja tietokoneen todennus, ryhmäkäytäntö, luottamukset. SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
3268 Porttia 3268 käytetään yleisen luettelon LDAP-kyselyihin. (käytetään, jos AD-palveluntarjoajan yleinen luettelo on käytössä) Hakemisto, replikointi, käyttäjän ja tietokoneen todennus, ryhmäkäytäntö, luottamussuhteet LDAP GC


LDAP

Seuraavassa osassa kuvataan testit, jotka isi_auth_expert komento suoritetaan kullekin LDAP-palveluntarjoajalle.

LDAP-yhteys

  • Tarkista LDAP-palvelinyhteys tekemällä anonyymi LDAP-sidonta ja tarkistamalla tulokset.

LDAP-luetteloitujen objektien tuki

  • Varmista, että kukin LDAP-palvelin tukee luetteloituja objekteja, tarkistamalla LDAP-palvelimien tukemat säätimet. OneFS edellyttää joko sivutettujen tulosten ohjausobjekteja tai sekä virtuaalisen luettelonäkymän että palvelinpuolen lajittelun ohjausobjekteja.

Vahvista määritetty base-dn

  • Suorita testikysely määritetylle base-dn: lle varmistaaksesi kokoonpanon yhteensopivuuden LDAP-palvelimen kanssa.

Vahvista määritetty user-base-dn

  • Suorita testikysely määritetylle user-base-dn:lle varmistaaksesi määritysten yhteensopivuuden LDAP-palvelimen kanssa.

Vahvista määritetty group-base-dn

  • Suorita testikysely määritetylle group-base-dn:lle varmistaaksesi määrityksen yhteensopivuuden LDAP-palvelimen kanssa.


Muut tarkistukset ja parametrit OneFS 7.2.1.5:ssä ja uudemmissa

Seuraavat tarkistukset on lisätty OneFS 7.2.1.5 -versioon.

  • Active Directory

    • Toimialueen ohjauskoneen viiveen tarkistus
    • Kellon vinous ja viiveen tarkistus
    • Global Catalog Service for User (SFU) -tarkistus
  • LDAP - käyttäjän tarkistus
  • Kerberos - Palvelun päänimi (SPN) tarkistaa SmartConnect-alueet ja -aliakset
pikanäppäimellä isi_auth_expert Komento voi laskea kahdenlaisia viiveitä: Kaikkien toimialueen ohjauskoneiden ping-viive ja LDAP-viive. Jos kellon vino on alle viisi minuuttia, komento palaa: "AD-palveluntarjoajan ja koneesi välillä on minimaalinen tai ei lainkaan vinoumaa."

Seuraavat parametrit lisättiin myös.
 
Asetus     Selitys
--ldap-user Tarkistaa tietyn käyttäjän LDAP-palveluntarjoajan
--sfu-user Tarkistaa tietyn käyttäjän Active Directoryn yleisen luettelon
--admin-creds Anna tunnistetiedot, joita tarvitaan Active Directoryn yleisen luettelon tarkistamiseen.


LDAP-käyttäjämääritteen tarkistus

Jos haluat suorittaa LDAP-käyttäjän määritetarkistuksen, sinun on suoritettava isi_auth_expert komento, jossa on --ldap-user=<user> parametri, jossa <käyttäjä> on tarkistettava käyttäjä. Käyttäjätunnuksen on oltava muotoa "tavallinen nimi", jotta haku toimii. LDAP-käyttäjän attribuuttitarkistus muodostaa yhteyden LDAP-palvelimeen ja kyselee sitä määritetyltä käyttäjältä. Voimme sitten tarkistaa kyselyn tulokset varmistaaksemme, että käyttäjällä on kaikki tarvittavat määritteet, joita tarvitaan todentamiseen missä tahansa verkkotunnuksessa.


Active Directoryn yleisen luettelon SFU-tarkistus

Yleinen luettelopalvelin on toimialueen ohjauskone, jossa on tietoja toimialueesta, johon se on liitetty, ja kaikista muista toimialuepuuryhmän toimialueista. LDAP-palvelimen tavoin yleisessä luettelossa on luettelo sen hallitsemaan toimialueeseen liittyvistä tiedoista sekä osittainen kopio tiedoista, jotka se saa muilta toimialueen ohjauskoneilta. Jos siinä ei ole kaikkia toimialueen ohjauskoneiden jakamia tietoja, seurauksena voi olla todennusongelmia.

Jos haluat suorittaa Active Directoryn yleisen luettelon SFU-tarkistuksen, sinun on suoritettava isi_auth_expert komento, jossa on --sfu-user=<user> ja --admin-creds="[('<Domain>', '<User>', '<password>')]" parametrit, joissa <käyttäjä> on SFU-käyttäjä, jonka haluat tarkistaa, ja "[('<Domain', '<User>', '<password>>')]" ovat tunnistetietoja isi_auth_expert Komento on annettava, jotta yleisen luettelon haku voidaan suorittaa toimialueen ohjauspalvelimessa. Meillä on seuraava rajoitus, kun tarkistamme yleistä luetteloa: Sinun on annettava järjestelmänvalvojan tunnistetiedot.


Palvelimen päänimen (SPN) tarkistus

Palvelun päänimet voivat aiheuttaa todennusvirheitä, jos niitä ei ole, kun liityt Kerberos-palveluntarjoajaan tai jos muutat SmartConnect-vyöhykkeen nimeä. pikanäppäimellä isi_auth_expert Komento määrittää, puuttuuko palvelun päänimet vai ovatko ne vanhentuneita vai virheellisiä. Tämä toiminto suoritetaan automaattisesti aina, kun isi_auth_expert -komento suoritetaan.

Tämän toiminnon avulla tarkistetaan puuttuvat palvelun päänimet sekä Kerberos-palveluissa että SmartConnect-alueilla. Komento kerää kaikki palveluntarjoajiin ja SmartConnect-vyöhykkeisiin liittyvät palvelun päänimet ja varmistaa, että tarvittavat päänimet ovat käytettävissä.

Jos käytät SmartConnect-aliaksia, se tarkistaa myös nämä aliakset. Voit käyttää isi auth ads spn tai isi auth krb5 spn ilmoitettujen puuttuvien palvelun päänimien luetteloimiseksi, tarkistamiseksi tai korjaamiseksi käytettävät komennot.

Article Properties

Affected Product

Isilon, PowerScale OneFS

Last Published Date

29 Apr 2024

Version

7

Article Type

Solution

Back to Top