Article Number: 000126268
isi_auth_expert
pour examiner l’environnement d’authentification d’un cluster PowerScale OneFS. Cela peut vous aider à vous assurer qu’il est correctement configuré et à identifier les conditions qui pourraient être à l’origine d’une latence d’accès aux données en raison de problèmes d’authentification.
isi_auth_expert
exécute une série de tests, y compris la connectivité réseau et de port, ainsi que la latence, la liaison et le décalage de l’horloge. Ces résultats peuvent être utilisés pour isoler une configuration ou un chemin réseau problématique à l’origine des problèmes d’accès aux données.
isi_auth_expert
dans OneFS 7.2.1.5. Pour plus d’informations, reportez-vous à la section Vérifications et paramètres supplémentaires dans OneFS 7.2.1.5 et versions supérieures de cet article.
isi_auth_expert
, procédez comme suit :
isi_auth_expertLes utilisateurs peuvent également exécuter la commande avec une ou plusieurs des options répertoriées dans le tableau ci-dessous :
Option | Explication |
-h, --help |
Afficher la syntaxe de cette commande |
-h, --debug |
Afficher les messages de débogage |
-v, --verbose |
Activer une sortie détaillée (plus robuste) |
--no-color |
Désactiver la sortie colorée |
wcvirt1-1# isi_auth_expert Checking authentication process health ... done Checking LDAP provider 'ldaptest' server connectivity ... done Checking LDAP provider 'ldaptest' base dn ... done Checking LDAP provider 'ldaptest' object enumeration support ... done Checking LDAP provider 'ldaptest' group base dn ... done Checking LDAP provider 'ldaptest' user base dn ... done [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider 'ldaptest' was not found on LDAP server ldaptest.west.isilon.com. Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1 .wmc-ada.west.isilon.com on port 3268.
Lors de l’exécution isi_auth_expert
, les vérifications suivantes sont effectuées :
La section suivante décrit les tests que le isi_auth_expert
s’exécute pour chaque fournisseur Active Directory (AD).
Vérifier la connectivité
du contrôleur de domaine Déterminez si le cluster dispose d’une connectivité réseau de base à au moins un contrôleur de domaine (DC) dans le domaine AD.
Vérifier les ports
CCVérifiez que pour chaque contrôleur de domaine, le cluster peut se connecter aux ports AD et que les ports acceptent les connexions.
Port | Explication | Utilisation AD | Type de trafic |
---|---|---|---|
88 | Le port 88 est utilisé pour le trafic d’authentification Kerberos. | Authentification des utilisateurs et des ordinateurs, approbations au niveau Forest | Kerberos |
139 | Le port 139 est utilisé pour le trafic NetBIOS et NetLogon. | Authentification et réplication des utilisateurs et des ordinateurs | DFSN, Service de session NetBIOS, NetLogon |
389 | Le port 389 est utilisé pour les requêtes LDAP. | Répertoire, réplication, authentification des utilisateurs et des ordinateurs, stratégie de groupe, approbations | LDAP |
445 | Le port 445 est utilisé pour la réplication. | Réplication, authentification des utilisateurs et des ordinateurs, stratégie de groupe, approbations. | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
3268 | Le port 3268 est utilisé pour les requêtes LDAP du catalogue global. (utilisé si le catalogue global dans le fournisseur AD est activé) | Répertoire, réplication, authentification des utilisateurs et des ordinateurs, stratégie de groupe, approbations | LDAP GC |
isi_auth_expert
s’exécute pour chaque fournisseur LDAP.
Connectivité LDAP
Prise en charge des objets énumérés LDAP
Valider le nom unique de base configuré
Valider le nom unique de base utilisateur configuré
Valider le nom group-base-dn configuré
Les vérifications suivantes ont été ajoutées dans OneFS 7.2.1.5.
Active Directory
isi_auth_expert
peut calculer deux types de latences : Latence ping et latence LDAP pour tous les contrôleurs de domaine. Si le décalage de l’horloge est inférieur à cinq minutes, la commande renvoie : « Il n’y a que très peu, voire pas d’asymétrie, entre le fournisseur AD et votre machine. »
Option | Explication |
---|---|
--ldap-user |
Vérifie le fournisseur LDAP pour un utilisateur spécifié |
--sfu-user |
Vérifie le catalogue global Active Directory pour un utilisateur spécifié |
--admin-creds |
Fournissez les informations d’identification requises lors de la vérification du catalogue global Active Directory. |
isi_auth_expert
avec la commande --ldap-user=<user>
Où <user> est l’utilisateur à vérifier. Le nom d’utilisateur doit être de la forme « nom simple » pour que la recherche fonctionne. La vérification des attributs d’utilisateur LDAP se connecte à un serveur LDAP et l’interroge pour l’utilisateur spécifié. Nous pouvons ensuite vérifier les résultats de la requête pour nous assurer que l’utilisateur dispose de tous les attributs nécessaires à l’authentification dans n’importe quel domaine.
isi_auth_expert
avec la commande --sfu-user=<user>
et --admin-creds="[('<Domain>', '<User>', '<password>')]"
<où user> est l’utilisateur SFU que vous voulez vérifier et « [('<Domaine', '<Utilisateur>>', '<mot de passe>')] » sont les informations d’identification que le isi_auth_expert
doit fournir pour effectuer la recherche dans le catalogue global dans le contrôleur de domaine. La limitation suivante s’applique à la vérification du catalogue global : Vous devez fournir les informations d’identification d’administrateur.
isi_auth_expert
détermine si les SPN sont manquants, périmés ou incorrects. Cette fonction s’exécute automatiquement chaque fois que isi_auth_expert
la commande est exécutée.
isi auth ads spn
ou isi auth krb5 spn
Commandes permettant de répertorier, vérifier ou corriger les SPN manquants signalés.Isilon, PowerScale OneFS
29 Apr 2024
7
Solution