Isilon : Utilisation de la commande isi_auth_expert de PowerScale OneFS pour gérer les problèmes d'authentification

Non requise

Non requise

Introduction

Les administrateurs peuvent exécuter la commande isi_auth_expert pour examiner l’environnement d’authentification d’un cluster PowerScale OneFS. Cela peut vous aider à vous assurer qu’il est correctement configuré et à identifier les conditions qui pourraient être à l’origine d’une latence d’accès aux données en raison de problèmes d’authentification.

Lla isi_auth_expert exécute une série de tests, y compris la connectivité réseau et de port, ainsi que la latence, la liaison et le décalage de l’horloge. Ces résultats peuvent être utilisés pour isoler une configuration ou un chemin réseau problématique à l’origine des problèmes d’accès aux données.

Les particuliers peuvent vouloir exécuter cet outil :

• Lorsque les utilisateurs existants ou nouveaux rencontrent une latence lors de la connexion à un partage, ou sont invités à saisir des informations d’identification de connexion lors de l’accès aux données
• Lorsque le cluster signale des événements relatifs à l’état hors ligne d’Active Directory ou du protocole LDAP (Lightweight Directory Access Protocol)
• Après avoir modifié la configuration du fournisseur d’authentification
• Une fois que les modifications de configuration ont affecté les chemins réseau entre un cluster et ses fournisseurs d’authentification

Instructions

Pour exécuter la commande isi_auth_expert , procédez comme suit :

isi_auth_expert

Les utilisateurs peuvent également exécuter la commande avec une ou plusieurs des options répertoriées dans le tableau ci-dessous :
 

Option	Explication
-h, --help	Afficher la syntaxe de cette commande
-h, --debug	Afficher les messages de débogage
-v, --verbose	Activer une sortie détaillée (plus robuste)
--no-color	Désactiver la sortie colorée

Exemple de résultat :

wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.

Tests implémentés

Lors de l’exécution isi_auth_expert , les vérifications suivantes sont effectuées :

Contrôles de processus

Ce test confirme que les processus liés à l’authentification (lsass, lwio et netlogon) sont en cours d’exécution. Si l’un des processus n’est pas en cours d’exécution, une erreur est renvoyée.

Active Directory

La section suivante décrit les tests que le isi_auth_expert s’exécute pour chaque fournisseur Active Directory (AD).

• Vérifier la connectivité
  du contrôleur de domaine Déterminez si le cluster dispose d’une connectivité réseau de base à au moins un contrôleur de domaine (DC) dans le domaine AD.

Vérifier les ports
CCVérifiez que pour chaque contrôleur de domaine, le cluster peut se connecter aux ports AD et que les ports acceptent les connexions.
 

Port	Explication	Utilisation AD	Type de trafic
88	Le port 88 est utilisé pour le trafic d’authentification Kerberos.	Authentification des utilisateurs et des ordinateurs, approbations au niveau Forest	Kerberos
139	Le port 139 est utilisé pour le trafic NetBIOS et NetLogon.	Authentification et réplication des utilisateurs et des ordinateurs	DFSN, Service de session NetBIOS, NetLogon
389	Le port 389 est utilisé pour les requêtes LDAP.	Répertoire, réplication, authentification des utilisateurs et des ordinateurs, stratégie de groupe, approbations	LDAP
445	Le port 445 est utilisé pour la réplication.	Réplication, authentification des utilisateurs et des ordinateurs, stratégie de groupe, approbations.	SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
3268	Le port 3268 est utilisé pour les requêtes LDAP du catalogue global. (utilisé si le catalogue global dans le fournisseur AD est activé)	Répertoire, réplication, authentification des utilisateurs et des ordinateurs, stratégie de groupe, approbations	LDAP GC

LDAP

La section suivante décrit les tests que le isi_auth_expert s’exécute pour chaque fournisseur LDAP.

Connectivité LDAP

• Vérifiez la connectivité du serveur LDAP en établissant une liaison LDAP anonyme et en vérifiant les résultats.

Prise en charge des objets énumérés LDAP

• Vérifiez que chaque serveur LDAP prend en charge les objets énumérés en vérifiant les contrôles pris en charge par les serveurs LDAP. OneFS requiert les contrôles des résultats paginés ou la vue de liste virtuelle et les contrôles de tri côté serveur.

Valider le nom unique de base configuré

• Effectuez une requête de test par rapport au nom unique de base configuré pour garantir la compatibilité de la configuration avec le serveur LDAP.

Valider le nom unique de base utilisateur configuré

• Effectuez une requête de test sur le user-base-dn configuré pour garantir la compatibilité de la configuration avec le serveur LDAP.

Valider le nom group-base-dn configuré

• Effectuez une requête de test par rapport au group-base-dn configuré pour garantir la compatibilité de la configuration avec le serveur LDAP.

Autres vérifications et paramètres dans OneFS 7.2.1.5 et versions ultérieures

Les vérifications suivantes ont été ajoutées dans OneFS 7.2.1.5.

• Active Directory

  • Vérification de la latence du contrôleur de domaine
  • Vérification de l’asymétrie de l’horloge et de la latence
  • Vérification du service de catalogue global pour l’utilisateur (SFU)
• LDAP - Vérification de l’utilisateur
• Kerberos : le nom principal de service (SPN) vérifie les zones SmartConnect et les alias

Le isi_auth_expert peut calculer deux types de latences : Latence ping et latence LDAP pour tous les contrôleurs de domaine. Si le décalage de l’horloge est inférieur à cinq minutes, la commande renvoie : « Il n’y a que très peu, voire pas d’asymétrie, entre le fournisseur AD et votre machine. »

Les paramètres suivants ont également été ajoutés.
 

Option	Explication
--ldap-user	Vérifie le fournisseur LDAP pour un utilisateur spécifié
--sfu-user	Vérifie le catalogue global Active Directory pour un utilisateur spécifié
--admin-creds	Fournissez les informations d’identification requises lors de la vérification du catalogue global Active Directory.

Vérification des attributs d’utilisateur LDAP

Pour exécuter la vérification de l’attribut utilisateur LDAP, vous devez exécuter la commande isi_auth_expert avec la commande --ldap-user=<user> Où <user> est l’utilisateur à vérifier. Le nom d’utilisateur doit être de la forme « nom simple » pour que la recherche fonctionne. La vérification des attributs d’utilisateur LDAP se connecte à un serveur LDAP et l’interroge pour l’utilisateur spécifié. Nous pouvons ensuite vérifier les résultats de la requête pour nous assurer que l’utilisateur dispose de tous les attributs nécessaires à l’authentification dans n’importe quel domaine.

Vérification SFU du catalogue global Active Directory

Un serveur de catalogue global est un contrôleur de domaine qui possède des informations sur le domaine auquel il est associé et sur tous les autres domaines de la forêt. À l’instar d’un serveur LDAP, le catalogue global dispose d’une liste de données associées au domaine qu’il contrôle, en plus d’une copie partielle des données qu’il obtient d’autres contrôleurs de domaine. S’il ne dispose pas de toutes les données partagées par les contrôleurs de domaine, il peut y avoir des problèmes d’authentification.

Pour exécuter la vérification SFU du catalogue global Active Directory, vous devez exécuter la commande isi_auth_expert avec la commande --sfu-user=<user> et --admin-creds="[('<Domain>', '<User>', '<password>')]" <où user> est l’utilisateur SFU que vous voulez vérifier et « [('<Domaine', '<Utilisateur>>', '<mot de passe>')] » sont les informations d’identification que le isi_auth_expert doit fournir pour effectuer la recherche dans le catalogue global dans le contrôleur de domaine. La limitation suivante s’applique à la vérification du catalogue global : Vous devez fournir les informations d’identification d’administrateur.

Vérification du nom principal du serveur (SPN)

Les SPN peuvent provoquer des échecs d’authentification s’ils ne sont pas présents lorsque vous rejoignez un fournisseur Kerberos ou si vous modifiez le nom d’une zone SmartConnect. Le isi_auth_expert détermine si les SPN sont manquants, périmés ou incorrects. Cette fonction s’exécute automatiquement chaque fois que isi_auth_expert la commande est exécutée.

Cette fonctionnalité est utilisée pour rechercher les SPN manquants dans les deux fournisseurs Kerberos et également dans les zones SmartConnect. La commande collecte tous les SPN associés aux fournisseurs et aux zones SmartConnect et s’assure que les SPN requis sont présents.

Si vous utilisez des alias SmartConnect, il effectue également une recherche par rapport à ces alias. Vous pouvez utiliser l’option isi auth ads spn ou isi auth krb5 spn Commandes permettant de répertorier, vérifier ou corriger les SPN manquants signalés.