Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000126268

Isilon:「PowerScale OneFS isi_auth_expertコマンドを使用した認証問題の管理(英語)」

Summary: この記事では、Isilon OneFS isi_auth_expertコマンドを使用して認証を管理する方法について説明します。

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

不要

Cause

不要

Resolution

概要

管理者は、 isi_auth_expert コマンドを使用して、PowerScale OneFSクラスターの認証環境を調べます。これは、適切に構成されていることを確認し、認証の問題の結果としてデータ アクセスのレイテンシーを引き起こしている可能性のある条件を特定するのに役立ちます。

この isi_auth_expert コマンドは、ネットワークとポートの接続とレイテンシー、バインディング、クロック スキューなど、一連のテストを実行します。これらの結果を使用して、データ アクセスの問題の原因となっている問題のある構成またはネットワーク パスを分離できます。

個人は、このツールを実行できます。
  • 既存ユーザーまたは新規ユーザーが共有への接続中にレイテンシーが発生した場合、またはデータにアクセスするときにログイン認証情報の入力を求められた場合
  • クラスターがActive DirectoryまたはLightweight Directory Access Protocol (LDAP)のオフライン ステータスに関するイベントを報告している場合
  • 認証プロバイダーのセットアップを変更した後
  • 構成の変更がクラスターとその認証プロバイダー間のネットワーク パスに影響を与えた後
注:新しいチェックとパラメーターが isi_auth_expert コマンドをOneFS 7.2.1.5に導入しました。詳細については、この記事の「OneFS 7.2.1.5以降の追加のチェックとパラメーター」セクションを参照してください。


手順

実行するには、 isi_auth_expert コマンドで、次の操作を行います。 
isi_auth_expert
個人は、以下の表にリストされている1つ以上のオプションを使用してコマンドを実行することもできます。
 
オプション 説明
-h, --help このコマンドの構文を表示します
-h, --debug デバッグ メッセージの表示
-v, --verbose 冗長な(より堅牢な)出力を有効にする
--no-color 色付き出力を無効にする
出力例: 
wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.


実装されたテスト

実行時 isi_auth_expert コマンドを実行すると、次のチェックが実行されます。


プロセスのチェック

このテストでは、認証関連のプロセス(lsass、lwio、netlogon)が実行されていることを確認します。いずれかのプロセスが実行されていない場合は、エラーが返されます。


Active Directory

次のセクションでは、 isi_auth_expert コマンドは、各 Active Directory (AD) プロバイダーに対して実行されます。

  • ドメイン コントローラーの接続
    性を確認します クラスターにADドメイン内の少なくとも1つのドメイン コントローラー(DC)への基本的なネットワーク接続があるかどうかを確認します。

DCポート
を確認しますすべてのDCについて、クラスターがAD関連のポートに接続できること、およびポートが接続を受け入れていることを確認します。
 

ポート 説明 ADの使用状況 トラフィック タイプ
88 ポート88は、Kerberos認証トラフィックに使用されます。 ユーザーとコンピューターの認証、フォレスト レベルの信頼 Kerberos
139 ポート139は、NetBIOSおよびNetLogonトラフィックに使用されます。 ユーザーとコンピューターの認証、レプリケーション DFSN, NetBIOS Session Service, NetLogon, NetBIOSセッション サービス
389 ポート389はLDAPクエリーに使用されます。 ディレクトリ、レプリケーション、ユーザーとコンピューターの認証、グループ ポリシー、信頼関係 LDAP
445 ポート445はレプリケーションに使用されます。 レプリケーション、ユーザーとコンピューターの認証、グループ ポリシー、信頼関係。 SMB、CIFS、SMB2、DFSN、LSARPC、NbtSS、NetLogonR、SamR、SrvSvc
3268 ポート3268は、グローバル カタログLDAPクエリーに使用されます。(ADプロバイダーのグローバル カタログが有効になっている場合に使用) ディレクトリ、レプリケーション、ユーザーとコンピューターの認証、グループ ポリシー、信頼関係 LDAPのGC


LDAP

次のセクションでは、 isi_auth_expert コマンドは、各 LDAP プロバイダーに対して実行されます。

LDAP接続

  • 匿名のLDAPバインドを作成し、結果を確認して、LDAPサーバーの接続性を確認します。

LDAP列挙オブジェクトのサポート

  • LDAPサーバーでサポートされているコントロールを確認して、各LDAPサーバーが列挙オブジェクトをサポートしていることを確認します。OneFSでは、ページングされた結果コントロール、または仮想リスト ビューとサーバー側の並べ替えコントロールの両方が必要です。

構成済みのbase-dnの検証

  • 構成済みのbase-dnに対してテスト クエリーを実行し、LDAPサーバーとの構成の互換性を確認します。

構成済みのuser-base-dnを検証します

  • 設定されたuser-base-dnに対してテスト クエリーを実行して、LDAPサーバーとの構成の互換性を確認します。

構成済みのgroup-base-dnの検証

  • 設定されたgroup-base-dnに対してテスト クエリーを実行して、LDAPサーバーとの設定の互換性を確認します。


OneFS 7.2.1.5以降のその他のチェックとパラメーター

OneFS 7.2.1.5では、次のチェックが追加されました。

  • Active Directory

    • ドメイン コントローラーのレイテンシー チェック
    • クロック スキューとレイテンシーのチェック
    • ユーザー向けグローバル カタログ サービス(SFU)チェック
  • LDAP - ユーザー チェック
  • Kerberos - サービス プリンシパル名(SPN)によるSmartConnectゾーンとエイリアスのチェック
そうすると、 isi_auth_expert コマンドでは、次の2種類のレイテンシーを計算できます。すべてのドメイン コントローラーのPingレイテンシーとLDAPレイテンシー。クロック スキューが5分未満の場合、コマンドは次の結果を返します。「ADプロバイダーとマシンの間にスキューが最小限またはまったくない。」

次のパラメーターも追加されました。
 
オプション     説明
--ldap-user 指定したユーザーのLDAPプロバイダーを確認します
--sfu-user 指定したユーザーのActive Directoryグローバル カタログを確認します
--admin-creds Active Directoryグローバル カタログを確認するときに必要な認証情報を入力します。


LDAPユーザー属性のチェック

LDAPユーザー属性チェックを実行するには、 isi_auth_expert コマンドを --ldap-user=<user> ここで <、user> はチェックするユーザーです。検索を機能させるには、ユーザー名を「plain name」の形式にする必要があります。LDAPユーザー属性チェックは、LDAPサーバーに接続し、指定されたユーザーについてクエリーを実行します。次に、クエリの結果をチェックして、ユーザーが任意のドメインでの認証に必要なすべての属性を持っていることを確認できます。


Active Directoryグローバル カタログSFUチェック

グローバル カタログ サーバーは、関連付けられているドメインとフォレスト内の他のすべてのドメインに関する情報を持つドメイン コントローラーです。LDAP サーバーと同様に、グローバル カタログには、他のドメイン コントローラから取得したデータの一部のコピーに加えて、制御するドメインに関連付けられたデータの一覧があります。ドメイン コントローラーが共有しているすべてのデータが含まれていない場合は、認証の問題が発生する可能性があります。

Active Directoryグローバル カタログSFUチェックを実行するには、 isi_auth_expert コマンドを --sfu-user=<user>--admin-creds="[('<Domain>', '<User>', '<password>')]" ここで、<user> は確認する SFU ユーザーで、"[('<Domain', '<User>>', '<password>')]" は資格情報です。 isi_auth_expert コマンドは、ドメイン コントローラーでグローバル カタログ検索を実行するために提供する必要があります。グローバル カタログを確認する際には、次の制限があります。管理者の認証情報を入力する必要があります。


サーバー プリンシパル名(SPN)の確認

Kerberosプロバイダーへの参加時にSPNが存在しない場合、またはSmartConnectゾーンの名前を変更した場合、SPNが認証に失敗することがあります。そうすると、 isi_auth_expert コマンドは、SPNが欠落しているか、古いか、または正しくないかを判断します。この機能は、 isi_auth_expert コマンドが実行されます

この機能は、KerberosプロバイダーとSmartConnectゾーンの両方で欠落しているSPNをチェックするために使用されます。このコマンドは、プロバイダーとSmartConnectゾーンに関連づけられているすべてのSPNを収集し、必要なSPNが存在することを確認します。

SmartConnectエイリアスを使用している場合は、それらのエイリアスについてもチェックします。あなたは、 isi auth ads spn または isi auth krb5 spn 報告された欠落SPNを一覧表示、チェック、または修正するコマンド。

Article Properties

Affected Product

Isilon, PowerScale OneFS

Last Published Date

29 Apr 2024

Version

7

Article Type

Solution

Back to Top