Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000126268

Isilon: Bruke kommandoen "PowerScale OneFS isi_auth_expert" til å administrere problemer med godkjenning

Summary: Denne artikkelen forklarer hvordan du bruker isi_auth_expert kommandoen Isilon OneFS til å administrere godkjenning.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Ikke nødvendig

Cause

Ikke nødvendig

Resolution

Innledning

Administratorer kan kjøre isi_auth_expert -kommandoen for å undersøke godkjenningsmiljøet til en PowerScale OneFS-klynge. Dette kan bidra til å sikre at den er riktig konfigurert og til å identifisere forhold som kan forårsake datatilgangsventetid som følge av godkjenningsproblemer.

Den isi_auth_expert Kommandoen kjører en rekke tester, inkludert nettverks- og porttilkobling og ventetid, binding og klokkeskjevhet. Disse resultatene kan brukes til å isolere en problematisk konfigurasjon eller nettverksbane som forårsaker problemer med datatilgang.

Enkeltpersoner kan ønske å kjøre dette verktøyet:
  • Når eksisterende eller nye brukere opplever ventetid mens de kobler til en delt ressurs, eller blir bedt om å angi påloggingslegitimasjon ved tilgang til data
  • Når klyngen rapporterer hendelser angående frakoblet status for Active Directory eller Lightweight Directory Access Protocol (LDAP)
  • Når du har endret oppsettet for godkjenningsleverandøren, -
  • Når konfigurasjonsendringene har påvirket nettverksbanene mellom en klynge og godkjenningsleverandørene
Merk: Nye kontroller og parametere ble lagt til i isi_auth_expert -kommandoen i OneFS 7.2.1.5. Se delen Flere kontroller og parametere i OneFS 7.2.1.5 og nyere i denne artikkelen hvis du vil ha mer informasjon.


Instruksjoner

Hvis du vil kjøre isi_auth_expert Kommando, gjør du følgende: 
isi_auth_expert
Enkeltpersoner kan også kjøre kommandoen med ett eller flere av alternativene som er oppført i tabellen nedenfor:
 
Alternativ Forklaring
-h, --help Vis syntaksen for denne kommandoen
-h, --debug Vis feilsøkingsmeldinger
-v, --verbose Aktiver detaljerte (mer robuste) utdata
--no-color Deaktiver farget utdata
Eksempel på utdata: 
wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.


Gjennomførte tester

Når du løper isi_auth_expert -kommandoen, utføres følgende kontroller:


Behandle kontroller

Denne testen bekrefter at godkjenningsrelaterte prosesser (lsass, lwio og netlogon) kjører. Hvis noen av prosessene ikke kjører, returneres en feil.


Active Directory

Følgende avsnitt beskriver testene som isi_auth_expert -kommandoen utføres for hver Active Directory-leverandør (AD).

  • Kontroller domenekontrollertilkoblingen
    Fastslå om klyngen har grunnleggende nettverkstilkobling til minst én domenekontroller (DC) i AD-domenet.

Kontroller DC-portene
Kontroller at klyngen for hver DC kan koble til AD-relaterte porter, og at portene godtar tilkoblinger.
 

Port Forklaring AD-bruk Trafikktype
88 Port 88 brukes for Kerberos-godkjenningstrafikk. Bruker- og datamaskinautentisering, skognivåklareringer Kerberos
139 Port 139 brukes for NetBIOS- og NetLogon-trafikk. Bruker- og datamaskingodkjenning, replikering DFSN, NetBIOS-økttjeneste, NetLogon
389 Port 389 brukes for LDAP-spørringer. Katalog, replikering, bruker- og datamaskingodkjenning, gruppepolicy, klareringer LDAP
445 Port 445 brukes til replikering. Replikering, bruker- og datamaskingodkjenning, gruppepolicy, klarering. SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
3268 Port 3268 brukes til LDAP-spørringer i en global katalog. (brukes hvis den globale katalogen i AD-leverandøren er aktivert) Katalog, replikering, bruker- og datamaskingodkjenning, gruppepolicy, klareringer LDAP GC


LDAP

Følgende avsnitt beskriver testene som isi_auth_expert utfører kommandoen for hver LDAP-leverandør.

LDAP-tilkobling

  • Kontroller LDAP-servertilkoblingen ved å lage en anonym LDAP-binding og kontrollere resultatene.

Støtte for LDAP-opplistede objekter

  • Bekreft at hver LDAP-tjener støtter opplistede objekter ved å sjekke LDAP-tjenernes støttede kontroller. OneFS krever enten de sidevekslede resultatkontrollene eller både den virtuelle listevisningen og sorteringskontrollene på serversiden.

Valider konfigurert base-dn

  • Utføre en testspørring mot den konfigurerte base-dn for å sikre konfigurasjonskompatibilitet med LDAP-tjeneren.

Valider konfigurert brukerbase-dn

  • Utføre en testspørring mot den konfigurerte brukerbasen for DN for å sikre konfigurasjonskompatibilitet med LDAP-tjeneren.

Validere konfigurert gruppe-base-dn

  • Utfør en testspørring mot den konfigurerte group-base-dn for å sikre konfigurasjonskompatibilitet med LDAP-serveren.


Andre kontroller og parametere i OneFS 7.2.1.5 og nyere

Følgende kontroller ble lagt til i OneFS 7.2.1.5.

  • Active Directory

    • Ventetidskontroll for domenekontroller
    • Klokkeskjevhet og latenskontroll
    • Kontroll av global katalogtjeneste for bruker (SFU)
  • LDAP – brukersjekk
  • Kerberos – Service Principal Name (SPN) ser etter SmartConnect-soner og aliaser
Informasjonen i isi_auth_expert Kommandoen kan beregne to typer ventetider: Ping-ventetid og LDAP-ventetid for alle domenekontrollere. Hvis klokkeskjevheten er mindre enn fem minutter, returnerer kommandoen: "Det er minimal eller ingen skjevhet mellom AD-leverandøren og maskinen din."

Følgende parametere ble også lagt til.
 
Alternativ     Forklaring
--ldap-user Kontrollerer LDAP-leverandøren for en angitt bruker
--sfu-user Kontrollerer Active Directory Global Catalog for en angitt bruker
--admin-creds Angi legitimasjonen som kreves når du kontrollerer den globale katalogen for Active Directory.


Kontroll av LDAP-brukerattributt

Hvis du vil kjøre LDAP-kontroll av brukerattributter, må du kjøre isi_auth_expert kommando med --ldap-user=<user> parameter der <brukeren> er brukeren du vil kontrollere. Brukernavnet må være av formen "vanlig navn" for at søket skal fungere. LDAP-brukerattributtkontrollen kobler til en LDAP-tjener og spør etter den angitte brukeren. Vi kan deretter sjekke resultatene av spørringen for å sikre at brukeren har alle nødvendige attributter som er nødvendige for autentisering i et hvilket som helst domene.


SFU-kontroll for global katalog for Active Directory

En global katalogserver er en domenekontroller som har informasjon om domenet den er tilknyttet, og alle de andre domenene i skogen. I likhet med en LDAP-tjener har den globale katalogen en liste over data som er knyttet til domenet den kontrollerer, i tillegg til en delvis kopi av dataene den får fra andre domenekontrollere. Hvis den ikke har alle dataene som domenekontrollerne deler, kan det være godkjenningsproblemer.

Hvis du vil kjøre SFU-kontrollen for den globale Active Directory-katalogen, må du kjøre isi_auth_expert kommando med --sfu-user=<user> og --admin-creds="[('<Domain>', '<User>', '<password>')]" parametere der <brukeren> er SFU-brukeren du vil sjekke, og "[('<Domain>', '<User', '<password>>')]" er legitimasjonen isi_auth_expert -kommandoen må leveres for å utføre det globale katalogoppslaget i domenekontrolleren. Vi har følgende begrensninger når vi sjekker den globale katalogen: Du må oppgi administratorlegitimasjon.


Kontroll av hovednavn for server (SPN)

SPN-er kan forårsake godkjenningsfeil hvis de ikke finnes når du blir med i en Kerberos-leverandør, eller hvis du endrer navnet på en SmartConnect-sone. Informasjonen i isi_auth_expert -kommandoen angir om SPN-er mangler, er foreldet eller feil. Denne funksjonen kjøres automatisk når isi_auth_expert Kommandoen er kjørt.

Denne funksjonen brukes til å se etter manglende SPN-er i både Kerberos-leverandører og også i SmartConnect-soner. Kommandoen samler alle SPN-er som er knyttet til leverandørene og SmartConnect-sonene, og sikrer at de nødvendige SPN-ene er til stede.

Hvis du bruker SmartConnect-aliaser, sjekker den også mot disse aliasene. Du kan bruke isi auth ads spn eller isi auth krb5 spn kommandoer for å liste, kontrollere eller reparere rapporterte manglende SPNer.

Article Properties

Affected Product

Isilon, PowerScale OneFS

Last Published Date

29 Apr 2024

Version

7

Article Type

Solution

Back to Top