Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000126268

Isilon: Korzystanie z polecenia PowerScale OneFS isi_auth_expert do zarządzania problemami z uwierzytelnianiem

Summary: W tym artykule wyjaśniono, w jaki sposób korzystać z polecenia Isilon OneFS isi_auth_expert do zarządzania uwierzytelnianiem.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Niewymagany

Cause

Niewymagany

Resolution

Wprowadzenie

Administratorzy mogą uruchomić isi_auth_expert , aby sprawdzić środowisko uwierzytelniania klastra PowerScale OneFS. Może to pomóc w zapewnieniu prawidłowej konfiguracji i zidentyfikowaniu warunków, które mogą powodować opóźnienie dostępu do danych w wyniku problemów z uwierzytelnianiem.

Tthe isi_auth_expert Polecenie uruchamia serię testów, w tym łączność z siecią i portami oraz opóźnienie, powiązanie i pochylenie zegara. Wyniki te można wykorzystać do wyizolowania problematycznej konfiguracji lub ścieżki sieciowej, która powoduje problemy z dostępem do danych.

To narzędzie może być przeznaczone dla użytkowników indywidualnych:
  • Gdy obecni lub nowi użytkownicy doświadczają opóźnień podczas nawiązywania połączenia z udziałem lub są monitowani o wprowadzenie poświadczeń logowania podczas uzyskiwania dostępu do danych
  • Gdy klaster zgłasza zdarzenia dotyczące stanu offline usługi Active Directory lub protokołu LDAP (Lightweight Directory Access Protocol)
  • Po zmodyfikowaniu konfiguracji dostawcy uwierzytelniania
  • Po tym, jak zmiany konfiguracji wpłynęły na ścieżki sieciowe między klastrem a jego dostawcami uwierzytelniania
Uwaga: Dodano nowe kontrole i parametry isi_auth_expert w OneFS 7.2.1.5. Aby uzyskać więcej informacji, zapoznaj się z sekcją Dodatkowe testy i parametry w OneFS 7.2.1.5 i nowszych wersji tego artykułu.


Instrukcje

Aby uruchomić isi_auth_expert wykonaj następujące polecenie: 
isi_auth_expert
Poszczególne osoby mogą również uruchomić to polecenie z jedną lub kilkoma opcjami wymienionymi w poniższej tabeli:
 
Opcja Objaśnienie
-h, --help Pokaż składnię tego polecenia
-h, --debug Wyświetlanie komunikatów debugowania
-v, --verbose Włączanie pełnych (bardziej niezawodnych) danych wyjściowych
--no-color Wyłącz kolorowe wyjście
Przykładowe dane wyjściowe: 
wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.


Wdrożone testy

Podczas biegania isi_auth_expert , wykonywane są następujące kontrole:


Kontrole procesów

Ten test potwierdza, że procesy związane z uwierzytelnianiem (lsass, lwio i netlogon) są uruchomione. Jeśli którykolwiek z procesów nie jest uruchomiony, zwracany jest błąd.


Active Directory

W poniższej sekcji opisano testy, które isi_auth_expert polecenie jest wykonywane dla każdego dostawcy usługi Active Directory (AD).

  • Sprawdzanie łączności
    kontrolera domeny Sprawdź, czy klaster ma podstawową łączność sieciową z co najmniej jednym kontrolerem domeny (DC) w domenie usługi AD.

Sprawdzanie portów
prądu stałegoSprawdź, czy dla każdego kontrolera domeny klaster może połączyć się z portami związanymi z usługą AD i czy porty akceptują połączenia.
 

Port Objaśnienie Użycie usługi AD Typ ruchu
88 Port 88 jest używany do obsługi ruchu związanego z uwierzytelnianiem Kerberos. Uwierzytelnianie użytkowników i komputerów, zaufanie na poziomie lasu Kerberos
139 Port 139 jest używany do obsługi ruchu NetBIOS i NetLogon. Uwierzytelnianie użytkownika i komputera, replikacja DFSN, usługa sesji NetBIOS, NetLogon Session Service, NetLogon
389 Port 389 jest używany do obsługi zapytań LDAP. Katalog, replikacja, uwierzytelnianie użytkownika i komputera, zasady grupy, relacje zaufania LDAP
445 Port 445 jest używany do replikacji. Replikacja, uwierzytelnianie użytkowników i komputerów, zasady grupy, relacje zaufania. SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
3268 Port 3268 jest używany do obsługi kwerend LDAP wykazu globalnego. (używane, jeśli wykaz globalny w dostawcy usługi AD jest włączony) Katalog, replikacja, uwierzytelnianie użytkownika i komputera, zasady grupy, relacje zaufania LDAP GC


LDAP

W poniższej sekcji opisano testy, które isi_auth_expert polecenie jest wykonywane dla każdego dostawcy LDAP.

Łączność LDAP

  • Sprawdź połączenie z serwerem LDAP, tworząc anonimowe powiązanie LDAP i sprawdzając wyniki.

Obsługa obiektów wyliczeniowych LDAP

  • Upewnij się, że każdy serwer LDAP obsługuje obiekty wyliczeniowe, sprawdzając obsługiwane elementy sterujące serwerów LDAP. OneFS wymaga albo stronicowanych kontrolek wyników, albo widoku listy wirtualnej, jak i kontrolek sortowania po stronie serwera.

Weryfikacja skonfigurowanej nazwy Base-DN

  • Wykonaj kwerendę testową względem skonfigurowanej podstawowej nazwy wyróżniającej, aby zapewnić zgodność konfiguracji z serwerem LDAP.

Weryfikacja skonfigurowanej nazwy wyróżniającej użytkownika base-dn

  • Wykonaj kwerendę testową względem skonfigurowanej nazwy wyróżniającej bazy_użytkownika, aby zapewnić zgodność konfiguracji z serwerem LDAP.

Weryfikowanie skonfigurowanej group-base-dn

  • Wykonaj zapytanie testowe względem skonfigurowanej nazwy wyróżniającej bazy danych, aby zapewnić zgodność konfiguracji z serwerem LDAP.


Inne kontrole i parametry w OneFS w wersji 7.2.1.5 i nowszych

W OneFS 7.2.1.5 dodano następujące testy.

  • Active Directory

    • Sprawdzanie opóźnienia kontrolera domeny
    • Sprawdzanie przekrzywienia zegara i opóźnień
    • Usługa wykazu globalnego dla użytkownika (SFU)
  • LDAP – kontrola użytkownika
  • Kerberos — sprawdzanie głównej nazwy usługi (SPN) stref i aliasów SmartConnect
Polecenie isi_auth_expert może obliczyć dwa typy opóźnień: Opóźnienie ping i opóźnienie LDAP dla wszystkich kontrolerów domeny. Jeśli pochylenie zegara jest krótsze niż pięć minut, polecenie zwróci: "Niesymetryczność między dostawcą usługi AD a komputerem jest minimalna lub nie ma jej wcale".

Dodano również następujące parametry.
 
Opcja     Objaśnienie
--ldap-user Sprawdza dostawcę LDAP dla określonego użytkownika
--sfu-user Sprawdza wykaz globalny usługi Active Directory dla określonego użytkownika
--admin-creds Podaj poświadczenia wymagane podczas sprawdzania wykazu globalnego usługi Active Directory.


Sprawdzanie atrybutów użytkownika LDAP

Aby uruchomić sprawdzanie atrybutów użytkownika LDAP, należy uruchomić isi_auth_expert polecenie za pomocą polecenia --ldap-user=<user> Parametr, gdzie <użytkownik> jest użytkownikiem, który chcesz sprawdzić. Nazwa użytkownika musi mieć postać "plain name", aby wyszukiwanie działało. Funkcja sprawdzania atrybutów użytkownika LDAP łączy się z serwerem LDAP i wysyła zapytanie do określonego użytkownika. Możemy wtedy sprawdzić wyniki zapytania, aby upewnić się, że użytkownik posiada wszystkie niezbędne atrybuty niezbędne do uwierzytelnienia w dowolnej domenie.


Sprawdzanie SFU wykazu globalnego usługi Active Directory

Serwer wykazu globalnego to kontroler domeny, który zawiera informacje o domenie, z którą jest skojarzony, oraz o wszystkich innych domenach w lesie. Podobnie jak serwer LDAP, wykaz globalny zawiera listę danych skojarzonych z domeną, którą kontroluje, a także częściową kopię danych uzyskanych z innych kontrolerów domeny. Jeśli nie zawiera wszystkich danych współużytkowanych przez kontrolery domeny, mogą wystąpić problemy z uwierzytelnianiem.

Aby uruchomić sprawdzanie SFU wykazu globalnego usługi Active Directory, należy uruchomić isi_auth_expert polecenie za pomocą polecenia --sfu-user=<user> i --admin-creds="[('<Domain>', '<User>', '<password>')]" parametry, w których <użytkownik> jest użytkownikiem SFU, który chcesz sprawdzić, a "[('<Domena', '<Użytkownik>>', '<hasło>')]" to poświadczenia isi_auth_expert Aby przeprowadzić wyszukiwanie wykazu globalnego w kontrolerze domeny, należy podać polecenie. Podczas sprawdzania wykazu globalnego mamy następujące ograniczenie: Należy podać poświadczenia administratora.


Sprawdzanie głównej nazwy serwera (SPN)

Nazwy SPN mogą powodować błędy uwierzytelniania, jeśli nie są obecne podczas dołączania do dostawcy Kerberos lub jeśli zmienisz nazwę strefy SmartConnect. Polecenie isi_auth_expert określa, czy brakuje nazw SPN, są one nieaktualne lub nieprawidłowe. Ta funkcja uruchamia się automatycznie za każdym razem, gdy isi_auth_expert Polecenie jest uruchamiane.

Ta funkcja służy do sprawdzania brakujących nazw SPN u obu dostawców protokołu Kerberos, a także w strefach SmartConnect. Polecenie zbiera wszystkie nazwy SPN skojarzone z dostawcami i strefami SmartConnect oraz zapewnia obecność wymaganych nazw SPN.

Jeśli używasz aliasów SmartConnect, sprawdzane są również te aliasy. Możesz użyć przycisku isi auth ads spn lub isi auth krb5 spn polecenia do wyświetlania, sprawdzania lub naprawiania zgłoszonych brakujących nazw SPN.

Article Properties

Affected Product

Isilon, PowerScale OneFS

Last Published Date

29 Apr 2024

Version

7

Article Type

Solution

Back to Top