Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000126268

Isilon: Använda kommandot PowerScale OneFS isi_auth_expert för att hantera autentiseringsproblem

Summary: I den här artikeln beskrivs hur du använder kommandot Isilon OneFS isi_auth_expert för att hantera autentisering.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Krävs inte

Cause

Krävs inte

Resolution

Introduktion

Administratörer kan köra isi_auth_expert för att undersöka autentiseringsmiljön för ett PowerScale OneFS-kluster. Detta kan hjälpa till att säkerställa att den är korrekt konfigurerad och för att identifiera villkor som kan orsaka fördröjning av dataåtkomst till följd av autentiseringsproblem.

Metoden isi_auth_expert Kommandot kör en serie tester, inklusive nätverks- och portanslutning och latens, bindning och klockskevhet. Dessa resultat kan användas för att isolera en problematisk konfiguration eller nätverkssökväg som orsakar problem med dataåtkomst.

Enskilda personer kanske vill köra det här verktyget:
  • När befintliga eller nya användare upplever svarstider när de ansluter till en resurs, eller uppmanas att ange inloggningsuppgifter vid åtkomst till data
  • När klustret rapporterar händelser gällande offlinestatus för Active Directory eller LDAP (Lightweight Directory Access Protocol)
  • När du har ändrat konfigurationen för autentiseringsprovidern
  • När konfigurationsändringar har påverkat nätverkssökvägarna mellan ett kluster och dess autentiseringsproviders
Obs! Nya kontroller och parametrar har lagts till i isi_auth_expert OneFS 7.2.1.5. Mer information finns i avsnittet Ytterligare kontroller och parametrar i OneFS 7.2.1.5 och senare i den här artikeln.


Anvisningar

Så här kör du isi_auth_expert gör du följande: 
isi_auth_expert
Enskilda användare kan också köra kommandot med ett eller flera av de alternativ som anges i tabellen nedan:
 
Alternativ Förklaring
-h, --help Visa syntaxen för det här kommandot
-h, --debug Visa felsökningsmeddelanden
-v, --verbose Aktivera utförliga (mer robusta) utdata
--no-color Inaktivera färgad utmatning
Exempel på utdata: 
wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.


Implementerade tester

När du springer isi_auth_expert utförs följande kontroller:


Kontroller av processer

Det här testet bekräftar att de autentiseringsrelaterade processerna (lsass, lwio och netlogon) körs. Om någon av processerna inte körs returneras ett fel.


Active Directory

I följande avsnitt beskrivs de tester som isi_auth_expert för varje Active Directory-provider (AD).

  • Kontrollera anslutningen till
    domänkontrollanten Ta reda på om klustret har grundläggande nätverksanslutning till minst en domänkontrollant (DC) i AD-domänen.

Kontrollera DC-portarna
Kontrollera att klustret kan ansluta till de AD-relaterade portarna för varje domänkontrollant och att portarna accepterar anslutningar.
 

Port Förklaring AD-användning Trafiktyp
88 Port 88 används för Kerberos-autentiseringstrafik. Autentisering av användare och dator, förtroenden på skogsnivå Kerberos
139 Port 139 används för NetBIOS- och NetLogon-trafik. Användar- och datorautentisering, replikering DFSN, NetBIOS-sessionstjänst, NetLogon
389 Port 389 används för LDAP-frågor. Katalog, replikering, användar- och datorautentisering, grupprincip, förtroenden LDAP
445 Port 445 används för replikering. Replikering, användar- och datorautentisering, grupprincip, förtroenden. SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
3268 Port 3268 används för globala katalog-LDAP-frågor. (används om den globala katalogen i AD-leverantören är aktiverad) Katalog, replikering, användar- och datorautentisering, grupprincip, förtroenden LDAP GC


LDAP

I följande avsnitt beskrivs de tester som isi_auth_expert för varje LDAP-provider.

LDAP-anslutning

  • Kontrollera LDAP-serveranslutningen genom att göra en anonym LDAP-bindning och kontrollera resultaten.

Stöd för LDAP-uppräknade objekt

  • Kontrollera att varje LDAP-server har stöd för uppräknade objekt genom att kontrollera de kontroller som stöds av LDAP-servrarna. OneFS kräver antingen kontrollerna för växlingsresultat eller både den virtuella listvyn och sorteringskontrollerna på serversidan.

Validera konfigurerad base-dn

  • Utför en testfråga mot det konfigurerade base-dn för att säkerställa konfigurationskompatibilitet med LDAP-servern.

Validera konfigurerad user-base-dn

  • Utför en testfråga mot det konfigurerade user-base-dn för att säkerställa konfigurationskompatibilitet med LDAP-servern.

Verifiera konfigurerad group-base-dn

  • Utför en testfråga mot den konfigurerade group-base-dn för att säkerställa konfigurationskompatibilitet med LDAP-servern.


Andra kontroller och parametrar i OneFS 7.2.1.5 och senare

Följande kontroller har lagts till i OneFS 7.2.1.5.

  • Active Directory

    • Kontroll av svarstid för domänkontrollant
    • Kontroll av klockförskjutning och latens
    • Global katalogtjänst för användarkontroll (SFU)
  • LDAP – Användarkontroll
  • Kerberos – SPN (Service Principal Name) söker efter SmartConnect-zoner och alias
Informationen isi_auth_expert kan beräkna två typer av svarstider: Ping-latens och LDAP-svarstid för alla domänkontrollanter. Om klocksnedställningen är mindre än fem minuter returnerar kommandot: "Det finns minimal eller ingen skevhet mellan AD-leverantören och din maskin."

Följande parametrar har också lagts till.
 
Alternativ     Förklaring
--ldap-user Kontrollerar LDAP-providern för en angiven användare
--sfu-user Söker i den globala Active Directory-katalogen efter en angiven användare
--admin-creds Ange de autentiseringsuppgifter som krävs när du kontrollerar den globala Active Directory-katalogen.


Kontroll av LDAP-användarattribut

Om du vill köra kontrollen av LDAP-användarattribut måste du köra isi_auth_expert kommandot med --ldap-user=<user> parameter där <användaren> är den användare som du vill kontrollera. Användarnamnet måste vara av formen "vanligt namn" för att sökningen ska fungera. Kontrollen av LDAP-användarattribut ansluter till en LDAP-server och frågar den efter den angivna användaren. Vi kan sedan kontrollera resultatet av frågan för att säkerställa att användaren har alla nödvändiga attribut som krävs för autentisering i alla domäner.


SFU-kontroll för Global Active Directory-katalog

En global katalogserver är en domänkontrollant som innehåller information om den domän som den är associerad med och alla andra domäner i skogen. Precis som en LDAP-server har den globala katalogen en lista över data som är associerade med den domän som den kontrollerar, förutom en partiell kopia av de data som den får från andra domänkontrollanter. Om den inte har alla data som domänkontrollanterna delar kan det finnas autentiseringsproblem.

Om du vill köra SFU-kontrollen för Active Directory Global Catalog måste du köra isi_auth_expert kommandot med --sfu-user=<user> och --admin-creds="[('<Domain>', '<User>', '<password>')]" parametrar där <user> är den SFU-användare som du vill kontrollera och "[('<Domain>', '<User>', '<password>')]" är de referenser som isi_auth_expert måste tillhandahålla för att utföra sökningen i den globala katalogen på domänkontrollanten. Vi har följande begränsning vid kontroll av den globala katalogen: Du måste ange administratörsuppgifter.


Kontroll av serverns huvudnamn (SPN)

SPN:er kan orsaka autentiseringsfel om de inte finns när du ansluter till en Kerberos-provider eller om du ändrar namnet på en SmartConnect-zon. Informationen isi_auth_expert avgör om SPN saknas, är inaktuella eller felaktiga. Den här funktionen körs automatiskt när isi_auth_expert kommandot körs.

Den här funktionen används för att söka efter saknade SPN:er i båda Kerberos-providers och även i SmartConnect-zoner. Kommandot samlar in alla SPN:er som är associerade med providers och SmartConnect-zoner och ser till att de SPN:er som krävs finns.

Om du använder SmartConnect-alias kontrolleras även dessa alias. Du kan använda isi auth ads spn eller isi auth krb5 spn kommandon för att visa, kontrollera eller åtgärda rapporterade saknade SPN:er.

Article Properties

Affected Product

Isilon, PowerScale OneFS

Last Published Date

29 Apr 2024

Version

7

Article Type

Solution

Back to Top