PowerScale: OneFS: AD-server mangler nødvendig SPN-varsel for NFS HTTP HDFS
Riepilogo: Administratorer kan noen ganger observere varsler som angir at tjenestens hovednavn for NFS-, HTTP- eller HDFS-tjenestene mangler.
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
Under visse forhold kan det genereres et varsel for manglende SPN-er. SPN-kontroller utføres vanligvis etter at følgende hendelser på klyngen oppstår:
- Klynge eller node startet på nytt
- CELOG prosesser og eller tjenester tilbakestilles
- Periodiske CELOG-kontroller gjennom CELOG-skjermen
- Tilføyelse av en ny AD-leverandør
- Endring av nettverkskonfigurasjon (hvis utvalget er konfigurert med SmartConnect-sonenavn og aliaser)
AD server missing needed SPN(s) HOST/sczone.domain.com, HOST/sczone, nfs/sczone.domain.com, nfs/sczone, hdfs/sczone.domain.com, hdfs/sczone; try 'isi auth ads spn check'
Causa
CLOG-varslingssystemet kjører med jevne mellomrom en kontroll mot hver AD-leverandør for å verifisere at SPN-er er riktig registrert, og kan rapportere at SPN-er "mangler". Dette skjer også ved oppstart ved oppstart av noder.
Logikken som brukes av CELOG sjekken er som følger:
Logikken som brukes av CELOG sjekken er som følger:
- For hver AD-leverandør kontrollerer du eksisterende registrerte SPN-er mot konfigurerte SmartConnect-sonenavn og aliaser. Hvis utvalget med et konfigurert SmartConnect-sonenavn ble endret (for eksempel inkludert et nytt alias), kontrolleres en SPN-kontroll mot AD-leverandøren mot den oppdaterte informasjonen.
- Hvis en NFS-eksport ble konfigurert i tidligere versjoner av OneFS har sikkerhetssmaken "krb5", vil man anta at NFS SPN-er er nødvendig for hver SC-sone/alias. Fra og med 8.0.0.5/8.0.1.2/8.1.0.1 og senere antas NFS å mangle som standard (hvis det ikke allerede er registrert). NFS-eksportsikkerheten ble fjernet.
- Hvis HDFS er lisensiert, antar OneFS at HDFS SPN-er er nødvendige for hver SC-sone/alias. Dette gjelder selv om selve tjenesten ikke er aktivert på klyngen.
- HTTP SPN-kontroller utføres automatisk uavhengig av klyngekonfigurasjon da tjenesten er aktivert som standard. Det er ingen spesielle betingelser for en HTTP SPN-sjekk.
Merk: CELOG og
isi auth ads spn check utelukker hverandre og bruker forskjellige funksjoner eller logikk for å bestemme manglende SPN-er. Eksempel: isi auth ads spn check -kommandoen har ingen kontroller for NFS-, HTTP- eller HDFS-baserte SPN-er. SC-soner uten tilsvarende SPN antas å mangle.
Risoluzione
Selve varselet er veiledende og gjelder for ett eller flere AD-domener. SPN-er kreves ikke nødvendigvis fra et OneFS-perspektiv, bortsett fra selve klyngenavnet, som er registrert som standard. Slike standard-SPN-er skal aldri fjernes. De kreves i stedet for at klienter skal kunne koble til klyngen ved hjelp av Kerberos-godkjenning via SMB, NFS eller HDFS. Kerberos med SMB dekkes under HOST SPN, siden CIFS er under paraplyen HOST SPN-omfanget.
Se administrasjonsveiledningene for OneFS-versjonen din på PowerScale OneFS Info Hubs for instruksjoner om hvordan du administrerer SPN-er fra klyngen.
Ellers kan varselet ignoreres hvis SPN-ene anses som unødvendige, eller de kan registreres for å forhindre varselet i fremtiden.
Se administrasjonsveiledningene for OneFS-versjonen din på PowerScale OneFS Info Hubs for instruksjoner om hvordan du administrerer SPN-er fra klyngen.
Ellers kan varselet ignoreres hvis SPN-ene anses som unødvendige, eller de kan registreres for å forhindre varselet i fremtiden.
Prodotti interessati
PowerScale OneFSProdotti
PowerScale OneFSProprietà dell'articolo
Numero articolo: 000167340
Tipo di articolo: Solution
Ultima modifica: 24 mag 2024
Versione: 5
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.