PowerScale:OneFS:NFS HTTP HDFS 的 AD 服务器缺少所需 SPN 警报
概要: 管理员有时可能会看到警报,指示缺少 NFS、HTTP 或 HDFS 服务的服务主体名称。
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
在某些情况下,可能会生成缺少 SPN 的警报。SPN 检查通常在群集上发生以下事件后执行:
- 群集或节点已重新启动
- CELOG 进程和/或服务已重置
- 通过 CELOG 监视器进行定期 CELOG 检查
- 添加新的 AD 提供程序
- 网络配置更改(如果池配置了 SmartConnect 分区名称和别名)
AD server missing needed SPN(s) HOST/sczone.domain.com, HOST/sczone, nfs/sczone.domain.com, nfs/sczone, hdfs/sczone.domain.com, hdfs/sczone; try 'isi auth ads spn check'
原因
CELOG 警报系统会定期对每个 AD 提供程序运行检查,以验证 SPN 是否已正确注册,并且可能会报告 SPN“缺失”。在启动节点时,也会在启动时发生这种情况。
CELOG 检查使用的逻辑如下:
CELOG 检查使用的逻辑如下:
- 对于每个 AD 提供程序,根据配置的 SmartConnect 分区名称和别名检查现有的已注册 SPN。如果配置了 SmartConnect 分区名称的池已修改(例如,包括新别名),则针对 AD 提供程序的 SPN 检查将检查更新的信息。
- 在较早版本的 OneFS 中,如果 配置的任何 NFS 导出具有“krb5”安全方式,则会假定每个 SC 分区/别名都需要 NFS SPN。自 8.0.0.5/8.0.1.2/8.1.0.1 及更高版本起,默认情况下假定缺少 NFS(如果尚未注册)。已删除 NFS 导出安全风格检查。
- 如果 HDFS 已获得许可,OneFS 会假定每个 SC 分区/别名都需要 HDFS SPN。即使未在群集 上启用服务 本身,也是如此。
- 无论群集配置如何,HTTP SPN 检查都会自动完成,因为该服务在默认情况下处于启用状态。HTTP SPN 检查没有特殊条件。
提醒:CELOG 和
isi auth ads spn check 彼此相互排斥,并使用不同的函数或逻辑来确定缺少的 SPN。例如, isi auth ads spn check 命令不检查基于 NFS、HTTP 或 HDFS 的 SPN。假定缺少没有相应 SPN 的 SC 分区 。
解決方法
警报本身本质上是建议性的,适用于一个或多个 AD 域。从 OneFS 的角度来看,SPN 不是必需的,但默认情况下注册的群集名称本身除外。不应删除此类默认 SPN。为了让客户端通过 SMB、NFS 或 HDFS 使用 Kerberos 身份验证连接到群集,需要它们。带有 SMB 的 Kerberos 包含在 HOST SPN 下,因为 CIFS 在 HOST SPN 范围内。
有关如何从群集管理 SPN 的说明,请参阅 PowerScale OneFS 信息中心 上适用于您的 OneFS 版本的管理指南。
否则,如果认为 SPN 不必要,则可以忽略该警报,或者可以注册它们以防止将来出现警报。
有关如何从群集管理 SPN 的说明,请参阅 PowerScale OneFS 信息中心 上适用于您的 OneFS 版本的管理指南。
否则,如果认为 SPN 不必要,则可以忽略该警报,或者可以注册它们以防止将来出现警报。
対象製品
PowerScale OneFS製品
PowerScale OneFS文書のプロパティ
文書番号: 000167340
文書の種類: Solution
最終更新: 24 5月 2024
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。