PowerScale: OneFS: Alerta de SPN faltantes necesarios para NFS HTTP HDFS

En determinadas condiciones, se puede generar una alerta para los SPN faltantes. Por lo general, las comprobaciones del SPN se realizan después de que se producen los siguientes eventos en el clúster:

• El clúster o el nodo se reiniciaron
• Se restablecen los procesos o servicios de CELOG
• Comprobaciones periódicas de CELOG a través del monitor CELOG
• Adición de un nuevo proveedor de AD
• Cambio en la configuración de red (si el pool está configurado con alias y nombres de zona de SmartConnect)

Un clúster de PowerScale OneFS informa la siguiente alerta:

1. Para cada proveedor de AD, compruebe los SPN registrados existentes con los alias y nombres de zona SmartConnect configurados. Si se modificó el pool con un nombre de zona SmartConnect configurado (por ejemplo, se incluye un nuevo alias), una comprobación del SPN con respecto al proveedor de AD comprobaría la información actualizada.
2. En versiones anteriores de OneFS, si cualquier exportación de NFS configurada tiene una variante de seguridad "krb5", se supondría que se necesitan SPN de NFS para cada zona/alias de SC. A partir de 8.0.0.5/8.0.1.2/8.1.0.1 y versiones posteriores, se supone que NFS falta de manera predeterminada (si no está ya registrado). Se eliminaron las comprobaciones de seguridad de exportación NFS.
3. Si HDFS tiene licencia, OneFS supone que se necesitan SPN de HDFS para cada zona/alias de SC. Esto es cierto incluso si el servicio en sí no está habilitado en el clúster.
4. Las comprobaciones de SPN HTTP se realizan automáticamente, independientemente de la configuración del clúster, ya que el servicio está habilitado de manera predeterminada. No hay condiciones especiales para una comprobación del SPN HTTP.

La alerta es más frecuente cuando los procesos se cargan o se vuelven a cargar, cuando se reinicia el clúster y cuando se crea un proveedor de AD en el clúster.
 

La alerta en sí es de naturaleza consultiva y se aplica a uno o más dominios de AD. Los SPN no son necesariamente necesarios desde una perspectiva de OneFS, excepto el propio nombre del clúster, que está registrado de forma predeterminada. Los SPN predeterminados, como esos, nunca se deben quitar. En cambio, son necesarias para que los clientes se conecten al clúster mediante la autenticación Kerberos a través de SMB, NFS o HDFS. Kerberos con SMB están cubiertos por el SPN de HOST, ya que CIFS está bajo la gama del alcance del SPN de HOST.

Consulte las guías de administración de su versión de OneFS en los centros de información de PowerScale OneFS para obtener instrucciones sobre cómo administrar los SPN desde el clúster.

De lo contrario, la alerta se puede omitir si los SPN se consideran innecesarios o se pueden registrar para evitar la alerta en el futuro.