PowerScale : OneFS : Alerte de SPN nécessaires manquants du serveur AD pour NFS HTTP HDFS

Dans certaines conditions, une alerte de SPN manquants peut être générée. Les vérifications SPN sont généralement exécutées après que les événements suivants se produisent sur le cluster :

• Redémarrage du cluster ou du nœud
• Les processus et/ou services CELOG sont réinitialisés
• Vérifications CELOG périodiques via le moniteur CELOG
• Ajout d’un nouveau fournisseur AD
• Modification de la configuration réseau (si le pool est configuré avec des noms de zone et des alias SmartConnect)

Un cluster PowerScale OneFS signale l’alerte suivante :

1. Pour chaque fournisseur AD, comparez les SPN enregistrés existants aux noms de zone SmartConnect et aux alias configurés. Si le pool avec un nom de zone SmartConnect configuré a été modifié (par exemple, avec un nouvel alias), une vérification du SPN par rapport au fournisseur AD vérifie les informations mises à jour.
2. Dans les versions antérieures de OneFS, si une exportation NFS a été configurée avec une sécurité de type « krb5 », elle suppose que des SPN NFS sont nécessaires pour chaque zone/alias SC. À partir des versions 8.0.0.5/8.0.1.2/8.1.0.1 et ultérieures, NFS est considéré comme manquant par défaut (s’il n’est pas déjà enregistré). Les vérifications de type de sécurité d’exportation NFS ont été supprimées.
3. Si HDFS est sous licence, OneFS suppose que les SPN HDFS sont nécessaires pour chaque zone/alias SC. Cela est vrai même si le service lui-même n’est pas activé sur le cluster.
4. Les vérifications SPN HTTP sont effectuées automatiquement, quelle que soit la configuration du cluster, car le service est activé par défaut. Il n’existe pas de conditions particulières pour une vérification du SPN HTTP.

L’alerte est la plus courante lorsque les processus se chargent et/ou se rechargent, lorsque le cluster est redémarré et lorsqu’un fournisseur AD est créé sur le cluster.
 

L’alerte elle-même est de nature consultative et s’applique à un ou plusieurs domaines AD. Les SPN ne sont pas nécessairement obligatoires du point de vue de OneFS, à l’exception du nom du cluster lui-même, qui est enregistré par défaut. Les SPN par défaut tels que ceux-ci ne doivent jamais être supprimés. Ils sont requis pour que les clients puissent se connecter au cluster à l’aide de l’authentification Kerberos via SMB, NFS ou HDFS. Les instances Kerberos avec SMB sont couvertes par le SPN de l’HÔTE, car CIFS fait partie du périmètre du SPN de l’HÔTE.

Reportez-vous aux guides d’administration de votre version de OneFS sur les hubs d’informations PowerScale OneFS pour obtenir des instructions sur la gestion des SPN à partir du cluster.

Dans le cas contraire, l’alerte peut être ignorée si les SPN sont jugés inutiles, ou ils peuvent être enregistrés pour empêcher l’alerte à l’avenir.