PowerScale: OneFS: Avviso di server AD con SPN necessari mancanti per NFS, HTTP, HDFS

概要: Talvolta gli amministratori possono osservare avvisi che indicano che mancano i nomi dell'entità servizio per i servizi NFS, HTTP o HDFS.

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

In determinate condizioni, potrebbe essere generato un avviso per SPN mancanti. I controlli SPN vengono in genere eseguiti dopo che si verificano i seguenti eventi nel cluster:
  • Cluster o nodo riavviato
  • Vengono reimpostati i processi e/o i servizi CELOG
  • Controlli CELOG periodici tramite il monitor CELOG
  • Aggiunta di un nuovo provider AD
  • Modifica della configurazione di rete (se il pool è configurato con nomi e alias delle zone SmartConnect)
Un cluster PowerScale OneFS segnala il seguente avviso: 
AD server missing needed SPN(s) HOST/sczone.domain.com, HOST/sczone, nfs/sczone.domain.com, nfs/sczone, hdfs/sczone.domain.com, hdfs/sczone; try 'isi auth ads spn check'

原因

Il sistema di avvisi CELOG esegue periodicamente un controllo su ogni provider AD per verificare che gli SPN siano registrati correttamente e potrebbe segnalare che gli SPN sono "mancanti". Ciò si verifica anche all'avvio, durante l'avvio dei nodi.

La logica utilizzata dal controllo CELOG è la seguente:
  1. Per ogni provider AD, controllare gli SPN registrati esistenti a fronte dei nomi e degli alias delle zone SmartConnect configurati. Se il pool con un nome di zona SmartConnect configurato è stato modificato (ad esempio, includendo un nuovo alias), un controllo SPN rispetto al provider AD verificherà le informazioni aggiornate.
  2. Nelle versioni precedenti di OneFS, se è stata configurata un'esportazione NFS con una caratteristica di sicurezza "krb5", si presume che gli SPN NFS siano necessari per ogni alias/zona SC. A partire dalla versione 8.0.0.5/8.0.1.2/8.1.0.1 e successive, NFS viene considerato come mancante per impostazione predefinita (se non è già registrato). I controlli di sicurezza delle esportazioni NFS sono stati rimossi.
  3. Se HDFS è concesso in licenza, OneFS presuppone che siano necessari SPN HDFS per ogni alias/zona SC. Ciò vale anche se il servizio stesso non è abilitato nel cluster.
  4. I controlli SPN HTTP vengono eseguiti automaticamente indipendentemente dalla configurazione del cluster, in quanto il servizio è abilitato per impostazione predefinita. Non esistono condizioni speciali per un controllo SPN HTTP.
L'avviso è più frequente quando i processi vengono caricati e/o ricaricati, quando il cluster viene riavviato e quando viene creato un provider AD nel cluster.
 
Nota: CELOG e isi auth ads spn check si escludono a vicenda e utilizzano funzioni o logiche diverse per determinare gli SPN mancanti. Ad esempio, la proprietà isi auth ads spn check non prevede alcun controllo per gli SPN basati su NFS, HTTP o HDFS. Si presume che le zone SC senza SPN corrispondente siano mancanti.

解決方法

L'avviso stesso è di natura consultiva e si applica a uno o più domini AD. Gli SPN non sono necessariamente necessari dal punto di vista di OneFS, ad eccezione del nome del cluster stesso, che è registrato per impostazione predefinita. Gli SPN predefiniti, come questi, non devono mai essere rimossi. Piuttosto, sono necessari per consentire ai client di connettersi al cluster utilizzando l'autenticazione Kerberos tramite SMB, NFS o HDFS. Kerberos con SMB è coperto dall'ambito dello SPN HOST mentre CIFS rientra nell'ambito dello SPN HOST.

Per istruzioni su come gestire gli SPN dal cluster, consultare le guide all'amministrazione per la versione di OneFS in uso in PowerScale OneFS Info Hubs .

In caso contrario, l'avviso può essere ignorato se gli SPN sono ritenuti non necessari oppure possono essere registrati per evitare l'avviso in futuro.

対象製品

PowerScale OneFS

製品

PowerScale OneFS
文書のプロパティ
文書番号: 000167340
文書の種類: Solution
最終更新: 24 5月 2024
バージョン:  5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。