isi_auth_expert
Příkaz k prozkoumání ověřovacího prostředí clusteru PowerScale OneFS. To může pomoct zajistit správnou konfiguraci a identifikovat podmínky, které by mohly způsobovat latenci přístupu k datům v důsledku problémů s ověřováním.
isi_auth_expert
Příkaz spustí řadu testů, včetně připojení k síti a portům a latence, vazby a nerovnoměrné distribuce hodin. Tyto výsledky lze použít k izolaci problematické konfigurace nebo síťové cesty, která způsobuje problémy s přístupem k datům.
isi_auth_expert
v systému OneFS 7.2.1.5. Další informace naleznete v části Další kontroly a parametry v systému OneFS 7.2.1.5 a novějších v tomto článku.
isi_auth_expert
proveďte následující kroky:
isi_auth_expertJednotlivci mohou příkaz spustit také s jednou nebo více možnostmi uvedenými v následující tabulce:
Možnost | Vysvětlení |
-h, --help |
Zobrazí syntaxi tohoto příkazu. |
-h, --debug |
Zobrazení zpráv o ladění |
-v, --verbose |
Povolit podrobnější (robustnější) výstup |
--no-color |
Zakázat barevný výstup |
wcvirt1-1# isi_auth_expert Checking authentication process health ... done Checking LDAP provider 'ldaptest' server connectivity ... done Checking LDAP provider 'ldaptest' base dn ... done Checking LDAP provider 'ldaptest' object enumeration support ... done Checking LDAP provider 'ldaptest' group base dn ... done Checking LDAP provider 'ldaptest' user base dn ... done [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider 'ldaptest' was not found on LDAP server ldaptest.west.isilon.com. Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1 .wmc-ada.west.isilon.com on port 3268.
Při běhu isi_auth_expert
provedou se následující posudky:
V následující části jsou popsány testy, které isi_auth_expert
Příkaz se provádí pro každého poskytovatele služby Active Directory (AD).
Kontrola připojení
řadiče domény Zjistěte, zda má cluster základní síťové připojení alespoň k jednomu řadiči domény (DC) v doméně AD.
Kontrola DC portů
Ověřte, že se cluster pro každý řadič domény může připojit k portům souvisejícím se službou AD a že porty přijímají připojení.
Port | Vysvětlení | Použití AD | Typ provozu |
---|---|---|---|
88 | Port 88 se používá pro přenosy ověřování Kerberos. | Ověřování uživatelů a počítačů, vztahy důvěryhodnosti na úrovni doménové struktury | Kerberos |
139 | Port 139 se používá pro přenosy NetBIOS a NetLogon. | Autentizace uživatelů a počítačů, replikace | DFSN, NetBIOS Session Service, NetLogon |
389 | Port 389 se používá pro dotazy LDAP. | Adresář, replikace, ověřování uživatelů a počítačů, zásady skupiny, vztahy důvěryhodnosti | LDAP |
445 | Port 445 se používá pro replikaci. | Replikace, ověřování uživatelů a počítačů, zásady skupiny, vztahy důvěryhodnosti. | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
3268 | Port 3268 se používá pro dotazy LDAP globálního katalogu. (používá se, pokud je povolený globální katalog u poskytovatele AD) | Adresář, replikace, ověřování uživatelů a počítačů, zásady skupiny, vztahy důvěryhodnosti | LDAP GC |
isi_auth_expert
pro každého zprostředkovatele LDAP.
Konektivita LDAP
Podpora objektů ve výčtu LDAP
Ověření nakonfigurovaného base-dn
Ověření nakonfigurovaného user-base-dn
Ověření nakonfigurovaného group-base-dn
Do systému OneFS 7.2.1.5 byly přidány následující kontroly.
Active Directory
isi_auth_expert
příkaz může vypočítat dva typy latencí: Latence příkazu ping a latence protokolu LDAP pro všechny řadiče domény. Pokud je nerovnoměrná distribuce hodin menší než pět minut, příkaz vrátí: "Mezi poskytovatelem služby AD a vaším počítačem
Možnost | Vysvětlení |
---|---|
--ldap-user |
Zkontroluje poskytovatele LDAP pro zadaného uživatele. |
--sfu-user |
Kontrola globálního katalogu služby Active Directory pro zadaného uživatele |
--admin-creds |
Zadejte pověření, která jsou vyžadována při kontrole globálního katalogu služby Active Directory. |
isi_auth_expert
pomocí příkazu --ldap-user=<user>
parametr, kde <uživatel> je uživatel, kterého chcete zkontrolovat. Uživatelské jméno musí být ve tvaru "prosté jméno", aby vyhledávání fungovalo. Kontrola atributů uživatele LDAP se připojí k serveru LDAP a dotáže se na určeného uživatele. Výsledky dotazu pak můžeme zkontrolovat, abychom se ujistili, že uživatel má všechny potřebné atributy potřebné pro autentizaci v jakékoli doméně.
isi_auth_expert
pomocí příkazu --sfu-user=<user>
a --admin-creds="[('<Domain>', '<User>', '<password>')]"
parametry, kde <uživatel> je uživatel SFU, kterého chcete zkontrolovat, a "[('<Doména>', '<Uživatel>', '<heslo>')]" jsou přihlašovací údaje, které isi_auth_expert
Příkaz musí zadat, aby bylo možné provést vyhledávání globálního katalogu v řadiči domény. Při kontrole globálního katalogu platí následující omezení: Je nutné zadat přihlašovací údaje správce.
isi_auth_expert
určuje, zda názvy SPN chybí, jsou zastaralé nebo nesprávné. Tato funkce se spustí automaticky vždy, když isi_auth_expert
příkaz se spustí.
isi auth ads spn
nebo isi auth krb5 spn
příkazy k výpisu, kontrole nebo opravě nahlášených chybějících názvů SPN.