Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Isilon: Brug af PowerScale OneFS isi_auth_expert-kommandoen til at administrere godkendelsesproblemer

Summary: Denne artikel beskriver, hvordan du bruger kommandoen Isilon OneFS isi_auth_expert til at administrere godkendelse.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Ikke påkrævet

Cause

Ikke påkrævet

Resolution

Indledning

Administratorer kan køre isi_auth_expert -kommando til at undersøge en PowerScale OneFS-klynges godkendelsesmiljø. Dette kan hjælpe med at sikre, at den er konfigureret korrekt, og identificere forhold, der kan forårsage ventetid for dataadgang som følge af godkendelsesproblemer.

Den isi_auth_expert Kommandoen kører en række tests, herunder netværks- og portforbindelse samt ventetid, binding og skævvredet ur. Disse resultater kan bruges til at isolere en problematisk konfiguration eller netværkssti, der forårsager problemer med dataadgang.

Enkeltpersoner ønsker måske at køre dette værktøj:
  • Når eksisterende eller nye brugere oplever ventetid, mens de opretter forbindelse til en deling, eller bliver bedt om at indtaste loginoplysninger, når de får adgang til data
  • Når klyngen rapporterer hændelser vedrørende Active Directory- eller LDAP-status (Lightweight Directory Access Protocol) offline
  • Efter ændring af opsætningen af godkendelsesudbyderen
  • Efter konfigurationsændringer har påvirket netværksstier mellem en klynge og dens godkendelsesudbydere
Bemærk: Nye kontroller og parametre blev tilføjet til isi_auth_expert kommando i OneFS 7.2.1.5. Se afsnittet Yderligere kontroller og parametre i OneFS 7.2.1.5 og nyere i denne artikel for at få flere oplysninger.


Instruktioner

For at køre isi_auth_expert kommando, skal du gøre følgende:
isi_auth_expert
Enkeltpersoner kan også køre kommandoen med en eller flere af de indstillinger, der er angivet i tabellen nedenfor:
 
MULIGHEDER Forklaring
-h, --help Få vist syntaksen for denne kommando
-h, --debug Vis fejlfindingsmeddelelser
-v, --verbose Aktivér detaljeret (mere robust) output
--no-color Deaktiver farvet output
Eksempel på output:
wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.


Implementerede tests

Når du løber isi_auth_expert kommando, udføres følgende kontroller:


Proces kontrol

Denne test bekræfter, at de godkendelsesrelaterede processer (lsass, lwio og netlogon) kører. Hvis nogen af processerne ikke kører, returneres en fejl.


Active Directory

I følgende afsnit beskrives de test, som isi_auth_expert kommando udføres for hver Active Directory-udbyder (AD).

  • Kontrollér forbindelsen til domænecontrolleren
    Find ud af, om klyngen har grundlæggende netværksforbindelse til mindst én domænecontroller (DC) i AD-domænet.

Kontrollér DC-portene
Kontrollér, at klyngen for hver DC kan oprette forbindelse til de AD-relaterede porte, og at portene accepterer forbindelser.
 

Port Forklaring Brug af AD Trafiktype
88 Port 88 bruges til Kerberos-godkendelsestrafik. Bruger- og computergodkendelse, tillid på skovniveau Kerberos
139 Port 139 bruges til NetBIOS- og Netlogon-trafik. Bruger- og computergodkendelse, replikering DFSN, NetBIOS-sessionstjeneste, NetLogon
389 Port 389 bruges til LDAP-forespørgsler. Mappe, replikering, bruger- og computergodkendelse, gruppepolitik, tillid LDAP
445 Port 445 bruges til replikering. Replikering, bruger- og computergodkendelse, gruppepolitik, tillid. SMV, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
3268 Port 3268 bruges til LDAP-forespørgsler i det globale katalog. (bruges, hvis det globale katalog i AD-udbyderen er aktiveret) Mappe, replikering, bruger- og computergodkendelse, gruppepolitik, tillid LDAP GC


LDAP

I følgende afsnit beskrives de test, som isi_auth_expert Kommandoen udføres for hver LDAP-udbyder.

LDAP-tilslutning

  • Kontroller LDAP-serverforbindelsen ved at oprette en anonym LDAP-binding og kontrollere resultaterne.

Understøttelse af LDAP-opregnede objekter

  • Bekræft, at hver LDAP-server understøtter optalte objekter, ved at kontrollere LDAP-servernes understøttede betjeningsmuligheder. OneFS kræver enten kontrolelementerne Sideinddelte resultater eller både den virtuelle listevisning og kontrolelementerne til sortering på serversiden.

Valider konfigureret base-dn

  • Udfør en testforespørgsel mod det konfigurerede base-dn for at sikre konfigurationskompatibilitet med LDAP-serveren.

Valider konfigureret user-base-dn

  • Udfør en testforespørgsel mod den konfigurerede user-base-dn for at sikre konfigurationskompatibilitet med LDAP-serveren.

Valider konfigureret group-base-dn

  • Udfør en testforespørgsel mod den konfigurerede group-base-dn for at sikre konfigurationskompatibilitet med LDAP-serveren.


Andre kontroller og parametre i OneFS 7.2.1.5 og nyere

Følgende kontroller blev tilføjet i OneFS 7.2.1.5.

  • Active Directory

    • Kontrol af ventetid for domænecontroller
    • Clock Skævvridning og ventetidskontrol
    • Kontrol af global katalogtjeneste for bruger (SFU)
  • LDAP – Brugerkontrol
  • Kerberos – SPN (Service Principal Name) kontrollerer SmartConnect-zoner og -aliasser
Ikonet isi_auth_expert Kommandoen kan beregne to typer ventetider: Ping-ventetid og LDAP-ventetid for alle domænecontrollere. Hvis urets skævvridning er mindre end fem minutter, returnerer kommandoen: "Der er minimal eller ingen skævhed mellem AD-udbyderen og din maskine."

Følgende parametre blev også tilføjet.
 
MULIGHEDER     Forklaring
--ldap-user Kontrollerer LDAP-udbyderen for en bestemt bruger
--sfu-user Kontrollerer Active Directory Global Catalog for en angivet bruger
--admin-creds Angiv de legitimationsoplysninger, der kræves, når du kontrollerer Active Directory Global Catalog.


LDAP-brugerattributkontrol

Hvis du vil køre LDAP-brugerattributkontrollen, skal du køre isi_auth_expert Kommandér med --ldap-user=<user> parameter, hvor <brugeren> er den bruger, du vil kontrollere. Brugernavnet skal have formen "almindeligt navn", for at søgningen kan fungere. LDAP-brugerattributkontrollen opretter forbindelse til en LDAP-server og forespørger den for den angivne bruger. Vi kan derefter kontrollere resultaterne af forespørgslen for at sikre, at brugeren har alle nødvendige attributter, der er nødvendige for godkendelse i ethvert domæne.


Kontrol af SFU for Active Directory Global Catalog

En global katalogserver er en domænecontroller, der har oplysninger om det domæne, den er tilknyttet, og alle de andre domæner i skoven. Ligesom en LDAP-server har det globale katalog en liste over data, der er knyttet til det domæne, det kontrollerer, ud over en delvis kopi af de data, det får fra andre domænecontrollere. Hvis den ikke har alle de data, som domænecontrollerne deler, kan der være godkendelsesproblemer.

Hvis du vil køre SFU-kontrollen for Active Directory-globale kataloger, skal du køre isi_auth_expert Kommandér med --sfu-user=<user> og --admin-creds="[('<Domain>', '<User>', '<password>')]" parametre, hvor <brugeren> er den SFU-bruger, du vil kontrollere, og "[('<Domæne>', '<Bruger>', '<adgangskode>')]" er legitimationsoplysningerne isi_auth_expert skal levere for at udføre det globale katalogopslag i domænecontrolleren. Vi har følgende begrænsning, når vi kontrollerer det globale katalog: Du skal angive administratoroplysninger.


Kontrol af serverens hovednavn (SPN)

SPN'er kan forårsage godkendelsesfejl, hvis de ikke findes, når du tilmelder dig en Kerberos-udbyder, eller hvis du ændrer navnet på en SmartConnect-zone. Ikonet isi_auth_expert Kommandoen bestemmer, om SPN'er mangler, er forældede eller forkerte. Denne funktion kører automatisk, når isi_auth_expert Kommandoen køres.

Denne funktion bruges til at kontrollere, om der mangler SPN er både hos Kerberos-udbydere og i SmartConnect-zoner. Kommandoen indsamler alle de SPN'er, der er knyttet til udbyderne og SmartConnect-zonerne, og sikrer, at de nødvendige SPN'er er til stede.

Hvis du bruger SmartConnect-aliasser, kontrolleres disse aliasser også. Du kan bruge ikonet isi auth ads spn eller isi auth krb5 spn kommandoer til at vise, kontrollere eller rette rapporterede manglende SPN'er.

Affected Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000126268
Article Type: Solution
Last Modified: 29 Apr 2024
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.