isi_auth_expert
コマンドを使用して、PowerScale OneFSクラスターの認証環境を調べます。これは、適切に構成されていることを確認し、認証の問題の結果としてデータ アクセスのレイテンシーを引き起こしている可能性のある条件を特定するのに役立ちます。
isi_auth_expert
コマンドは、ネットワークとポートの接続とレイテンシー、バインディング、クロック スキューなど、一連のテストを実行します。これらの結果を使用して、データ アクセスの問題の原因となっている問題のある構成またはネットワーク パスを分離できます。
isi_auth_expert
コマンドをOneFS 7.2.1.5に導入しました。詳細については、この記事の「OneFS 7.2.1.5以降の追加のチェックとパラメーター」セクションを参照してください。
isi_auth_expert
コマンドで、次の操作を行います。
isi_auth_expert個人は、以下の表にリストされている1つ以上のオプションを使用してコマンドを実行することもできます。
オプション | 説明 |
-h, --help |
このコマンドの構文を表示します |
-h, --debug |
デバッグ メッセージの表示 |
-v, --verbose |
冗長な(より堅牢な)出力を有効にする |
--no-color |
色付き出力を無効にする |
wcvirt1-1# isi_auth_expert Checking authentication process health ... done Checking LDAP provider 'ldaptest' server connectivity ... done Checking LDAP provider 'ldaptest' base dn ... done Checking LDAP provider 'ldaptest' object enumeration support ... done Checking LDAP provider 'ldaptest' group base dn ... done Checking LDAP provider 'ldaptest' user base dn ... done [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider 'ldaptest' was not found on LDAP server ldaptest.west.isilon.com. Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1 .wmc-ada.west.isilon.com on port 3268.
実行時 isi_auth_expert
コマンドを実行すると、次のチェックが実行されます。
次のセクションでは、 isi_auth_expert
コマンドは、各 Active Directory (AD) プロバイダーに対して実行されます。
ドメイン コントローラーの接続
性を確認します クラスターにADドメイン内の少なくとも1つのドメイン コントローラー(DC)への基本的なネットワーク接続があるかどうかを確認します。
DCポート
を確認しますすべてのDCについて、クラスターがAD関連のポートに接続できること、およびポートが接続を受け入れていることを確認します。
ポート | 説明 | ADの使用状況 | トラフィック タイプ |
---|---|---|---|
88 | ポート88は、Kerberos認証トラフィックに使用されます。 | ユーザーとコンピューターの認証、フォレスト レベルの信頼 | Kerberos |
139 | ポート139は、NetBIOSおよびNetLogonトラフィックに使用されます。 | ユーザーとコンピューターの認証、レプリケーション | DFSN, NetBIOS Session Service, NetLogon, NetBIOSセッション サービス |
389 | ポート389はLDAPクエリーに使用されます。 | ディレクトリ、レプリケーション、ユーザーとコンピューターの認証、グループ ポリシー、信頼関係 | LDAP |
445 | ポート445はレプリケーションに使用されます。 | レプリケーション、ユーザーとコンピューターの認証、グループ ポリシー、信頼関係。 | SMB、CIFS、SMB2、DFSN、LSARPC、NbtSS、NetLogonR、SamR、SrvSvc |
3268 | ポート3268は、グローバル カタログLDAPクエリーに使用されます。(ADプロバイダーのグローバル カタログが有効になっている場合に使用) | ディレクトリ、レプリケーション、ユーザーとコンピューターの認証、グループ ポリシー、信頼関係 | LDAPのGC |
isi_auth_expert
コマンドは、各 LDAP プロバイダーに対して実行されます。
LDAP接続
LDAP列挙オブジェクトのサポート
構成済みのbase-dnの検証
構成済みのuser-base-dnを検証します
構成済みのgroup-base-dnの検証
OneFS 7.2.1.5では、次のチェックが追加されました。
Active Directory
isi_auth_expert
コマンドでは、次の2種類のレイテンシーを計算できます。すべてのドメイン コントローラーのPingレイテンシーとLDAPレイテンシー。クロック スキューが5分未満の場合、コマンドは次の結果を返します。「ADプロバイダーとマシンの間にスキューが最小限またはまったくない。」
オプション | 説明 |
---|---|
--ldap-user |
指定したユーザーのLDAPプロバイダーを確認します |
--sfu-user |
指定したユーザーのActive Directoryグローバル カタログを確認します |
--admin-creds |
Active Directoryグローバル カタログを確認するときに必要な認証情報を入力します。 |
isi_auth_expert
コマンドを --ldap-user=<user>
ここで <、user> はチェックするユーザーです。検索を機能させるには、ユーザー名を「plain name」の形式にする必要があります。LDAPユーザー属性チェックは、LDAPサーバーに接続し、指定されたユーザーについてクエリーを実行します。次に、クエリの結果をチェックして、ユーザーが任意のドメインでの認証に必要なすべての属性を持っていることを確認できます。
isi_auth_expert
コマンドを --sfu-user=<user>
と --admin-creds="[('<Domain>', '<User>', '<password>')]"
ここで、<user> は確認する SFU ユーザーで、"[('<Domain', '<User>>', '<password>')]" は資格情報です。 isi_auth_expert
コマンドは、ドメイン コントローラーでグローバル カタログ検索を実行するために提供する必要があります。グローバル カタログを確認する際には、次の制限があります。管理者の認証情報を入力する必要があります。
isi_auth_expert
コマンドは、SPNが欠落しているか、古いか、または正しくないかを判断します。この機能は、 isi_auth_expert
コマンドが実行されます。
isi auth ads spn
または isi auth krb5 spn
報告された欠落SPNを一覧表示、チェック、または修正するコマンド。