isi_auth_expert
명령을 실행하여 PowerScale OneFS 클러스터의 인증 환경을 검사할 수 있습니다. 이를 통해 올바르게 구성되었는지 확인하고 인증 문제로 인해 데이터 액세스 레이턴시가 발생할 수 있는 조건을 식별할 수 있습니다.
isi_auth_expert
명령은 네트워크 및 포트 연결, 레이턴시, 바인딩 및 클록 스큐를 포함한 일련의 테스트를 실행합니다. 이러한 결과는 데이터 액세스 문제를 일으키는 문제가 있는 구성 또는 네트워크 경로를 격리하는 데 사용할 수 있습니다.
isi_auth_expert
OneFS 7.2.1.5의 명령 자세한 내용은 이 문서의 OneFS 7.2.1.5 이상에서 추가 검사 및 매개변수 섹션을 참조하십시오.
isi_auth_expert
명령을 사용하여 다음을 수행합니다.
isi_auth_expert개인은 아래 표에 나열된 하나 이상의 옵션을 사용하여 명령을 실행할 수도 있습니다.
옵션 | 설명 |
-h, --help |
이 명령의 구문 표시 |
-h, --debug |
디버깅 메시지 표시 |
-v, --verbose |
자세한 정보(더 강력한) 출력을 활성화합니다. |
--no-color |
컬러 출력 비활성화 |
wcvirt1-1# isi_auth_expert Checking authentication process health ... done Checking LDAP provider 'ldaptest' server connectivity ... done Checking LDAP provider 'ldaptest' base dn ... done Checking LDAP provider 'ldaptest' object enumeration support ... done Checking LDAP provider 'ldaptest' group base dn ... done Checking LDAP provider 'ldaptest' user base dn ... done [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider 'ldaptest' was not found on LDAP server ldaptest.west.isilon.com. Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1 .wmc-ada.west.isilon.com on port 3268.
실행할 때 isi_auth_expert
명령을 실행하면 다음 검사가 수행됩니다.
다음 섹션에서는 테스트에 대해 설명합니다. isi_auth_expert
명령은 각 AD(Active Directory) 공급자에 대해 수행합니다.
도메인 컨트롤러 연결
확인 클러스터에 AD 도메인에 있는 하나 이상의 DC(Domain Controller)에 대한 기본 네트워크 연결이 있는지 확인합니다.
DC 포트
확인모든 DC에 대해 클러스터가 AD 관련 포트에 연결할 수 있고 포트가 연결을 수락하는지 확인합니다.
포트 | 설명 | AD 사용량 | 트래픽 유형 |
---|---|---|---|
88 | 포트 88은 Kerberos 인증 트래픽에 사용됩니다. | 사용자 및 컴퓨터 인증, 포리스트 수준 트러스트 | Kerberos |
139 | 포트 139는 NetBIOS 및 NetLogon 트래픽에 사용됩니다. | 사용자 및 컴퓨터 인증, 복제 | DFSN, NetBIOS 세션 서비스, NetLogon |
389 | 포트 389는 LDAP 쿼리에 사용됩니다. | 디렉터리, 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 트러스트 | LDAP |
445 | 포트 445는 복제에 사용됩니다. | 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 트러스트 | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
3268 | 포트 3268은 글로벌 카탈로그 LDAP 쿼리에 사용됩니다. (AD 공급자의 글로벌 카탈로그가 활성화된 경우 사용됨) | 디렉터리, 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 트러스트 | LDAP GC |
isi_auth_expert
명령은 각 LDAP 공급자에 대해 수행됩니다.
LDAP 연결
LDAP 열거 객체 지원
구성된 base-dn 유효성 검사
구성된 user-base-dn 검증
구성된 group-base-dn 검증
OneFS 7.2.1.5에 다음 검사가 추가되었습니다.
Active Directory
isi_auth_expert
명령은 두 가지 유형의 대기 시간을 계산할 수 있습니다. 모든 도메인 컨트롤러에 대한 Ping 대기 시간 및 LDAP 대기 시간 클록 스큐가 5분 미만인 경우 명령은 다음을 반환합니다. "AD 공급업체와 컴퓨터 간에 왜곡이 최소화되거나 전혀 없습니다."
옵션 | 설명 |
---|---|
--ldap-user |
지정된 사용자에 대한 LDAP 공급자를 확인합니다. |
--sfu-user |
지정된 사용자에 대한 Active Directory 글로벌 카탈로그를 확인합니다. |
--admin-creds |
Active Directory 글로벌 카탈로그를 확인할 때 필요한 자격 증명을 제공하십시오. |
isi_auth_expert
명령을 --ldap-user=<user>
매개 변수 여기서 <user> 는 확인하려는 사용자입니다. 검색이 작동하려면 사용자 이름이 "일반 이름" 형식이어야 합니다. LDAP 사용자 속성 검사는 LDAP 서버에 연결하여 지정된 사용자에 대해 쿼리합니다. 그런 다음 쿼리 결과를 확인하여 사용자에게 모든 도메인에서 인증에 필요한 모든 특성이 있는지 확인할 수 있습니다.
isi_auth_expert
명령을 --sfu-user=<user>
및 --admin-creds="[('<Domain>', '<User>', '<password>')]"
<매개 변수 여기서 user>는 확인하려는 SFU 사용자이고 "[('도메인<', '<사용자>', '<비밀번호>')]"는 자격> 증명입니다. isi_auth_expert
도메인 컨트롤러에서 글로벌 카탈로그 조회를 수행하려면 명령을 제공해야 합니다. 글로벌 카탈로그를 확인할 때 다음과 같은 제한 사항이 있습니다. 관리자 자격 증명을 제공해야 합니다.
isi_auth_expert
명령은 SPN이 누락되었거나, 유효하지 않거나, 잘못되었는지 확인합니다. 이 기능은 isi_auth_expert
명령이 실행됩니다.
isi auth ads spn
또는 isi auth krb5 spn
보고된 누락된 SPN을 나열, 확인 또는 수정하는 명령입니다.