isi_auth_expert
opdracht om de verificatieomgeving van een PowerScale OneFS cluster te onderzoeken. Dit kan helpen ervoor te zorgen dat het correct is geconfigureerd en om omstandigheden te identificeren die latentie voor datatoegang kunnen veroorzaken als gevolg van authenticatieproblemen.
isi_auth_expert
Command voert een reeks tests uit, waaronder netwerk- en poortconnectiviteit en latentie, binding en klokscheefheid. Deze resultaten kunnen worden gebruikt om een problematische configuratie of netwerkpad te isoleren dat problemen met datatoegang veroorzaakt.
isi_auth_expert
opdracht in OneFS 7.2.1.5. Zie het gedeelte Aanvullende controles en parameters in OneFS 7.2.1.5 en hoger van dit artikel voor meer informatie.
isi_auth_expert
ga als volgt te werk:
isi_auth_expertParticulieren kunnen de opdracht ook uitvoeren met een of meer van de opties in de onderstaande tabel:
Optie | Uitleg |
-h, --help |
De syntaxis voor deze opdracht weergeven |
-h, --debug |
Foutopsporingsberichten weergeven |
-v, --verbose |
Uitgebreide (robuustere) uitvoer inschakelen |
--no-color |
Gekleurde uitvoer uitschakelen |
wcvirt1-1# isi_auth_expert Checking authentication process health ... done Checking LDAP provider 'ldaptest' server connectivity ... done Checking LDAP provider 'ldaptest' base dn ... done Checking LDAP provider 'ldaptest' object enumeration support ... done Checking LDAP provider 'ldaptest' group base dn ... done Checking LDAP provider 'ldaptest' user base dn ... done [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider 'ldaptest' was not found on LDAP server ldaptest.west.isilon.com. Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1 .wmc-ada.west.isilon.com on port 3268.
Tijdens het hardlopen isi_auth_expert
worden de volgende controles uitgevoerd:
In het volgende gedeelte worden de tests beschreven die de isi_auth_expert
opdracht wordt uitgevoerd voor elke Active Directory (AD)-provider.
Connectiviteit met
domeincontroller controleren Bepaal of het cluster een basisnetwerkconnectiviteit heeft met ten minste één domeincontroller (DC) in het AD-domein.
Gelijkstroompoorten
controlerenControleer of voor elke DC het cluster verbinding kan maken met de AD-gerelateerde poorten en of de poorten verbindingen accepteren.
Poort | Uitleg | AD-gebruik | Verkeerstype |
---|---|---|---|
88 | Poort 88 wordt gebruikt voor Kerberos-authenticatieverkeer. | Gebruikers- en computerverificatie, vertrouwensrelaties op forestniveau | Kerberos |
139 | Poort 139 wordt gebruikt voor NetBIOS- en NetLogon-verkeer. | Gebruikers- en computerverificatie, replicatie | DFSN, NetBIOS Session Service, NetLogon |
389 | Poort 389 wordt gebruikt voor LDAP-query's. | Directory, replicatie, gebruikers- en computerverificatie, groepsbeleid, vertrouwensrelaties | LDAP |
445 | Poort 445 wordt gebruikt voor replicatie. | Replicatie, gebruikers- en computerverificatie, groepsbeleid, vertrouwen. | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
3268 | Poort 3268 wordt gebruikt voor LDAP-query's in globale catalogussen. (wordt gebruikt als de globale catalogus in de AD-provider is ingeschakeld) | Directory, replicatie, gebruikers- en computerverificatie, groepsbeleid, vertrouwensrelaties | LDAP GC |
isi_auth_expert
opdracht wordt uitgevoerd voor elke LDAP-provider.
LDAP-connectiviteit
Ondersteuning voor LDAP-objecten
Geconfigureerde base-dn valideren
Validate configured user-base-dn
Validate configured group-base-dn
De volgende controles zijn toegevoegd in OneFS 7.2.1.5.
Active Directory
isi_auth_expert
Command kan twee typen latentie berekenen: Ping-latentie en LDAP-latentie voor alle domeincontrollers. Als de klok minder dan vijf minuten scheef is, retourneert de opdracht: "Er is minimale of geen scheeftrekking tussen de AD-provider en uw machine."
Optie | Uitleg |
---|---|
--ldap-user |
Controleert de LDAP-provider voor een opgegeven gebruiker |
--sfu-user |
Controleert de algemene Active Directory-catalogus voor een opgegeven gebruiker |
--admin-creds |
Geef de referenties op die nodig zijn bij het controleren van de algemene Active Directory-catalogus. |
isi_auth_expert
opdracht met de --ldap-user=<user>
parameter waarbij de gebruiker> de gebruiker is die <u wilt controleren. De gebruikersnaam moet de vorm "gewone naam" hebben om de zoekopdracht te laten werken. De LDAP-gebruikerskenmerkcontrole maakt verbinding met een LDAP-server en voert een query uit op de opgegeven gebruiker. We kunnen dan de resultaten van de query controleren om er zeker van te zijn dat de gebruiker over alle noodzakelijke kenmerken beschikt die nodig zijn voor authenticatie in elk domein.
isi_auth_expert
opdracht met de --sfu-user=<user>
als --admin-creds="[('<Domain>', '<User>', '<password>')]"
parameters waarbij <de gebruiker> de SFU-gebruiker is die u wilt controleren en "[('<Domein>', '<Gebruiker>', '<wachtwoord>')]" zijn de referenties die de isi_auth_expert
opdracht moet worden opgegeven om de globale catalogus op te zoeken in de domeincontroller. We hebben de volgende beperking bij het controleren van de wereldwijde catalogus: U moet beheerdersreferenties opgeven.
isi_auth_expert
met de opdracht wordt bepaald of SPN's ontbreken, verouderd of onjuist zijn. Deze functie wordt automatisch uitgevoerd wanneer het venster isi_auth_expert
opdracht is uitvoeren.
isi auth ads spn
of isi auth krb5 spn
opdrachten om gerapporteerde ontbrekende SPN's op te sommen, te controleren of te herstellen.