isi_auth_expert
-kommandoen for å undersøke godkjenningsmiljøet til en PowerScale OneFS-klynge. Dette kan bidra til å sikre at den er riktig konfigurert og til å identifisere forhold som kan forårsake datatilgangsventetid som følge av godkjenningsproblemer.
isi_auth_expert
Kommandoen kjører en rekke tester, inkludert nettverks- og porttilkobling og ventetid, binding og klokkeskjevhet. Disse resultatene kan brukes til å isolere en problematisk konfigurasjon eller nettverksbane som forårsaker problemer med datatilgang.
isi_auth_expert
-kommandoen i OneFS 7.2.1.5. Se delen Flere kontroller og parametere i OneFS 7.2.1.5 og nyere i denne artikkelen hvis du vil ha mer informasjon.
isi_auth_expert
Kommando, gjør du følgende:
isi_auth_expertEnkeltpersoner kan også kjøre kommandoen med ett eller flere av alternativene som er oppført i tabellen nedenfor:
Alternativ | Forklaring |
-h, --help |
Vis syntaksen for denne kommandoen |
-h, --debug |
Vis feilsøkingsmeldinger |
-v, --verbose |
Aktiver detaljerte (mer robuste) utdata |
--no-color |
Deaktiver farget utdata |
wcvirt1-1# isi_auth_expert Checking authentication process health ... done Checking LDAP provider 'ldaptest' server connectivity ... done Checking LDAP provider 'ldaptest' base dn ... done Checking LDAP provider 'ldaptest' object enumeration support ... done Checking LDAP provider 'ldaptest' group base dn ... done Checking LDAP provider 'ldaptest' user base dn ... done [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider 'ldaptest' was not found on LDAP server ldaptest.west.isilon.com. Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1 .wmc-ada.west.isilon.com on port 3268.
Når du løper isi_auth_expert
-kommandoen, utføres følgende kontroller:
Følgende avsnitt beskriver testene som isi_auth_expert
-kommandoen utføres for hver Active Directory-leverandør (AD).
Kontroller domenekontrollertilkoblingen
Fastslå om klyngen har grunnleggende nettverkstilkobling til minst én domenekontroller (DC) i AD-domenet.
Kontroller DC-portene
Kontroller at klyngen for hver DC kan koble til AD-relaterte porter, og at portene godtar tilkoblinger.
Port | Forklaring | AD-bruk | Trafikktype |
---|---|---|---|
88 | Port 88 brukes for Kerberos-godkjenningstrafikk. | Bruker- og datamaskinautentisering, skognivåklareringer | Kerberos |
139 | Port 139 brukes for NetBIOS- og NetLogon-trafikk. | Bruker- og datamaskingodkjenning, replikering | DFSN, NetBIOS-økttjeneste, NetLogon |
389 | Port 389 brukes for LDAP-spørringer. | Katalog, replikering, bruker- og datamaskingodkjenning, gruppepolicy, klareringer | LDAP |
445 | Port 445 brukes til replikering. | Replikering, bruker- og datamaskingodkjenning, gruppepolicy, klarering. | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
3268 | Port 3268 brukes til LDAP-spørringer i en global katalog. (brukes hvis den globale katalogen i AD-leverandøren er aktivert) | Katalog, replikering, bruker- og datamaskingodkjenning, gruppepolicy, klareringer | LDAP GC |
isi_auth_expert
utfører kommandoen for hver LDAP-leverandør.
LDAP-tilkobling
Støtte for LDAP-opplistede objekter
Valider konfigurert base-dn
Valider konfigurert brukerbase-dn
Validere konfigurert gruppe-base-dn
Følgende kontroller ble lagt til i OneFS 7.2.1.5.
Active Directory
isi_auth_expert
Kommandoen kan beregne to typer ventetider: Ping-ventetid og LDAP-ventetid for alle domenekontrollere. Hvis klokkeskjevheten er mindre enn fem minutter, returnerer kommandoen: "Det er minimal eller ingen skjevhet mellom AD-leverandøren og maskinen din."
Alternativ | Forklaring |
---|---|
--ldap-user |
Kontrollerer LDAP-leverandøren for en angitt bruker |
--sfu-user |
Kontrollerer Active Directory Global Catalog for en angitt bruker |
--admin-creds |
Angi legitimasjonen som kreves når du kontrollerer den globale katalogen for Active Directory. |
isi_auth_expert
kommando med --ldap-user=<user>
parameter der <brukeren> er brukeren du vil kontrollere. Brukernavnet må være av formen "vanlig navn" for at søket skal fungere. LDAP-brukerattributtkontrollen kobler til en LDAP-tjener og spør etter den angitte brukeren. Vi kan deretter sjekke resultatene av spørringen for å sikre at brukeren har alle nødvendige attributter som er nødvendige for autentisering i et hvilket som helst domene.
isi_auth_expert
kommando med --sfu-user=<user>
og --admin-creds="[('<Domain>', '<User>', '<password>')]"
parametere der <brukeren> er SFU-brukeren du vil sjekke, og "[('<Domain>', '<User', '<password>>')]" er legitimasjonen isi_auth_expert
-kommandoen må leveres for å utføre det globale katalogoppslaget i domenekontrolleren. Vi har følgende begrensninger når vi sjekker den globale katalogen: Du må oppgi administratorlegitimasjon.
isi_auth_expert
-kommandoen angir om SPN-er mangler, er foreldet eller feil. Denne funksjonen kjøres automatisk når isi_auth_expert
Kommandoen er kjørt.
isi auth ads spn
eller isi auth krb5 spn
kommandoer for å liste, kontrollere eller reparere rapporterte manglende SPNer.