isi_auth_expert
, aby sprawdzić środowisko uwierzytelniania klastra PowerScale OneFS. Może to pomóc w zapewnieniu prawidłowej konfiguracji i zidentyfikowaniu warunków, które mogą powodować opóźnienie dostępu do danych w wyniku problemów z uwierzytelnianiem.
isi_auth_expert
Polecenie uruchamia serię testów, w tym łączność z siecią i portami oraz opóźnienie, powiązanie i pochylenie zegara. Wyniki te można wykorzystać do wyizolowania problematycznej konfiguracji lub ścieżki sieciowej, która powoduje problemy z dostępem do danych.
isi_auth_expert
w OneFS 7.2.1.5. Aby uzyskać więcej informacji, zapoznaj się z sekcją Dodatkowe testy i parametry w OneFS 7.2.1.5 i nowszych wersji tego artykułu.
isi_auth_expert
wykonaj następujące polecenie:
isi_auth_expertPoszczególne osoby mogą również uruchomić to polecenie z jedną lub kilkoma opcjami wymienionymi w poniższej tabeli:
Opcja | Objaśnienie |
-h, --help |
Pokaż składnię tego polecenia |
-h, --debug |
Wyświetlanie komunikatów debugowania |
-v, --verbose |
Włączanie pełnych (bardziej niezawodnych) danych wyjściowych |
--no-color |
Wyłącz kolorowe wyjście |
wcvirt1-1# isi_auth_expert Checking authentication process health ... done Checking LDAP provider 'ldaptest' server connectivity ... done Checking LDAP provider 'ldaptest' base dn ... done Checking LDAP provider 'ldaptest' object enumeration support ... done Checking LDAP provider 'ldaptest' group base dn ... done Checking LDAP provider 'ldaptest' user base dn ... done [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider 'ldaptest' was not found on LDAP server ldaptest.west.isilon.com. Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1 .wmc-ada.west.isilon.com on port 3268.
Podczas biegania isi_auth_expert
, wykonywane są następujące kontrole:
W poniższej sekcji opisano testy, które isi_auth_expert
polecenie jest wykonywane dla każdego dostawcy usługi Active Directory (AD).
Sprawdzanie łączności
kontrolera domeny Sprawdź, czy klaster ma podstawową łączność sieciową z co najmniej jednym kontrolerem domeny (DC) w domenie usługi AD.
Sprawdzanie portów
prądu stałegoSprawdź, czy dla każdego kontrolera domeny klaster może połączyć się z portami związanymi z usługą AD i czy porty akceptują połączenia.
Port | Objaśnienie | Użycie usługi AD | Typ ruchu |
---|---|---|---|
88 | Port 88 jest używany do obsługi ruchu związanego z uwierzytelnianiem Kerberos. | Uwierzytelnianie użytkowników i komputerów, zaufanie na poziomie lasu | Kerberos |
139 | Port 139 jest używany do obsługi ruchu NetBIOS i NetLogon. | Uwierzytelnianie użytkownika i komputera, replikacja | DFSN, usługa sesji NetBIOS, NetLogon Session Service, NetLogon |
389 | Port 389 jest używany do obsługi zapytań LDAP. | Katalog, replikacja, uwierzytelnianie użytkownika i komputera, zasady grupy, relacje zaufania | LDAP |
445 | Port 445 jest używany do replikacji. | Replikacja, uwierzytelnianie użytkowników i komputerów, zasady grupy, relacje zaufania. | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
3268 | Port 3268 jest używany do obsługi kwerend LDAP wykazu globalnego. (używane, jeśli wykaz globalny w dostawcy usługi AD jest włączony) | Katalog, replikacja, uwierzytelnianie użytkownika i komputera, zasady grupy, relacje zaufania | LDAP GC |
isi_auth_expert
polecenie jest wykonywane dla każdego dostawcy LDAP.
Łączność LDAP
Obsługa obiektów wyliczeniowych LDAP
Weryfikacja skonfigurowanej nazwy Base-DN
Weryfikacja skonfigurowanej nazwy wyróżniającej użytkownika base-dn
Weryfikowanie skonfigurowanej group-base-dn
W OneFS 7.2.1.5 dodano następujące testy.
Active Directory
isi_auth_expert
może obliczyć dwa typy opóźnień: Opóźnienie ping i opóźnienie LDAP dla wszystkich kontrolerów domeny. Jeśli pochylenie zegara jest krótsze niż pięć minut, polecenie zwróci: "Niesymetryczność między dostawcą usługi AD a komputerem jest minimalna lub nie ma jej wcale".
Opcja | Objaśnienie |
---|---|
--ldap-user |
Sprawdza dostawcę LDAP dla określonego użytkownika |
--sfu-user |
Sprawdza wykaz globalny usługi Active Directory dla określonego użytkownika |
--admin-creds |
Podaj poświadczenia wymagane podczas sprawdzania wykazu globalnego usługi Active Directory. |
isi_auth_expert
polecenie za pomocą polecenia --ldap-user=<user>
Parametr, gdzie <użytkownik> jest użytkownikiem, który chcesz sprawdzić. Nazwa użytkownika musi mieć postać "plain name", aby wyszukiwanie działało. Funkcja sprawdzania atrybutów użytkownika LDAP łączy się z serwerem LDAP i wysyła zapytanie do określonego użytkownika. Możemy wtedy sprawdzić wyniki zapytania, aby upewnić się, że użytkownik posiada wszystkie niezbędne atrybuty niezbędne do uwierzytelnienia w dowolnej domenie.
isi_auth_expert
polecenie za pomocą polecenia --sfu-user=<user>
i --admin-creds="[('<Domain>', '<User>', '<password>')]"
parametry, w których <użytkownik> jest użytkownikiem SFU, który chcesz sprawdzić, a "[('<Domena', '<Użytkownik>>', '<hasło>')]" to poświadczenia isi_auth_expert
Aby przeprowadzić wyszukiwanie wykazu globalnego w kontrolerze domeny, należy podać polecenie. Podczas sprawdzania wykazu globalnego mamy następujące ograniczenie: Należy podać poświadczenia administratora.
isi_auth_expert
określa, czy brakuje nazw SPN, są one nieaktualne lub nieprawidłowe. Ta funkcja uruchamia się automatycznie za każdym razem, gdy isi_auth_expert
Polecenie jest uruchamiane.
isi auth ads spn
lub isi auth krb5 spn
polecenia do wyświetlania, sprawdzania lub naprawiania zgłoszonych brakujących nazw SPN.