isi_auth_expert
för att undersöka autentiseringsmiljön för ett PowerScale OneFS-kluster. Detta kan hjälpa till att säkerställa att den är korrekt konfigurerad och för att identifiera villkor som kan orsaka fördröjning av dataåtkomst till följd av autentiseringsproblem.
isi_auth_expert
Kommandot kör en serie tester, inklusive nätverks- och portanslutning och latens, bindning och klockskevhet. Dessa resultat kan användas för att isolera en problematisk konfiguration eller nätverkssökväg som orsakar problem med dataåtkomst.
isi_auth_expert
OneFS 7.2.1.5. Mer information finns i avsnittet Ytterligare kontroller och parametrar i OneFS 7.2.1.5 och senare i den här artikeln.
isi_auth_expert
gör du följande:
isi_auth_expertEnskilda användare kan också köra kommandot med ett eller flera av de alternativ som anges i tabellen nedan:
Alternativ | Förklaring |
-h, --help |
Visa syntaxen för det här kommandot |
-h, --debug |
Visa felsökningsmeddelanden |
-v, --verbose |
Aktivera utförliga (mer robusta) utdata |
--no-color |
Inaktivera färgad utmatning |
wcvirt1-1# isi_auth_expert Checking authentication process health ... done Checking LDAP provider 'ldaptest' server connectivity ... done Checking LDAP provider 'ldaptest' base dn ... done Checking LDAP provider 'ldaptest' object enumeration support ... done Checking LDAP provider 'ldaptest' group base dn ... done Checking LDAP provider 'ldaptest' user base dn ... done [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider 'ldaptest' was not found on LDAP server ldaptest.west.isilon.com. Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1 .wmc-ada.west.isilon.com on port 3268.
När du springer isi_auth_expert
utförs följande kontroller:
I följande avsnitt beskrivs de tester som isi_auth_expert
för varje Active Directory-provider (AD).
Kontrollera anslutningen till
domänkontrollanten Ta reda på om klustret har grundläggande nätverksanslutning till minst en domänkontrollant (DC) i AD-domänen.
Kontrollera DC-portarna
Kontrollera att klustret kan ansluta till de AD-relaterade portarna för varje domänkontrollant och att portarna accepterar anslutningar.
Port | Förklaring | AD-användning | Trafiktyp |
---|---|---|---|
88 | Port 88 används för Kerberos-autentiseringstrafik. | Autentisering av användare och dator, förtroenden på skogsnivå | Kerberos |
139 | Port 139 används för NetBIOS- och NetLogon-trafik. | Användar- och datorautentisering, replikering | DFSN, NetBIOS-sessionstjänst, NetLogon |
389 | Port 389 används för LDAP-frågor. | Katalog, replikering, användar- och datorautentisering, grupprincip, förtroenden | LDAP |
445 | Port 445 används för replikering. | Replikering, användar- och datorautentisering, grupprincip, förtroenden. | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
3268 | Port 3268 används för globala katalog-LDAP-frågor. (används om den globala katalogen i AD-leverantören är aktiverad) | Katalog, replikering, användar- och datorautentisering, grupprincip, förtroenden | LDAP GC |
isi_auth_expert
för varje LDAP-provider.
LDAP-anslutning
Stöd för LDAP-uppräknade objekt
Validera konfigurerad base-dn
Validera konfigurerad user-base-dn
Verifiera konfigurerad group-base-dn
Följande kontroller har lagts till i OneFS 7.2.1.5.
Active Directory
isi_auth_expert
kan beräkna två typer av svarstider: Ping-latens och LDAP-svarstid för alla domänkontrollanter. Om klocksnedställningen är mindre än fem minuter returnerar kommandot: "Det finns minimal eller ingen skevhet mellan AD-leverantören och din maskin."
Alternativ | Förklaring |
---|---|
--ldap-user |
Kontrollerar LDAP-providern för en angiven användare |
--sfu-user |
Söker i den globala Active Directory-katalogen efter en angiven användare |
--admin-creds |
Ange de autentiseringsuppgifter som krävs när du kontrollerar den globala Active Directory-katalogen. |
isi_auth_expert
kommandot med --ldap-user=<user>
parameter där <användaren> är den användare som du vill kontrollera. Användarnamnet måste vara av formen "vanligt namn" för att sökningen ska fungera. Kontrollen av LDAP-användarattribut ansluter till en LDAP-server och frågar den efter den angivna användaren. Vi kan sedan kontrollera resultatet av frågan för att säkerställa att användaren har alla nödvändiga attribut som krävs för autentisering i alla domäner.
isi_auth_expert
kommandot med --sfu-user=<user>
och --admin-creds="[('<Domain>', '<User>', '<password>')]"
parametrar där <user> är den SFU-användare som du vill kontrollera och "[('<Domain>', '<User>', '<password>')]" är de referenser som isi_auth_expert
måste tillhandahålla för att utföra sökningen i den globala katalogen på domänkontrollanten. Vi har följande begränsning vid kontroll av den globala katalogen: Du måste ange administratörsuppgifter.
isi_auth_expert
avgör om SPN saknas, är inaktuella eller felaktiga. Den här funktionen körs automatiskt när isi_auth_expert
kommandot körs.
isi auth ads spn
eller isi auth krb5 spn
kommandon för att visa, kontrollera eller åtgärda rapporterade saknade SPN:er.