isi_auth_expert
命令检查 PowerScale OneFS 群集的身份验证环境。这有助于确保其配置正确,并确定由于身份验证问题可能导致数据访问延迟的条件。
isi_auth_expert
命令运行一系列测试,包括网络和端口连接以及延迟、绑定和时钟偏移。这些结果可用于隔离导致数据访问问题的有问题的配置或网络路径。
isi_auth_expert
命令(在 OneFS 7.2.1.5 中)。有关详细信息,请参阅本文的 OneFS 7.2.1.5 及更高版本中的其他检查和参数部分。
isi_auth_expert
命令,请执行以下操作:
isi_auth_expert个人还可以使用下表中列出的一个或多个选项运行该命令:
选项 | 说明 |
-h, --help |
显示此命令的语法 |
-h, --debug |
显示调试消息 |
-v, --verbose |
启用详细(更强大)的输出 |
--no-color |
禁用彩色输出 |
wcvirt1-1# isi_auth_expert Checking authentication process health ... done Checking LDAP provider 'ldaptest' server connectivity ... done Checking LDAP provider 'ldaptest' base dn ... done Checking LDAP provider 'ldaptest' object enumeration support ... done Checking LDAP provider 'ldaptest' group base dn ... done Checking LDAP provider 'ldaptest' user base dn ... done [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider 'ldaptest' was not found on LDAP server ldaptest.west.isilon.com. Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1 .wmc-ada.west.isilon.com on port 3268.
运行时 isi_auth_expert
命令,则执行以下检查:
以下部分介绍了 isi_auth_expert
命令针对每个 Active Directory (AD) 提供程序执行。
检查域控制器连接
确定群集是否与 AD 域中的至少一个域控制器 (DC) 具有基本网络连接。
检查直流端口
验证对于每个 DC,群集是否可以连接到与 AD 相关的端口,以及端口是否接受连接。
端口 | 说明 | AD 使用情况 | 流量类型 |
---|---|---|---|
88 | 端口 88 用于 Kerberos 身份验证流量。 | 用户和计算机身份验证,林级信任 | Kerberos |
139 | 端口 139 用于 NetBIOS 和 NetLogon 流量。 | 用户和计算机身份验证、复制 | DFSN、NetBIOS 会话服务、NetLogon |
389 | 端口 389 用于 LDAP 查询。 | 目录、复制、用户和计算机身份验证、组策略、信任 | LDAP |
445 | 端口 445 用于复制。 | 复制、用户和计算机身份验证、组策略、信任。 | SMB、CIFS、SMB2、DFSN、LSARPC、NbtSS、NetLogonR、SamR、SrvSvc |
3268 | 端口 3268 用于全局编录 LDAP 查询。(在启用 AD 提供程序中的全局编录时使用) | 目录、复制、用户和计算机身份验证、组策略、信任 | LDAP GC |
isi_auth_expert
命令针对每个 LDAP 提供程序执行。
LDAP 连接
LDAP 枚举对象支持
验证已配置的 base-dn
验证已配置的 user-base-dn
验证已配置的 group-base-dn
OneFS 7.2.1.5 中添加了以下检查。
Active Directory
isi_auth_expert
命令可以计算两种类型的延迟:所有域控制器的 Ping 延迟和 LDAP 延迟。如果时钟偏差小于五分钟,则命令返回:“AD 提供商与您的计算机之间的偏差极小或没有偏差。”
选项 | 说明 |
---|---|
--ldap-user |
检查指定用户的 LDAP 提供程序 |
--sfu-user |
检查指定用户的 Active Directory 全局编录 |
--admin-creds |
提供检查 Active Directory 全局目录时所需的凭据。 |
isi_auth_expert
命令替换为 --ldap-user=<user>
参数,其中 <user> 是要检查的用户。用户名必须采用“纯名称”的形式,搜索才能正常工作。LDAP 用户属性检查连接到 LDAP 服务器并查询其中的指定用户。然后,我们可以检查查询结果,以确保用户具有在任何域中进行身份验证所需的所有必要属性。
isi_auth_expert
命令替换为 --sfu-user=<user>
和 --admin-creds="[('<Domain>', '<User>', '<password>')]"
参数,其中 <user>是要检查的交换网联用户,“[('<Domain', '<User>>', '<password>')]”是服务器的凭据。 isi_auth_expert
命令必须提供才能在域控制器中执行全局编录查找。检查全局编录时,我们有以下限制:您必须提供管理员凭据。
isi_auth_expert
命令确定 SPN 是否缺失、过时或不正确。每当 isi_auth_expert
命令运行。
isi auth ads spn
或者文件的 isi auth krb5 spn
用于列出、检查或修复报告的缺失 SPN 的命令。