isi_auth_expert
для перевірки середовища автентифікації кластера PowerScale OneFS. Це може допомогти переконатися, що він правильно налаштований, і визначити умови, які можуть спричинити затримку доступу до даних через проблеми з автентифікацією.
isi_auth_expert
Command запускає серію тестів, включаючи підключення до мережі та порту та затримку, прив'язку та перекіс тактової частоти. Ці результати можуть бути використані для ізоляції проблемної конфігурації або мережевого шляху, який спричиняє проблеми з доступом до даних.
isi_auth_expert
в OneFS 7.2.1.5. Щоб дізнатися більше, перегляньте розділ Додаткові перевірки та параметри в OneFS 7.2.1.5 і пізніших версіях цієї статті.
isi_auth_expert
команду, виконайте такі дії:
isi_auth_expertКористувачі також можуть виконувати команду з одним або кількома параметрами, переліченими в таблиці нижче:
Варіант | Пояснення |
-h, --help |
Показати синтаксис цієї команди |
-h, --debug |
Відображення діагностичних повідомлень |
-v, --verbose |
Увімкнути докладне (надійніше) виведення |
--no-color |
Вимкнення кольорового виводу |
wcvirt1-1# isi_auth_expert Checking authentication process health ... done Checking LDAP provider 'ldaptest' server connectivity ... done Checking LDAP provider 'ldaptest' base dn ... done Checking LDAP provider 'ldaptest' object enumeration support ... done Checking LDAP provider 'ldaptest' group base dn ... done Checking LDAP provider 'ldaptest' user base dn ... done [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider 'ldaptest' was not found on LDAP server ldaptest.west.isilon.com. Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1 .wmc-ada.west.isilon.com on port 3268.
Під час бігу isi_auth_expert
команда, виконуються наступні перевірки:
У наступному розділі описано тести, які isi_auth_expert
виконується для кожного постачальника Active Directory (AD).
Перевірте підключення
контролера домену Визначте, чи має кластер базове підключення до мережі принаймні з одним контролером домену (DC) у домені AD.
Перевірте порти постійного струму
Переконайтеся, що для кожного постійного струму кластер може підключатися до портів, пов'язаних з AD, і що порти приймають з'єднання.
Порт | Пояснення | Використання AD | Тип трафіку |
---|---|---|---|
88 | Порт 88 використовується для трафіку розпізнавання Kerberos. | Автентифікація користувачів і комп'ютерів, трасти на рівні лісу | Kerberos (Керберос) |
139 | Порт 139 використовується для трафіку NetBIOS і NetLogon. | Аутентифікація користувачів і комп'ютерів, реплікація | DFSN, Служба сеансів NetBIOS, NetLogon |
389 | Порт 389 використовується для запитів LDAP. | Каталоги, реплікація, автентифікація користувачів і комп'ютерів, групова політика, трасти | LDAP |
445 | Для реплікації використовується порт 445. | Реплікація, аутентифікація користувачів і комп'ютерів, групова політика, трасти. | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
3268 | Порт 3268 використовується для запитів LDAP у глобальному каталозі. (використовується, якщо ввімкнено загальний каталог у надавачі AD) | Каталоги, реплікація, автентифікація користувачів і комп'ютерів, групова політика, трасти | LDAP GC |
isi_auth_expert
виконується для кожного засобу надання даних LDAP.
Підключення LDAP
Підтримка нумерованих об'єктів LDAP
Перевірено налаштований base-dn
Реалізовано перевірку налаштованого user-base-dn
Реалізовано перевірку налаштованої group-base-dn
Наступні перевірки були додані в OneFS 7.2.1.5.
Active Directory
isi_auth_expert
команда може обчислювати два типи затримок: Затримка пінгу та затримка LDAP для всіх контролерів домену. Якщо перекіс годинника становить менше п'яти хвилин, команда повертає: «Перекіс між постачальником реклами та вашим комп'ютером мінімальний або відсутній».
Варіант | Пояснення |
---|---|
--ldap-user |
Перевіряє засіб надання даних LDAP для вказаного користувача |
--sfu-user |
Перевіряє глобальний каталог Active Directory для вказаного користувача |
--admin-creds |
Укажіть облікові дані, необхідні під час перевірки глобального каталогу Active Directory. |
isi_auth_expert
за допомогою команди --ldap-user=<user>
де <user> – це користувач, якого ви хочете перевірити. Ім'я користувача має бути у формі "просте ім'я", щоб пошук працював. Перевірка атрибутів користувача LDAP встановлює з'єднання з сервером LDAP і надсилає запит до нього для вказаного користувача. Потім ми можемо перевірити результати запиту, щоб переконатися, що користувач має всі необхідні атрибути, необхідні для аутентифікації в будь-якому домені.
isi_auth_expert
за допомогою команди --sfu-user=<user>
і --admin-creds="[('<Domain>', '<User>', '<password>')]"
параметри, де <user> — це користувач SFU, якого ви хочете перевірити, а "[('<Domain', '<User>>', '<password>')]" - це облікові дані isi_auth_expert
має бути надано для виконання пошуку в глобальному каталозі в контролері домену. У нас є наступне обмеження при перевірці глобального каталогу: Необхідно надати облікові дані адміністратора.
isi_auth_expert
команда визначає, чи є SPN відсутніми, застарілими або неправильними. Ця функція запускається автоматично щоразу, коли isi_auth_expert
виконується команда.
isi auth ads spn
або isi auth krb5 spn
команди для списку, перевірки або виправлення повідомлень про відсутні SPN.