isi_auth_expert
PowerScale OneFS kümesinin kimlik doğrulama ortamını inceleme komutu. Bu, doğru şekilde yapılandırıldığından emin olunmasına ve kimlik doğrulama sorunlarının bir sonucu olarak veri erişim gecikmesine neden olabilecek koşulların belirlenmesine yardımcı olabilir.
isi_auth_expert
komutu; ağ ve bağlantı noktası bağlantısı ve gecikme süresi, bağlama ve saat çarpıklığı dahil olmak üzere bir dizi test çalıştırır. Bu sonuçlar, veri erişim sorunlarına neden olan sorunlu bir yapılandırmayı veya ağ yolunu izole etmek için kullanılabilir.
isi_auth_expert
OneFS 7.2.1.5'te komutu. Daha fazla bilgi için bu makalenin OneFS 7.2.1.5 ve sonraki sürümlerdeki ek kontroller ve parametreler bölümüne bakın.
isi_auth_expert
komutunu kullanıyorsanız aşağıdakileri yapın:
isi_auth_expertKişiler komutu aşağıdaki tabloda listelenen seçeneklerden bir veya daha fazlasıyla da çalıştırabilir:
Seçenek | Açıklama |
-h, --help |
Bu komutun söz dizimini göster |
-h, --debug |
Hata ayıklama mesajlarını görüntüleme |
-v, --verbose |
Ayrıntılı (daha sağlam) çıktıyı etkinleştir |
--no-color |
Renkli çıktıyı devre dışı bırak |
wcvirt1-1# isi_auth_expert Checking authentication process health ... done Checking LDAP provider 'ldaptest' server connectivity ... done Checking LDAP provider 'ldaptest' base dn ... done Checking LDAP provider 'ldaptest' object enumeration support ... done Checking LDAP provider 'ldaptest' group base dn ... done Checking LDAP provider 'ldaptest' user base dn ... done [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider 'ldaptest' was not found on LDAP server ldaptest.west.isilon.com. Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1 .wmc-ada.west.isilon.com on port 3268.
Koşarken isi_auth_expert
komutunu kullanıyorsanız aşağıdaki kontroller gerçekleştirilir:
Aşağıdaki bölümde, isi_auth_expert
komutu her Active Directory (AD) sağlayıcısı için gerçekleştirilir.
Etki Alanı Denetleyicisi bağlantısını
kontrol etme Kümenin AD etki alanındaki en az bir etki alanı denetleyicisine (DC) temel ağ bağlantısı olup olmadığını belirleyin.
DC bağlantı noktalarını
kontrol edinHer DC için kümenin AD ile ilgili bağlantı noktalarına bağlanabildiğini ve bağlantı noktalarının bağlantı kabul ettiğini doğrulayın.
Port (Bağlantı Noktası) | Açıklama | AD Kullanımı | Trafik Tipi |
---|---|---|---|
88 | 88 numaralı bağlantı noktası, Kerberos kimlik doğrulama trafiği için kullanılır. | Kullanıcı ve Bilgisayar Kimlik Doğrulaması, Orman Düzeyinde Güvenler | Kerberos |
139 | 139 numaralı bağlantı noktası, NetBIOS ve NetLogon trafiği için kullanılır. | Kullanıcı ve Bilgisayar Kimlik Doğrulaması, Çoğaltma | DFSN, NetBIOS Oturum Hizmeti, NetLogon |
389 | 389 numaralı bağlantı noktası, LDAP sorguları için kullanılır. | Dizin, Çoğaltma, Kullanıcı ve Bilgisayar Kimlik Doğrulaması, Grup İlkesi, Güvenler | LDAP |
445 | Çoğaltma için bağlantı noktası 445 kullanılır. | Çoğaltma, Kullanıcı ve Bilgisayar Kimlik Doğrulaması, Grup İlkesi, Güvenler. | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
3268 | 3268 numaralı bağlantı noktası, genel katalog LDAP sorguları için kullanılır. (AD sağlayıcısındaki genel katalog etkinse kullanılır) | Dizin, Çoğaltma, Kullanıcı ve Bilgisayar Kimlik Doğrulaması, Grup İlkesi, Güvenler | LDAP GC |
isi_auth_expert
komutu her LDAP sağlayıcısı için gerçekleştirir.
LDAP bağlantısı
LDAP numaralandırılmış nesne desteği
Yapılandırılmış base-dn'yi doğrulama
Yapılandırılmış user-base-dn'yi doğrulayın
Yapılandırılmış group-base-dn yi doğrulayın.
OneFS 7.2.1.5'e aşağıdaki kontroller eklenmiştir.
Active Directory
isi_auth_expert
Komutu iki tür gecikmeyi hesaplayabilir: Tüm etki alanı denetleyicileri için ping gecikme süresi ve LDAP gecikme süresi. Saat sapması beş dakikadan azsa komut şunu döndürür: AD sağlayıcısı ile makineniz arasında çok az fark var veya hiç fark yok."
Seçenek | Açıklama |
---|---|
--ldap-user |
Belirli bir kullanıcı için LDAP sağlayıcısını kontrol eder |
--sfu-user |
Belirtilen kullanıcı için Active Directory Genel Kataloğunu kontrol eder |
--admin-creds |
Active Directory Genel Kataloğunu kontrol ederken gereken kimlik bilgilerini girin. |
isi_auth_expert
komutu ile --ldap-user=<user>
parametresini kullanın, burada <kullanıcı> kontrol etmek istediğiniz kullanıcıdır. Aramanın çalışması için kullanıcı adının "düz ad" biçiminde olması gerekir. LDAP kullanıcı özniteliği denetimi, bir LDAP sunucusuna bağlanır ve belirtilen kullanıcı için bu sunucuyu sorgular. Ardından, kullanıcının herhangi bir etki alanında kimlik doğrulaması için gerekli tüm gerekli özniteliklere sahip olduğundan emin olmak için sorgunun sonuçlarını kontrol edebiliriz.
isi_auth_expert
komutu ile --sfu-user=<user>
ve --admin-creds="[('<Domain>', '<User>', '<password>')]"
parametreler, burada <kullanıcı> kontrol etmek istediğiniz SFU kullanıcısıdır ve "[('<Etki Alanı>', 'Kullanıcı>', '<<parola>')]" kimlik bilgileridir. isi_auth_expert
komutu, etki alanı denetleyicisinde Genel Katalog araması gerçekleştirmek için sağlanmalıdır. Genel kataloğu kontrol ederken aşağıdaki sınırlamayla karşılaşırız: Yönetici kimlik bilgilerini sağlamanız gerekir.
isi_auth_expert
komutu, SPN'lerin eksik, eski veya yanlış olup olmadığını belirler. Bu özellik, her zaman otomatik olarak çalışır. isi_auth_expert
komutu çalıştırılır.
isi auth ads spn
veya isi auth krb5 spn
Bildirilen eksik SPN'leri listeleme, kontrol etme veya düzeltme komutları.