Não é possível ativar a autenticação LDAP no sistema de arquivos GPFS / Spectrum Scale

1

Eu configurei um cluster GPFS / Spectrum Scale em dois nós RHEL7. Nesse cluster eu criei um sistema de arquivos. Eu quero ativar a autenticação baseada em LDAP com kerberos para que eu possa ACLs NFSv4 para controlar o acesso

No nó de gerenciamento do cluster do GPFS / Spectrum Scale, eu executo o seguinte comando:

mmuserauth service create --type ldap --data-access-method file --servers 9.xxx.xxx.xxx --base-dn dc=test,dc=sub,dc=domain,dc=com --user-name cn=bind,dc=test,dc=sub,dc=domain,dc=com  --password xxxxxxx --netbios-name host1 --enable-kerberos --kerberos-server 9.xxx.xxx.xxx --kerberos-realm test.sub.domain.com

Eu recebo o seguinte erro:

Either failed to create a samba domain entry on LDAP server if not present or could not read the already existing samba domain entry from the
Detailed message:smbldap_search_domain_info: Adding domain info for host1 failed with NT_STATUS_UNSUCCESSFUL
pdb_init_ldapsam: WARNING: Could not get domain info, nor add one to the domain. We cannot work reliably without it.
pdb backend ldapsam:ldap://9.xxx.xxx.xxx did not correctly init (error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO)
WARNING: Could not open passdb

File authentication configuration failed.

mmuserauth service create: Command failed. Examine previous error messages to determine cause.

Eu pesquisei por aí tentando encontrar uma correção, mas não consegui. O servidor do Active Directory ao qual ele está tentando se conectar possui as extensões LDAP Unix instaladas nele para permitir que a autenticação LDAP seja ativada em clientes que o utilizam.

O GPFS apenas permite que o kerberos seja ativado ao usar o LDAP para autenticação. Quando o AD é usado para autenticação, não existe uma opção para o Kerberos ser ativado.

Infelizmente para mim, para que as ACLs do NFSv4 funcionem corretamente, preciso ter o kerberos funcionando.

    
por mrbarker 07.03.2016 / 23:03

1 resposta

1

Como você está executando o Active Directory em sua infraestrutura, você deve integrar o Spectrum Scale ao Active Directory usando a opção - type ad do comando "mmuserauth service create" . Além disso, como as extensões UNIX são preenchidas no Active Directory, você também deve passar a opção CLI "- unixmap-domains" para ajudar a extrair o UID / GID dos atributos do UNIX.

O Spectrum Scale 4.2 também suporta o NFSv4 Kerberizado. Matriz de suporte - > link

Como o sistema de arquivos GPFS foi configurado para ACLs do NFSv4, ele representará toda a ACL no estilo NFSv4. O NFS Kerberized não é necessário para utilizar essa habilidade.

    
por 30.03.2016 / 07:17