我在 2 个 RHEL7 节点上设置了一个 GPFS / Spectrum Scale 集群。在该集群上,我创建了一个文件系统。我想使用 kerberos 启用基于 LDAP 的身份验证,以便我可以使用 NFSv4 ACL 来控制访问
在 GPFS / Spectrum Scale 集群的管理节点上,我运行以下命令:
mmuserauth service create --type ldap --data-access-method file --servers 9.xxx.xxx.xxx --base-dn dc=test,dc=sub,dc=domain,dc=com --user-name cn=bind,dc=test,dc=sub,dc=domain,dc=com --password xxxxxxx --netbios-name host1 --enable-kerberos --kerberos-server 9.xxx.xxx.xxx --kerberos-realm test.sub.domain.com
我收到以下错误:
Either failed to create a samba domain entry on LDAP server if not present or could not read the already existing samba domain entry from the
Detailed message:smbldap_search_domain_info: Adding domain info for host1 failed with NT_STATUS_UNSUCCESSFUL
pdb_init_ldapsam: WARNING: Could not get domain info, nor add one to the domain. We cannot work reliably without it.
pdb backend ldapsam:ldap://9.xxx.xxx.xxx did not correctly init (error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO)
WARNING: Could not open passdb
File authentication configuration failed.
mmuserauth service create: Command failed. Examine previous error messages to determine cause.
我搜索了好几遍,想找到解决办法,但还是没找到。它尝试连接的 Active Directory 服务器上安装了 LDAP Unix 扩展,以便在使用它的客户端上启用 LDAP 身份验证。
GPFS 仅允许在使用 LDAP 进行身份验证时启用 kerberos。使用 AD 进行身份验证时,没有启用 Kerberos 的选项。
不幸的是,为了使 NFSv4 ACL 正常工作,我需要让 kerberos 正常工作。
答案1
由于您在基础架构中运行 Active Directory,因此您应该使用以下方式将 Spectrum Scale 与 Active Directory 集成:--类型广告选项“mmuserauth 服务创建”命令。此外,由于 UNIX 扩展已在 Active Directory 中填充,因此您还应传入 “--unixmap-域”CLI 选项帮助从 UNIX 属性中提取 UID/GID。
Spectrum Scale 4.2 也支持 Kerberized NFSv4。支持矩阵 --> https://www.ibm.com/support/knowledgecenter/STXKQY_4.2.0/com.ibm.spectrum.scale.v4r2.ins.doc/bl1ins_authconcept.htm
由于 GPFS 文件系统已针对 NFSv4 ACL 进行了配置,因此它将以 NFSv4 样式表示所有 ACL。无需使用 Kerberized NFS 即可利用此功能。