我在2个RHEL7节点上设置了GPFS / Spectrum Scale群集。 在那个集群上我创build了一个文件系统。 我想用kerberos启用基于LDAP的身份validation,以便我可以使用NFSv4 ACL来控制访问
在GPFS / Spectrum Scale群集的pipe理节点上,运行以下命令:
mmuserauth service create --type ldap --data-access-method file --servers 9.xxx.xxx.xxx --base-dn dc=test,dc=sub,dc=domain,dc=com --user-name cn=bind,dc=test,dc=sub,dc=domain,dc=com --password xxxxxxx --netbios-name host1 --enable-kerberos --kerberos-server 9.xxx.xxx.xxx --kerberos-realm test.sub.domain.com 我收到以下错误:
Either failed to create a samba domain entry on LDAP server if not present or could not read the already existing samba domain entry from the Detailed message:smbldap_search_domain_info: Adding domain info for host1 failed with NT_STATUS_UNSUCCESSFUL pdb_init_ldapsam: WARNING: Could not get domain info, nor add one to the domain. We cannot work reliably without it. pdb backend ldapsam:ldap://9.xxx.xxx.xxx did not correctly init (error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO) WARNING: Could not open passdb File authentication configuration failed. mmuserauth service create: Command failed. Examine previous error messages to determine cause.
我已经search周围试图find一个修复,但无法。 它试图连接到的Active Directory服务器上安装了LDAP Unix扩展,以允许在使用它的客户端上启用LDAP身份validation。
GPFS只允许在使用LDAP进行身份validation时启用Kerberos。 当使用AD进行身份validation时,Kerberos未启用。
不幸的是,为了让NFSv4 ACL正常工作,我需要有kerberos工作。
由于您在基础架构中运行Active Directory,因此应使用“mmuserauth service create”命令的–type ad选项将Spectrum Scale与Active Directory集成。 此外,由于UNIX扩展在Active Directory上被填充,您还应该传入“–unixmap-domains” CLI选项以帮助从UNIX属性中提取UID / GID。
Spectrum Scale 4.2也支持Kerberized NFSv4。 支持matrix – > https://www.ibm.com/support/knowledgecenter/STXKQY_4.2.0/com.ibm.spectrum.scale.v4r2.ins.doc/bl1ins_authconcept.htm
由于GPFS文件系统已经configuration了NFSv4 ACL,它将以NFSv4风格来代表所有的ACL。 使用此function不需要Kerberized NFS。