Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configurar los nombres de entidades principales de servicios (SPN) para Kerberos
Le recomendamos que utilice la autenticación y el cifrado basados en Kerberos en tránsito con Amazon FSx. Kerberos brinda la autenticación más segura para los clientes que acceden a su sistema de archivos.
Para activar la autenticación de Kerberos para los clientes que acceden a Amazon FSx con un alias del DNS, debe añadir los nombres de las entidades principales de servicio (SPN) que correspondan al alias del DNS del objeto informático de Active Directory del sistema de archivos de Amazon FSx. Un SPN sólo puede asociarse a un único objeto informático de Active Directory a la vez. Si ya tiene SPN existentes para el nombre del DNS configurado para el objeto informático del Active Directory del sistema de archivos original, debe eliminarlos primero.
Se requiere dos SPN para la autenticación de Kerberos:
HOST/aliasHOST/alias.domain
Si el alias es finance.domain.com, los dos SPN necesarios son los siguientes:
HOST/finance HOST/finance.domain.com
nota
Deberá eliminar todos los SPN del HOST existentes que correspondan al alias del DNS del objeto informático del Active Directory antes de crear nuevos SPN del HOST para el objeto informático del Active Directory (AD) del sistema de archivos Amazon FSx. Los intentos de configurar los SPN para el sistema de archivos Amazon FSx fallarán si existe un SPN para el alias del DNS en el AD.
En los procedimiento a continuación, se describe cómo instalar lo siguiente:
Busque cualquier SPN de los alias del DNS existentes en el objeto informático del Active Directory del sistema de archivos original.
Elimine los SPN existentes encontrados, si los hubiera.
Cree nuevos SPN de los alias del DNS para el objeto informático del Active Directory del sistema de archivos Amazon FSx.
Cómo instalar el módulo PowerShell Active Directory obligatorio
-
Inicie sesión en una instancia de Windows unida al Active Directory al que está unido el sistema de archivos Amazon FSx.
Abra PowerShell como administrador.
Instale el módulo de PowerShell Active Directory con el siguiente comando.
Install-WindowsFeature RSAT-AD-PowerShell
Cömo buscar y eliminar los alias SPN de DNS existentes en el objeto informático de Active Directory del sistema de archivos original
Si tiene SPN configurados para el alias del DNS que asignó a otro sistema de archivos en un objeto informático del Active Directory, primero debe eliminarlos antes de añadirlos al objeto informático del sistema de archivos.
Busque cualquier SPN existente con los siguientes comandos. Sustituya
alias_fqdn## Find SPNs for original file system's AD computer object $ALIAS = "alias_fqdn" SetSPN /Q ("HOST/" + $ALIAS) SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])Elimine los SPN de HOST existentes devueltos en el paso anterior con el siguiente script de ejemplo.
Sustituya
alias_fqdnSustituya
file_system_DNS_name
## Delete SPNs for original file system's AD computer object $Alias = "alias_fqdn" $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name-
Repita los pasos anteriores con cada alias del DNS que haya asociado al sistema de archivos en el Paso 1.
Cómo establecer los SPN en el objeto informático de Active Directory del sistema de archivos Amazon FSx
Establezca nuevos SPN para el sistema de archivos Amazon FSx con los siguientes comandos.
Sustituya
file_system_DNS_namePara buscar el nombre del DNS del sistema de archivos en la consola de Amazon FSx, elija Sistemas de archivos, seleccione su sistema de archivos y, a continuación, elija el panel Red y seguridad en la página de información del sistema de archivos.
También, puede obtener el nombre del DNS en la respuesta de la operación de la API DescribeFilesystems.
Sustituya
alias_fqdn
## Set SPNs for FSx file system AD computer object $FSxDnsName = "file_system_DNS_name" $Alias = "alias_fqdn" $FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost) ##Use the following command to set both the full FQDN and Alias SPNs Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname" = @($Alias, $Alias.Split(".")[0])}nota
Se producirá un error al establecer un SPN para el sistema de archivos Amazon FSx si existe un SPN del alias del DNS en el AD del objeto informático del sistema de archivos original. Para obtener información sobre cómo buscar y eliminar los SPN existentes, consulte Cömo buscar y eliminar los alias SPN de DNS existentes en el objeto informático de Active Directory del sistema de archivos original.
-
Compruebe si los nuevos SPN estén establecidos para el alias del DNS con el siguiente script de ejemplo. Asegúrese de que la respuesta incluya dos SPN del HOST,
HOST/yaliasHOST/, tal como se describió anteriormente en este procedimiento.alias_fqdnSustituya
file_system_DNS_nameTambién, puede obtener el nombre del DNS en la respuesta de la operación de la API DescribeFilesystems.
## Verify SPNs on FSx file system AD computer object $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSpn /L ${FSxAdComputer}.Name -
Repita los pasos anteriores con cada alias del DNS que haya asociado al sistema de archivos en el Paso 1.
