Configura i nomi principali dei servizi (SPNs) per Kerberos

Ti consigliamo di utilizzare l'autenticazione e la crittografia basate su Kerberos in transito con Amazon. FSx Kerberos fornisce l'autenticazione più sicura per i client che accedono al tuo file system.

Per abilitare l'autenticazione Kerberos per i client che accedono ad Amazon FSx utilizzando un DNS alias, devi aggiungere i nomi principali del servizio (SPNs) che corrispondono all'DNSalias sull'oggetto computer Active Directory del tuo FSx file system Amazon. An SPN può essere associato solo a un singolo oggetto informatico Active Directory alla volta. Se esistevano già SPNs i DNS nomi configurati per l'oggetto informatico Active Directory del file system originale, è necessario prima eliminarli.

Ce ne sono due necessari SPNs per l'autenticazione Kerberos:

HOST/alias
HOST/alias.domain

Se l'alias èfinance.domain.com, sono necessari i due seguenti: SPNs

HOST/finance
HOST/finance.domain.com

Nota

Dovrai eliminare qualsiasi oggetto esistente HOST SPNs che corrisponda all'DNSalias sull'oggetto computer Active Directory prima di crearne uno nuovo HOST SPNs per l'oggetto computer Active Directory (AD) del tuo FSx file system Amazon. I tentativi di impostazione SPNs per il tuo FSx file system Amazon falliranno se nell'AD esiste un DNS alias SPN for the.

Le seguenti procedure descrivono come eseguire le seguenti operazioni:

• Trova qualsiasi DNS alias SPNs esistente nell'oggetto computer Active Directory del file system originale.

• Elimina il SPNs trovato esistente, se presente.

• Crea un nuovo DNS alias SPNs per l'oggetto informatico Active Directory del tuo FSx file system Amazon.

Per installare il modulo PowerShell Active Directory richiesto

1. Accedi a un'istanza Windows aggiunta all'Active Directory a cui è collegato il tuo FSx file system Amazon.

2. Apri PowerShell come amministratore.

3. Installa il modulo PowerShell Active Directory utilizzando il seguente comando.

   Install-WindowsFeature RSAT-AD-PowerShell

Per trovare ed eliminare DNS gli alias esistenti nell'SPNsoggetto informatico Active Directory del file system originale

Se avete SPNs configurato l'DNSalias che avete assegnato a un altro file system su un oggetto computer in Active Directory, dovete prima rimuoverlo SPNs prima di aggiungerlo SPNs all'oggetto computer del vostro file system.

1. Trovate quelli esistenti utilizzando i seguenti comandi. SPNs Sostituisci alias_fqdn con l'DNSalias associato al file system nel passaggio 1.

   ## Find SPNs for original file system's AD computer object
   $ALIAS = "alias_fqdn"
   SetSPN /Q ("HOST/" + $ALIAS)
   SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

2. Eliminare l'esistente HOST SPNs restituito nel passaggio precedente utilizzando lo script di esempio seguente.

   • Sostituiscilo alias_fqdn con l'DNSalias completo associato al file system nel passaggio 1.

   • Sostituire file_system_DNS_name con il DNS nome del file system originale.

   ## Delete SPNs for original file system's AD computer object
   $Alias = "alias_fqdn"
   $FileSystemDnsName = "file_system_dns_name"
   $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
   $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
   
   SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
   SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name
   

3. Ripeti i passaggi precedenti per ogni DNS alias associato al file system nel passaggio 1.

Da impostare SPNs sull'oggetto informatico Active Directory del tuo FSx file system Amazon

1. Imposta SPNs un nuovo FSx file system Amazon eseguendo i seguenti comandi.

   • Sostituisci file_system_DNS_name con il DNS nome FSx assegnato da Amazon al file system.

     Per trovare il DNS nome del tuo file system sulla FSx console Amazon, scegli File system, scegli il tuo file system, quindi scegli il pannello Rete e sicurezza nella pagina dei dettagli del file system.

     Puoi anche ottenere il DNS nome nella risposta dell'DescribeFileSystemsAPIoperazione.

   • Sostituisci alias_fqdn con l'DNSalias completo associato al file system nel passaggio 1.

   ## Set SPNs for FSx file system AD computer object
   $FSxDnsName = "file_system_DNS_name"
   $Alias = "alias_fqdn"
   $FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
   $FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)
   
   ##Use one of the following commands, not both:
   Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
   ##Or
   SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
   SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name

   Nota

   L'impostazione di un SPN per il tuo FSx file system Amazon avrà esito negativo se nell'AD esiste un SPN DNS alias per l'oggetto computer del file system originale. Per informazioni su come trovare ed eliminare elementi esistentiSPNs, consulta. Per trovare ed eliminare DNS gli alias esistenti nell'SPNsoggetto informatico Active Directory del file system originale

2. Verificate che i nuovi SPNs siano configurati per l'DNSalias utilizzando lo script di esempio seguente. Assicuratevi che la risposta ne includa due HOST/alias e HOST SPNsHOST/alias_fqdn, come descritto in precedenza in questa procedura.

   Sostituiscilo file_system_DNS_name con il DNS nome FSx assegnato da Amazon al tuo file system. Per trovare il DNS nome del tuo file system sulla FSx console Amazon, scegli File system, scegli il tuo file system, quindi scegli il pannello Rete e sicurezza nella pagina dei dettagli del file system.

   Puoi anche ottenere il DNS nome nella risposta dell'DescribeFileSystemsAPIoperazione.

   ## Verify SPNs on FSx file system AD computer object
   $FileSystemDnsName = "file_system_dns_name"
   $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
   $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
   SetSpn /L ${FSxAdComputer}.Name

3. Ripeti i passaggi precedenti per ogni DNS alias associato al file system nel passaggio 1.