As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar nomes de entidade principal de serviço (SPNs) para o Kerberos
Recomendamos que você use autenticação e criptografia baseadas no Kerberos em trânsito com o Amazon FSx. O Kerberos oferece a autenticação mais segura para clientes que acessam o sistema de arquivos.
Para ativar a autenticação de Kerberos para clientes que acessam o Amazon FSx usando um alias de DNS, você deve adicionar nomes das entidades principais de serviço (SPNs) que correspondam ao alias de DNS no objeto de computador do Active Directory do sistema de arquivos do Amazon FSx. Um SPN só pode ser associado a um único objeto de computador do Active Directory de cada vez. Se você tiver SPNs existentes para o nome DNS configurado para o objeto de computador do Active Directory do sistema de arquivos original, será necessário excluí-los primeiro.
Há dois SPNs necessários para a autenticação de Kerberos:
HOST/aliasHOST/alias.domain
Se o alias for finance.domain.com, os dois SPNs necessários são os seguintes:
HOST/finance HOST/finance.domain.com
nota
Você precisará excluir todos os SPNs HOST existentes que correspondam ao alias de DNS no objeto de computador do Active Directory antes de criar novos SPNs HOST para o objeto de computador do Active Directory (AD) do sistema de arquivos do Amazon FSx. As tentativas de definir SPNs para seu sistema de arquivos do Amazon FSx falharão se existir um SPN para o alias de DNS no AD.
Os procedimentos apresentados abaixo descrevem como fazer o seguinte:
Localize todos os SPNs de alias de DNS existentes no objeto de computador do Active Directory do sistema de arquivos original.
Exclua os SPNs existentes encontrados, se houver.
Crie novos SPNs de alias de DNS para o objeto de computador do Active Directory do seu sistema de arquivos do Amazon FSx.
Instalar o módulo Active Directory para PowerShell necessário
-
Faça logon em uma instância do Windows associada ao Active Directory ao qual seu sistema de arquivos do Amazon FSx está associado.
Abra o PowerShell como administrador.
Instale o módulo Active Directory para PowerShell usando o comando a seguir.
Install-WindowsFeature RSAT-AD-PowerShell
Encontrar e excluir SPNs de alias de DNS atuais no objeto de computador do Active Directory do sistema de arquivos original
Se você tiver SPNs configurados para o alias de DNS que você atribuiu a outro sistema de arquivos em um objeto de computador no Active Directory, primeiro remova esses SPNs antes de adicionar SPNs ao objeto de computador do sistema de arquivos.
Encontre todos os SPNs atuais usando os comandos a seguir. Substitua
alias_fqdn## Find SPNs for original file system's AD computer object $ALIAS = "alias_fqdn" SetSPN /Q ("HOST/" + $ALIAS) SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])Exclua os SPNs HOST atuais retornados na etapa anterior usando o exemplo de script a seguir.
Substitua
alias_fqdnSubstitua
file_system_DNS_name
## Delete SPNs for original file system's AD computer object $Alias = "alias_fqdn" $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name-
Repita as etapas anteriores para cada alias de DNS que você associou ao sistema de arquivos na Etapa 1.
Definir SPNs no objeto de computador do Active Directory do sistema de arquivos do Amazon FSx
Defina novos SPNs para o sistema de arquivos do Amazon FSx executando os comandos a seguir.
Substitua
file_system_DNS_namePara encontrar o nome DNS do sistema de arquivos no console do Amazon FSx, escolha Sistemas de arquivos, escolha o sistema de arquivos e, em seguida, escolha o painel Rede e segurança na página de detalhes do sistema de arquivos.
Você também pode obter o nome DNS na resposta da operação da API DescribeFileSystems.
Substitua
alias_fqdn
## Set SPNs for FSx file system AD computer object $FSxDnsName = "file_system_DNS_name" $Alias = "alias_fqdn" $FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost) ##Use the following command to set both the full FQDN and Alias SPNs Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname" = @($Alias, $Alias.Split(".")[0])}nota
A configuração de um SPN para o sistema de arquivos do Amazon FSx apresentará falha se existir um SPN para o alias de DNS no AD do objeto de computador do sistema de arquivos original. Para obter informações sobre como encontrar e excluir SPNs atuais, consulte Encontrar e excluir SPNs de alias de DNS atuais no objeto de computador do Active Directory do sistema de arquivos original.
-
Verifique se os novos SPNs estão configurados para o alias de DNS usando o exemplo de script a seguir. Certifique-se de que a resposta inclua dois SPNs HOST,
HOST/ealiasHOST/, conforme descrito anteriormente neste procedimento.alias_fqdnSubstitua
file_system_DNS_nameVocê também pode obter o nome DNS na resposta da operação da API DescribeFileSystems.
## Verify SPNs on FSx file system AD computer object $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSpn /L ${FSxAdComputer}.Name -
Repita as etapas anteriores para cada alias de DNS que você associou ao sistema de arquivos na Etapa 1.
