Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration des noms principaux de service (SPN) pour Kerberos
Nous vous recommandons Kerberos-based d'utiliser l'authentification et le chiffrement lors du transfert avec Amazon FSx. Kerberos fournit l'authentification la plus sécurisée pour les clients qui accèdent à votre système de fichiers.
Pour activer l'authentification Kerberos pour les clients qui accèdent à Amazon FSx à l'aide d'un alias DNS, vous devez ajouter des noms principaux de service (SPN) correspondant à l'alias DNS sur l'objet informatique Active Directory de votre système de fichiers Amazon FSx. Un SPN ne peut être associé qu'à un seul objet informatique Active Directory à la fois. Si vous avez déjà configuré des SPN pour le nom DNS pour l'objet informatique Active Directory de votre système de fichiers d'origine, vous devez d'abord les supprimer.
Deux SPN sont requis pour l'authentification Kerberos :
HOST/aliasHOST/alias.domain
Si l'alias est le casfinance.domain.com, les deux SPN requis sont les suivants :
HOST/finance HOST/finance.domain.com
Note
Vous devez supprimer tous les SPN HOST existants correspondant à l'alias DNS sur l'objet informatique Active Directory avant de créer de nouveaux SPN HOST pour l'objet informatique Active Directory (AD) de votre système de fichiers Amazon FSx. Les tentatives de définition de SPN pour votre système de fichiers Amazon FSx échoueront si un SPN pour l'alias DNS existe dans l'AD.
Les procédures suivantes décrivent comment effectuer les opérations suivantes :
Recherchez tous les noms SPN d'alias DNS existants sur l'objet informatique Active Directory du système de fichiers d'origine.
Supprimez les SPN existants trouvés, le cas échéant.
Créez de nouveaux alias DNS SPN pour l'objet informatique Active Directory de votre système de fichiers Amazon FSx.
Pour installer le module PowerShell Active Directory requis
-
Connectez-vous à une instance Windows jointe à l'Active Directory auquel votre système de fichiers Amazon FSx est joint.
Ouvrez PowerShell en tant qu'administrateur.
Installez le module PowerShell Active Directory à l'aide de la commande suivante.
Install-WindowsFeature RSAT-AD-PowerShell
Pour rechercher et supprimer des alias DNS SPN existants sur l'objet informatique Active Directory du système de fichiers d'origine
Si vous avez configuré des SPN pour l'alias DNS que vous avez attribué à un autre système de fichiers sur un objet informatique de votre Active Directory, vous devez d'abord supprimer ces SPN avant d'ajouter des SPN à l'objet informatique de votre système de fichiers.
Trouvez tous les SPN existants à l'aide des commandes suivantes.
alias_fqdn## Find SPNs for original file system's AD computer object $ALIAS = "alias_fqdn" SetSPN /Q ("HOST/" + $ALIAS) SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])Supprimez les SPN HOST existants renvoyés à l'étape précédente à l'aide de l'exemple de script suivant.
alias_fqdnfile_system_DNS_name
## Delete SPNs for original file system's AD computer object $Alias = "alias_fqdn" $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name-
Répétez les étapes précédentes pour chaque alias DNS que vous avez associé au système de fichiers à l'étape 1.
Pour définir des SPN sur l'objet informatique Active Directory de votre système de fichiers Amazon FSx
Définissez de nouveaux SPN pour votre système de fichiers Amazon FSx en exécutant les commandes suivantes.
file_system_DNS_namePour trouver le nom DNS de votre système de fichiers sur la console Amazon FSx, choisissez Systèmes de fichiers, choisissez votre système de fichiers, puis choisissez le volet Réseau et sécurité sur la page de détails du système de fichiers.
Vous pouvez également obtenir le nom DNS dans la réponse de l'opération d'DescribeFileSystemsAPI.
alias_fqdn
## Set SPNs for FSx file system AD computer object $FSxDnsName = "file_system_DNS_name" $Alias = "alias_fqdn" $FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost) ##Use the following command to set both the full FQDN and Alias SPNs Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname" = @($Alias, $Alias.Split(".")[0])}Note
La définition d'un SPN pour votre système de fichiers Amazon FSx échouera si un SPN pour l'alias DNS existe dans l'AD pour l'objet informatique du système de fichiers d'origine. Pour plus d'informations sur la recherche et la suppression de SPN existants, consultezPour rechercher et supprimer des alias DNS SPN existants sur l'objet informatique Active Directory du système de fichiers d'origine.
-
Vérifiez que les nouveaux SPN sont configurés pour l'alias DNS à l'aide de l'exemple de script suivant. Assurez-vous que la réponse inclut deux SPN HOST
HOST/etaliasHOST/, comme décrit précédemment dans cette procédure.alias_fqdnfile_system_DNS_nameVous pouvez également obtenir le nom DNS dans la réponse de l'opération d'DescribeFileSystemsAPI.
## Verify SPNs on FSx file system AD computer object $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSpn /L ${FSxAdComputer}.Name -
Répétez les étapes précédentes pour chaque alias DNS que vous avez associé au système de fichiers à l'étape 1.