Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurer les noms principaux des services (SPNs) pour Kerberos
Nous vous recommandons d'utiliser l'authentification et le chiffrement basés sur Kerberos lors du transport avec Amazon. FSx Kerberos fournit l'authentification la plus sécurisée pour les clients qui accèdent à votre système de fichiers.
Pour activer l'authentification Kerberos pour les clients qui accèdent à Amazon FSx via un DNS alias, vous devez ajouter les noms principaux de service (SPNs) correspondant à l'DNSalias sur l'objet informatique Active Directory de votre système de FSx fichiers Amazon. Un ne SPN peut être associé qu'à un seul objet informatique Active Directory à la fois. Si le DNS nom existant est configuré SPNs pour l'objet informatique Active Directory de votre système de fichiers d'origine, vous devez d'abord les supprimer.
Deux conditions sont requises SPNs pour l'authentification Kerberos :
HOST/aliasHOST/alias.domain
Si l'alias est le casfinance.domain.com, les deux éléments suivants sont requis SPNs :
HOST/finance HOST/finance.domain.com
Note
Vous devez supprimer tout objet existant HOST SPNs correspondant à l'DNSalias sur l'objet informatique Active Directory avant d'en créer un nouveau HOST SPNs pour l'objet informatique Active Directory (AD) de votre système de FSx fichiers Amazon. Les tentatives de configuration SPNs de votre système de FSx fichiers Amazon échoueront si un SPN DNS alias existe dans l'AD.
Les procédures suivantes décrivent comment effectuer les opérations suivantes :
Recherchez un DNS alias existant SPNs sur l'objet informatique Active Directory du système de fichiers d'origine.
Supprimez le fichier SPNs trouvé existant, le cas échéant.
Créez un nouvel DNS alias SPNs pour l'objet informatique Active Directory de votre système de FSx fichiers Amazon.
Pour installer le module PowerShell Active Directory requis
-
Connectez-vous à une instance Windows jointe à l'Active Directory auquel votre système de FSx fichiers Amazon est joint.
Ouvrez PowerShell en tant qu'administrateur.
Installez le module PowerShell Active Directory à l'aide de la commande suivante.
Install-WindowsFeature RSAT-AD-PowerShell
Pour rechercher et supprimer un DNS alias existant SPNs sur l'objet informatique Active Directory du système de fichiers d'origine
Si vous avez configuré SPNs l'DNSalias que vous avez attribué à un autre système de fichiers sur un objet informatique de votre Active Directory, vous devez d'abord le supprimer SPNs avant de l'ajouter SPNs à l'objet ordinateur de votre système de fichiers.
Trouvez-en un existant SPNs à l'aide des commandes suivantes.
alias_fqdn## Find SPNs for original file system's AD computer object $ALIAS = "alias_fqdn" SetSPN /Q ("HOST/" + $ALIAS) SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])Supprimez l'existant HOST SPNs renvoyé à l'étape précédente à l'aide de l'exemple de script suivant.
alias_fqdnRemplacez
file_system_DNS_name
## Delete SPNs for original file system's AD computer object $Alias = "alias_fqdn" $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name-
Répétez les étapes précédentes pour chaque DNS alias que vous avez associé au système de fichiers à l'étape 1.
Pour définir SPNs l'objet informatique Active Directory de votre système de FSx fichiers Amazon
Définissez une nouvelle configuration SPNs pour votre système de FSx fichiers Amazon en exécutant les commandes suivantes.
file_system_DNS_namePour trouver le DNS nom de votre système de fichiers sur la FSx console Amazon, choisissez Systèmes de fichiers, choisissez votre système de fichiers, puis choisissez le volet Réseau et sécurité sur la page de détails du système de fichiers.
Vous pouvez également obtenir le DNS nom dans la réponse de l'DescribeFileSystemsAPIopération.
alias_fqdn
## Set SPNs for FSx file system AD computer object $FSxDnsName = "file_system_DNS_name" $Alias = "alias_fqdn" $FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost) ##Use one of the following commands, not both: Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"} ##Or SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.NameNote
La définition d'un SPN pour votre système de FSx fichiers Amazon échouera si un SPN DNS alias existe dans l'AD pour l'objet informatique du système de fichiers d'origine. Pour plus d'informations sur la recherche et la suppression d'un SPNs fichier existant, consultezPour rechercher et supprimer un DNS alias existant SPNs sur l'objet informatique Active Directory du système de fichiers d'origine.
-
Vérifiez que les nouveaux SPNs sont configurés pour l'DNSalias à l'aide de l'exemple de script suivant. Assurez-vous que la réponse inclut deux HOSTSPNs,
HOST/etaliasHOST/, comme décrit précédemment dans cette procédure.alias_fqdnfile_system_DNS_nameVous pouvez également obtenir le DNS nom dans la réponse de l'DescribeFileSystemsAPIopération.
## Verify SPNs on FSx file system AD computer object $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSpn /L ${FSxAdComputer}.Name -
Répétez les étapes précédentes pour chaque DNS alias que vous avez associé au système de fichiers à l'étape 1.
