As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar nomes principais de serviço (SPNs) para Kerberos
Recomendamos que você use autenticação e criptografia baseadas em Kerberos em trânsito com a Amazon. FSx O Kerberos oferece a autenticação mais segura para clientes que acessam o sistema de arquivos.
Para habilitar a autenticação Kerberos para clientes que acessam a Amazon FSx usando um DNS alias, você deve adicionar nomes principais de serviço (SPNs) que correspondam ao DNS alias no objeto de computador do Active Directory do seu sistema de FSx arquivos Amazon. Um só SPN pode ser associado a um único objeto de computador do Active Directory por vez. Se você já tiver o DNS nome configurado SPNs para o objeto de computador do Active Directory do seu sistema de arquivos original, você deverá excluí-lo primeiro.
Há dois requisitos SPNs para a autenticação Kerberos:
HOST/aliasHOST/alias.domain
Se o alias forfinance.domain.com, os dois a seguir são obrigatóriosSPNs:
HOST/finance HOST/finance.domain.com
nota
Você precisará excluir qualquer objeto existente HOST SPNs que corresponda ao DNS alias no objeto de computador do Active Directory antes de criar um novo objeto HOST SPNs de computador do Active Directory (AD) do seu sistema de FSx arquivos Amazon. As tentativas de configuração SPNs para seu sistema de FSx arquivos da Amazon falharão se existir um SPN para o DNS alias no AD.
Os procedimentos apresentados abaixo descrevem como fazer o seguinte:
Encontre qualquer DNS alias existente SPNs no objeto de computador do Active Directory do sistema de arquivos original.
Exclua o SPNs encontrado existente, se houver.
Crie um novo DNS alias SPNs para o objeto de computador do Active Directory do seu sistema de FSx arquivos Amazon.
Para instalar o módulo necessário do PowerShell Active Directory
-
Faça login em uma instância do Windows associada ao Active Directory ao qual seu sistema de FSx arquivos da Amazon está associado.
Abra PowerShell como administrador.
Instale o módulo do PowerShell Active Directory usando o comando a seguir.
Install-WindowsFeature RSAT-AD-PowerShell
Para localizar e excluir o DNS alias existente SPNs no objeto de computador do Active Directory do sistema de arquivos original
Se você SPNs configurou o DNS alias que atribuiu a outro sistema de arquivos em um objeto de computador no Active Directory, você deve primeiro removê-lo SPNs antes de adicioná-lo SPNs ao objeto de computador do seu sistema de arquivos.
Encontre qualquer existente SPNs usando os comandos a seguir.
alias_fqdn## Find SPNs for original file system's AD computer object $ALIAS = "alias_fqdn" SetSPN /Q ("HOST/" + $ALIAS) SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])Exclua o existente HOST SPNs retornado na etapa anterior usando o script de exemplo a seguir.
alias_fqdnfile_system_DNS_name
## Delete SPNs for original file system's AD computer object $Alias = "alias_fqdn" $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name-
Repita as etapas anteriores para cada DNS alias que você associou ao sistema de arquivos na Etapa 1.
Para configurar SPNs no objeto de computador do Active Directory do seu sistema de FSx arquivos Amazon
Defina um novo SPNs para seu sistema de FSx arquivos da Amazon executando os seguintes comandos.
file_system_DNS_namePara encontrar o DNS nome do seu sistema de arquivos no FSx console da Amazon, escolha Sistemas de arquivos, escolha seu sistema de arquivos e, em seguida, escolha o painel Rede e segurança na página de detalhes do sistema de arquivos.
Você também pode obter o DNS nome na resposta da DescribeFileSystemsAPIoperação.
alias_fqdn
## Set SPNs for FSx file system AD computer object $FSxDnsName = "file_system_DNS_name" $Alias = "alias_fqdn" $FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost) ##Use one of the following commands, not both: Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"} ##Or SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Namenota
A configuração de um SPN para o sistema de FSx arquivos da Amazon falhará se existir um SPN para o DNS alias no AD para o objeto de computador do sistema de arquivos original. Para obter informações sobre como encontrar e excluir os existentesSPNs, consultePara localizar e excluir o DNS alias existente SPNs no objeto de computador do Active Directory do sistema de arquivos original.
-
Verifique se os novos SPNs estão configurados para o DNS alias usando o script de exemplo a seguir. Certifique-se de que a resposta inclua dois
HOST/e HOST SPNsaliasHOST/, conforme descrito anteriormente neste procedimento.alias_fqdnfile_system_DNS_nameVocê também pode obter o DNS nome na resposta da DescribeFileSystemsAPIoperação.
## Verify SPNs on FSx file system AD computer object $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSpn /L ${FSxAdComputer}.Name -
Repita as etapas anteriores para cada DNS alias que você associou ao sistema de arquivos na Etapa 1.
