Erstellen von Keytab-Dateien für die SMB-Authentifizierung
Änderungen vorschlagen
PDFs
Ab ONTAP 9.7 unterstützt ONTAP die SVM-Authentifizierung mit Active Directory (AD) Servern unter Verwendung von Keytab-Dateien. AD-Administratoren generieren eine Keytab-Datei und stellen sie ONTAP-Administratoren als einheitliche Ressourcenkennung (URI) zur Verfügung, die bereitgestellt wird, wenn vserver cifs Befehle eine Kerberos-Authentifizierung mit der AD-Domäne erfordern.
AD-Administratoren können die Keytab-Dateien mit dem Standardbefehl Windows Server erstellen ktpass. Der Befehl sollte in der primären Domäne ausgeführt werden, in der eine Authentifizierung erforderlich ist. Der ktpass Befehl kann verwendet werden, um Keytab-Dateien nur für primäre Domänenbenutzer zu generieren; Schlüssel, die mit vertrauenswürdigen Domänenbenutzern generiert werden, werden nicht unterstützt.
Keytab-Dateien werden für bestimmte ONTAP Admin-Benutzer generiert. Solange sich das Passwort des Admin-Benutzers nicht ändert, ändern sich die für den jeweiligen Verschlüsselungstyp und die Domäne generierten Schlüssel nicht. Daher ist immer dann eine neue Keytab-Datei erforderlich, wenn das Passwort des Admin-Benutzers geändert wird.
Folgende Verschlüsselungstypen werden unterstützt:
-
AES256-SHA1
-
DES-CBC-MD5
ONTAP unterstützt den Verschlüsselungstyp DES-CBC-CRC nicht.
-
RC4-HMAC
AES256 ist der höchste Verschlüsselungstyp und sollte verwendet werden, wenn diese auf dem ONTAP-System aktiviert ist.
Keytab-Dateien können entweder durch Angabe des Admin-Passworts oder durch die Verwendung eines zufällig generierten Passworts generiert werden. Allerdings kann zu einem bestimmten Zeitpunkt nur eine Kennwortoption verwendet werden, da ein privater Schlüssel, der für den Admin-Benutzer spezifisch ist, auf dem AD-Server zum Entschlüsseln der Schlüssel in der Keytab-Datei benötigt wird. Jede Änderung des privaten Schlüssels für einen bestimmten Administrator wird die Keytab-Datei ungültig.