Notas de la versión
Configurar la información general de acceso al controlador de dominio de Active Directory
Sugerir cambios
-
PDF de este sitio de documentos
-
Administración de clústeres
-
Administración de volúmenes
-
Gestión de almacenamiento lógico con CLI
-
Utilice cuotas para restringir o realizar un seguimiento del uso de los recursos
-
-
-
Gestión del almacenamiento nas
-
Configure NFS con la CLI
-
Gestione NFS con la interfaz de línea de comandos
-
Gestione SMB con la interfaz de línea de comandos
-
Gestione servidores SMB
-
Gestione el acceso a archivos mediante SMB
-
-
-
Gestión del almacenamiento san
-
Autenticación y control de acceso
-
Seguridad y cifrado de datos
-
Protección de datos y recuperación ante desastres
-
Recopilación de documentos PDF independientes
Creating your file...
Para poder acceder a la SVM, es necesario configurar el acceso de la controladora de dominio de AD al clúster o a la SVM. Si ya ha configurado un servidor SMB para una SVM de datos, puede configurar la SVM como puerta de enlace, o tunnel, para el acceso de AD al clúster. Si no configuró un servidor SMB, puede crear una cuenta de equipo para la SVM en el dominio de AD.
ONTAP admite los siguientes servicios de autenticación de controladores de dominio:
-
Kerberos
-
LDAP
-
Netlogon
-
Autoridad de seguridad local (LSA)
ONTAP admite los siguientes algoritmos de clave de sesión para conexiones seguras de Netlogon:
Algoritmo de clave de sesión |
Disponible empezando por… |
HMAC-SHA256, basado en el estándar de cifrado avanzado (AES) Si el clúster ejecuta ONTAP 9.9.1 o una versión anterior y el controlador de dominio aplica AES para los servicios seguros de Netlogon, la conexión falla. En este caso, debe reconfigurar el controlador de dominio para aceptar conexiones de clave fuerte con ONTAP. |
ONTAP 9.10.1 |
DES y HMAC-MD5 (cuando se establece la clave fuerte) |
Todas las versiones de ONTAP 9 |
Si desea utilizar claves de sesión AES durante la creación de canal seguro Netlogon, debe verificar que AES esté habilitado en su SVM.
-
A partir de ONTAP 9.14.1, AES se habilita de forma predeterminada cuando crea una SVM y no necesita modificar la configuración de seguridad de su SVM para utilizar las claves de sesión AES durante la establecimiento de canal seguro Netlogon.
-
En ONTAP 9.10.1 a 9.13.1, AES se deshabilita de forma predeterminada al crear una SVM. Debe habilitar AES mediante el siguiente comando:
cifs security modify -vserver vs1 -aes-enabled-for-netlogon-channel true
|
Cuando se actualice a ONTAP 9.14.1 o una versión posterior, la configuración de AES para las SVM existentes creadas con versiones de ONTAP anteriores no cambiará automáticamente. Aún debe actualizar el valor de esta configuración para habilitar AES en esas SVM. |
Configure un túnel de autenticación
Si ya ha configurado un servidor SMB para una SVM de datos, puede usar el security login domain-tunnel create Comando para configurar la SVM como puerta de enlace, o tunnel, para obtener acceso AD al clúster.
-
Debe haber configurado un servidor SMB para una SVM de datos.
-
Debe haber habilitado una cuenta de usuario de dominio de AD para acceder a la SVM de administrador para el clúster.
-
Para realizar esta tarea, debe ser un administrador de clústeres.
A partir de ONTAP 9.10.1, si tiene una puerta de enlace SVM (túnel de dominio) para acceso AD, puede usar Kerberos para autenticación de administrador si ha deshabilitado NTLM en el dominio de AD. En versiones anteriores, Kerberos no era compatible con la autenticación de administrador para puertas de enlace de SVM. Esta funcionalidad está disponible de forma predeterminada; no se requiere configuración.
|
|
La autenticación Kerberos siempre se intenta primero. En caso de error, se intenta la autenticación NTLM. |
-
Configure una SVM de datos habilitada para SMB como túnel de autenticación para el acceso de la controladora de dominio AD al clúster:
security login domain-tunnel create -vserver svm_namePara obtener una sintaxis completa del comando, consulte "hoja de trabajo".
La SVM debe estar en ejecución para que el usuario se autentique.
El siguiente comando configura la SVM de datos habilitada para SMB como túnel de autenticación.
cluster1::>security login domain-tunnel create -vserver engData
Cree una cuenta de equipo SVM en el dominio
Si no ha configurado un servidor SMB para una SVM de datos, puede usar el vserver active-directory create Comando para crear una cuenta de equipo para la SVM en el dominio.
Después de introducir el vserver active-directory create Se le pedirá que proporcione las credenciales de una cuenta de usuario de AD con privilegios suficientes para agregar equipos a la unidad organizativa especificada en el dominio. La contraseña de la cuenta no puede estar vacía.
Debe ser un administrador de clúster o de SVM para ejecutar esta tarea.
-
Cree una cuenta de equipo para una SVM en el dominio de AD:
vserver active-directory create -vserver SVM_name -account-name NetBIOS_account_name -domain domain -ou organizational_unitPara obtener una sintaxis completa del comando, consulte "hoja de trabajo".
El siguiente comando crea una cuenta de computadora llamada ‘ADSERVER1' en el dominio ‘example.com`" para SVM '`engData'. Se le pedirá que introduzca las credenciales de cuenta de usuario de AD después de introducir el comando.
cluster1::>vserver active-directory create -vserver engData -account-name ADSERVER1 -domain example.com In order to create an Active Directory machine account, you must supply the name and password of a Windows account with sufficient privileges to add computers to the "CN=Computers" container within the "example.com" domain. Enter the user name: Administrator Enter the password: