Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar la información general de acceso al controlador de dominio de Active Directory

Colaboradores

Para poder acceder a la SVM, es necesario configurar el acceso de la controladora de dominio de AD al clúster o a la SVM. Si ya ha configurado un servidor SMB para una SVM de datos, puede configurar la SVM como puerta de enlace, o tunnel, para el acceso de AD al clúster. Si no configuró un servidor SMB, puede crear una cuenta de equipo para la SVM en el dominio de AD.

ONTAP admite los siguientes servicios de autenticación de controladores de dominio:

  • Kerberos

  • LDAP

  • Netlogon

  • Autoridad de seguridad local (LSA)

ONTAP admite los siguientes algoritmos de clave de sesión para conexiones seguras de Netlogon:

Algoritmo de clave de sesión

Disponible empezando por…​

HMAC-SHA256, basado en el estándar de cifrado avanzado (AES)

Si el clúster ejecuta ONTAP 9.9.1 o una versión anterior y el controlador de dominio aplica AES para los servicios seguros de Netlogon, la conexión falla. En este caso, debe reconfigurar el controlador de dominio para aceptar conexiones de clave fuerte con ONTAP.

ONTAP 9.10.1

DES y HMAC-MD5 (cuando se establece la clave fuerte)

Todas las versiones de ONTAP 9

Si desea utilizar claves de sesión AES durante la creación de canal seguro Netlogon, debe verificar que AES esté habilitado en su SVM.

  • A partir de ONTAP 9.14.1, AES se habilita de forma predeterminada cuando crea una SVM y no necesita modificar la configuración de seguridad de su SVM para utilizar las claves de sesión AES durante la establecimiento de canal seguro Netlogon.

  • En ONTAP 9.10.1 a 9.13.1, AES se deshabilita de forma predeterminada al crear una SVM. Debe habilitar AES mediante el siguiente comando:

    cifs security modify -vserver vs1 -aes-enabled-for-netlogon-channel true
Nota Cuando se actualice a ONTAP 9.14.1 o una versión posterior, la configuración de AES para las SVM existentes creadas con versiones de ONTAP anteriores no cambiará automáticamente. Aún debe actualizar el valor de esta configuración para habilitar AES en esas SVM.

Configure un túnel de autenticación

Si ya ha configurado un servidor SMB para una SVM de datos, puede usar el security login domain-tunnel create Comando para configurar la SVM como puerta de enlace, o tunnel, para obtener acceso AD al clúster.

Antes de empezar
  • Debe haber configurado un servidor SMB para una SVM de datos.

  • Debe haber habilitado una cuenta de usuario de dominio de AD para acceder a la SVM de administrador para el clúster.

  • Para realizar esta tarea, debe ser un administrador de clústeres.

A partir de ONTAP 9.10.1, si tiene una puerta de enlace SVM (túnel de dominio) para acceso AD, puede usar Kerberos para autenticación de administrador si ha deshabilitado NTLM en el dominio de AD. En versiones anteriores, Kerberos no era compatible con la autenticación de administrador para puertas de enlace de SVM. Esta funcionalidad está disponible de forma predeterminada; no se requiere configuración.

Nota La autenticación Kerberos siempre se intenta primero. En caso de error, se intenta la autenticación NTLM.
Paso
  1. Configure una SVM de datos habilitada para SMB como túnel de autenticación para el acceso de la controladora de dominio AD al clúster:

    security login domain-tunnel create -vserver svm_name

    Para obtener una sintaxis completa del comando, consulte "hoja de trabajo".

    Nota

    La SVM debe estar en ejecución para que el usuario se autentique.

    El siguiente comando configura la SVM de datos habilitada para SMB como túnel de autenticación.

    cluster1::>security login domain-tunnel create -vserver engData

Cree una cuenta de equipo SVM en el dominio

Si no ha configurado un servidor SMB para una SVM de datos, puede usar el vserver active-directory create Comando para crear una cuenta de equipo para la SVM en el dominio.

Acerca de esta tarea

Después de introducir el vserver active-directory create Se le pedirá que proporcione las credenciales de una cuenta de usuario de AD con privilegios suficientes para agregar equipos a la unidad organizativa especificada en el dominio. La contraseña de la cuenta no puede estar vacía.

Antes de empezar

Debe ser un administrador de clúster o de SVM para ejecutar esta tarea.

Paso
  1. Cree una cuenta de equipo para una SVM en el dominio de AD:

    vserver active-directory create -vserver SVM_name -account-name NetBIOS_account_name -domain domain -ou organizational_unit

    Para obtener una sintaxis completa del comando, consulte "hoja de trabajo".

    El siguiente comando crea una cuenta de computadora llamada ‘ADSERVER1' en el dominio ‘example.com`" para SVM '`engData'. Se le pedirá que introduzca las credenciales de cuenta de usuario de AD después de introducir el comando.

    cluster1::>vserver active-directory create -vserver engData -account-name ADSERVER1 -domain example.com
    
    In order to create an Active Directory machine account, you must supply the name and password of a Windows account with sufficient privileges to add computers to the "CN=Computers" container within the "example.com" domain.
    
    Enter the user name: Administrator
    
    Enter the password: