Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configure el acceso de la controladora de dominio de Active Directory en ONTAP

Colaboradores
PDF

Para poder acceder a la SVM, es necesario configurar el acceso de la controladora de dominio de AD al clúster o a la SVM. Si ya ha configurado un servidor SMB para una SVM de datos, puede configurar la SVM como puerta de enlace, o tunnel, para el acceso de AD al clúster. Si no configuró un servidor SMB, puede crear una cuenta de equipo para la SVM en el dominio de AD.

ONTAP admite los siguientes servicios de autenticación de controladores de dominio:

  • Kerberos

  • LDAP

  • Netlogon

  • Autoridad de seguridad local (LSA)

ONTAP admite los siguientes algoritmos de clave de sesión para conexiones seguras de Netlogon:

Algoritmo de clave de sesión

Disponible empezando por…​

HMAC-SHA256, basado en el estándar de cifrado avanzado (AES) Si el clúster ejecuta ONTAP 9.9,1 o anterior y el controlador de dominio aplica AES para los servicios seguros de Netlogon, la conexión falla. En este caso, debe reconfigurar el controlador de dominio para aceptar conexiones de clave fuerte con ONTAP.

ONTAP 9.10.1

DES y HMAC-MD5 (cuando se establece la clave fuerte)

Todas las versiones de ONTAP 9

Si desea utilizar claves de sesión AES durante la creación de canal seguro Netlogon, debe verificar que AES esté habilitado en su SVM.

  • A partir de ONTAP 9.14.1, AES se habilita de forma predeterminada cuando crea una SVM y no necesita modificar la configuración de seguridad de su SVM para utilizar las claves de sesión AES durante la establecimiento de canal seguro Netlogon.

  • En ONTAP 9.10.1 a 9.13.1, AES se deshabilita de forma predeterminada al crear una SVM. Debe habilitar AES mediante el siguiente comando:

    cifs security modify -vserver vs1 -aes-enabled-for-netlogon-channel true
Nota Cuando se actualice a ONTAP 9.14.1 o una versión posterior, la configuración de AES para las SVM existentes creadas con versiones de ONTAP anteriores no cambiará automáticamente. Aún debe actualizar el valor de esta configuración para habilitar AES en esas SVM.

Configure un túnel de autenticación

Si ya ha configurado un servidor SMB para una SVM de datos, puede usar security login domain-tunnel create el comando para configurar la SVM como puerta de enlace, o tunnel, para el acceso de AD al clúster.

Antes de ONTAP 9.16.1, debe usar un túnel de autenticación para gestionar cuentas de administrador de clústeres con AD.

Antes de empezar

  • Debe haber configurado un servidor SMB para una SVM de datos.

  • Debe haber habilitado una cuenta de usuario de dominio de AD para acceder a la SVM de administrador para el clúster.

  • Para realizar esta tarea, debe ser un administrador de clústeres.

A partir de ONTAP 9.10.1, si tiene una puerta de enlace SVM (túnel de dominio) para acceso AD, puede usar Kerberos para autenticación de administrador si ha deshabilitado NTLM en el dominio de AD. En versiones anteriores, Kerberos no era compatible con la autenticación de administrador para puertas de enlace de SVM. Esta funcionalidad está disponible de forma predeterminada; no se requiere configuración.

Nota La autenticación Kerberos siempre se intenta primero. En caso de error, se intenta la autenticación NTLM.
Pasos

  1. Configure una SVM de datos habilitada para SMB como túnel de autenticación para el acceso de la controladora de dominio AD al clúster:

    security login domain-tunnel create -vserver <svm_name>

    Obtenga más información sobre security login domain-tunnel create en el "Referencia de comandos del ONTAP".

    Nota

    La SVM debe estar en ejecución para que el usuario se autentique.

    El siguiente comando configura la SVM de datos habilitada para SMB engData como túnel de autenticación.

    cluster1::>security login domain-tunnel create -vserver engData

Cree una cuenta de equipo SVM en el dominio

Si no configuró un servidor SMB para una SVM de datos, puede usar vserver active-directory create el comando para crear una cuenta de equipo para la SVM en el dominio.

Acerca de esta tarea

Después de introducir el vserver active-directory create comando, se le pedirá que proporcione las credenciales de una cuenta de usuario de AD con suficiente Privileges para agregar equipos a la unidad organizativa especificada en el dominio. La contraseña de la cuenta no puede estar vacía.

A partir de ONTAP 9.16.1, puede usar este procedimiento para gestionar cuentas de administrador de clúster con AD.

Antes de empezar

Debe ser un administrador de clúster o de SVM para ejecutar esta tarea.

Pasos

  1. Cree una cuenta de equipo para una SVM en el dominio de AD:

    vserver active-directory create -vserver <SVM_name> -account-name <NetBIOS_account_name> -domain <domain> -ou <organizational_unit>

    A partir de ONTAP 9.16.1, -vserver el parámetro acepta la SVM admin. Obtenga más información sobre vserver active-directory create en el "Referencia de comandos del ONTAP".

    El siguiente comando crea una cuenta de equipo denominada ADSERVER1 en el dominio example.com para SVM engData. Se le pedirá que introduzca las credenciales de cuenta de usuario de AD después de introducir el comando.

    cluster1::>vserver active-directory create -vserver engData -account-name ADSERVER1 -domain example.com

In order to create an Active Directory machine account, you must supply the name and password of a Windows account with sufficient privileges to add computers to the "CN=Computers" container within the "example.com" domain.

Enter the user name: Administrator

Enter the password: