Crear archivos keytab para autenticación SMB
A partir de ONTAP 9.7, ONTAP admite la autenticación de SVM con servidores Active Directory (AD) mediante archivos keytab. Los administradores DE AD generan un archivo keytab y lo ponen a disposición de los administradores de ONTAP como un identificador uniforme de recursos (URI), que se proporciona cuando vserver cifs
Los comandos requieren autenticación Kerberos con el dominio AD.
Los administradores DE AD pueden crear los archivos keytab utilizando el servidor estándar de Windows ktpass
comando. El comando debe ejecutarse en el dominio principal donde la autenticación es necesaria. La ktpass
el comando se puede utilizar para generar archivos keytab sólo para usuarios de dominio principal; las claves generadas con usuarios de dominio de confianza no son compatibles.
Los archivos keytab se generan para usuarios específicos de administrador de ONTAP. Siempre que la contraseña del usuario administrador no cambie, las claves generadas para el tipo de cifrado específico y el dominio no cambiarán. Por lo tanto, se requiere un nuevo archivo keytab cada vez que se cambia la contraseña del usuario admin.
Se admiten los siguientes tipos de cifrado:
-
AES256-SHA1
-
DES-CBC-MD5
ONTAP no admite el tipo de cifrado DES-CBC-CRC.
-
RC4-HMAC
AES256 es el tipo de cifrado más alto y se debe utilizar si está activado en el sistema ONTAP.
Los archivos keytab se pueden generar especificando la contraseña de administrador o mediante una contraseña generada aleatoriamente. Sin embargo, en cualquier momento sólo se puede utilizar una opción de contraseña, ya que en el servidor AD se necesita una clave privada específica para el usuario administrador para descifrar las claves del archivo keytab. Cualquier cambio en la clave privada de un administrador específico anulará el archivo keytab.