Présentation de la configuration de l'accès au contrôleur de domaine Active Directory
Vous devez configurer l'accès du contrôleur AD domain au cluster ou au SVM avant qu'un compte AD ne puisse accéder au SVM. Si vous avez déjà configuré un serveur SMB pour un SVM de données, vous pouvez configurer le SVM en tant que passerelle, ou tunnel, pour l'accès AD au cluster. Si vous n'avez pas configuré de serveur SMB, vous pouvez créer un compte ordinateur pour le SVM sur le domaine AD.
ONTAP prend en charge les services d'authentification de contrôleur de domaine suivants :
-
Kerberos
-
LDAP
-
NETLOGON
-
Autorité de sécurité locale (LSA)
ONTAP prend en charge les algorithmes de clé de session suivants pour les connexions Netlogon sécurisées :
Algorithme de clé de session |
Disponible à partir de… |
HMAC-SHA256, basé sur la norme AES (Advanced Encryption Standard) Si votre cluster exécute ONTAP 9.9.1 ou une version antérieure et que votre contrôleur de domaine applique AES pour des services Netlogon sécurisés, la connexion échoue. Dans ce cas, vous devez reconfigurer votre contrôleur de domaine pour accepter les connexions par clé forte avec ONTAP. |
ONTAP 9.10.1 |
DES et HMAC-MD5 (lorsque la clé est réglée) |
Toutes les versions d'ONTAP 9 |
Si vous souhaitez utiliser les clés de session AES lors de l'établissement d'un canal sécurisé Netlogon, vous devez vérifier que AES est activé sur votre SVM.
-
Depuis ONTAP 9.14.1, AES est activé par défaut lorsque vous créez un SVM, et vous n'avez pas besoin de modifier les paramètres de sécurité de votre SVM pour utiliser des clés de session AES lors de l'établissement de canaux sécurisés Netlogon.
-
Dans ONTAP 9.10.1 à 9.13.1, AES est désactivé par défaut lors de la création d'un SVM. Vous devez activer AES à l'aide de la commande suivante :
cifs security modify -vserver vs1 -aes-enabled-for-netlogon-channel true
Lorsque vous effectuez une mise à niveau vers ONTAP 9.14.1 ou une version ultérieure, le paramètre AES des SVM existants créés avec les anciennes versions de ONTAP ne changera pas automatiquement. Vous devez toujours mettre à jour la valeur de ce paramètre pour activer les AES sur ces SVM. |
Configurer un tunnel d'authentification
Si vous avez déjà configuré un serveur SMB pour un SVM de données, vous pouvez utiliser le security login domain-tunnel create
Commande permettant de configurer le SVM en tant que passerelle ou tunnel, pour l'accès AD au cluster.
-
Un serveur SMB doit être configuré pour un SVM de données.
-
Vous devez avoir activé un compte utilisateur AD domain pour accéder au SVM admin pour le cluster.
-
Vous devez être un administrateur de cluster pour effectuer cette tâche.
Depuis ONTAP 9.10.1, si vous disposez d'une passerelle SVM (tunnel du domaine) pour l'accès AD, vous pouvez utiliser Kerberos pour l'authentification admin si vous avez désactivé NTLM dans votre domaine AD. Dans les versions précédentes, Kerberos n'était pas pris en charge par l'authentification admin pour les passerelles SVM. Cette fonctionnalité est disponible par défaut ; aucune configuration n'est requise.
L'authentification Kerberos a toujours été tentée en premier. En cas d'échec, l'authentification NTLM est alors tentée. |
-
Configurer un SVM de données compatible SMB en tant que tunnel d'authentification pour l'accès au contrôleur de domaine AD au cluster :
security login domain-tunnel create -vserver svm_name
Pour connaître la syntaxe complète de la commande, reportez-vous au "feuille de calcul".
Le SVM doit être exécuté pour que l'utilisateur puisse être authentifié.
La commande suivante configure le SVM de données SMB « engData » comme un tunnel d'authentification.
cluster1::>security login domain-tunnel create -vserver engData
Créer un compte SVM Computer sur le domaine
Si vous n'avez pas configuré de serveur SMB pour un SVM de données, vous pouvez utiliser le vserver active-directory create
Commande pour créer un compte ordinateur pour le SVM sur le domaine.
Une fois que vous avez saisi le vserver active-directory create
Vous êtes invité à fournir les informations d'identification d'un compte utilisateur AD avec suffisamment de privilèges pour ajouter des ordinateurs à l'unité organisationnelle spécifiée dans le domaine. Le mot de passe du compte ne peut pas être vide.
Pour effectuer cette tâche, vous devez être un administrateur de cluster ou de SVM.
-
Créer un compte ordinateur pour un SVM sur le domaine AD :
vserver active-directory create -vserver SVM_name -account-name NetBIOS_account_name -domain domain -ou organizational_unit
Pour connaître la syntaxe complète de la commande, reportez-vous au "feuille de calcul".
La commande suivante crée un compte ordinateur nommé « ADSERVER1 » sur le domaine « example.com`" pour SVM « engData ». Une fois la commande saisie, vous êtes invité à saisir les informations d'identification du compte utilisateur AD.
cluster1::>vserver active-directory create -vserver engData -account-name ADSERVER1 -domain example.com In order to create an Active Directory machine account, you must supply the name and password of a Windows account with sufficient privileges to add computers to the "CN=Computers" container within the "example.com" domain. Enter the user name: Administrator Enter the password: