Skip to main content
NetApp Solutions
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

PMI

Collaboratori

"PMI" È un protocollo di condivisione file di rete sviluppato da Microsoft che fornisce autenticazione centralizzata di utenti/gruppi, autorizzazioni, blocco e condivisione file a più client SMB su una rete Ethernet. I file e le cartelle vengono presentati ai client tramite condivisioni, che possono essere configurate con una vasta gamma di proprietà di condivisione e offrono il controllo degli accessi tramite permessi a livello di condivisione. SMB può essere presentato a qualsiasi client che offra supporto per il protocollo, inclusi client Windows, Apple e Linux.

Google Cloud NetApp Volumes offre supporto per le versioni del protocollo SMB 2,1 e 3.x.

Controllo degli accessi/condivisioni SMB

  • Quando un nome utente di Windows richiede l'accesso al volume Google Cloud NetApp Volumes, Google Cloud NetApp Volumes cerca un nome utente UNIX utilizzando i metodi configurati dagli amministratori di Google Cloud NetApp Volumes.

  • Se viene configurato un provider di identità UNIX esterno (LDAP) e i nomi utente Windows/UNIX sono identici, i nomi utente di Windows verranno mappati 1:1 ai nomi utente UNIX senza alcuna configurazione aggiuntiva. Quando LDAP è attivato, Active Directory viene utilizzato per ospitare gli attributi UNIX per gli oggetti utente e gruppo.

  • Se i nomi Windows e UNIX non corrispondono in modo identico, LDAP deve essere configurato in modo da consentire ai volumi Google Cloud NetApp di utilizzare la configurazione della mappatura dei nomi LDAP (vedere la sezione ""Utilizzo di LDAP per la mappatura asimmetrica dei nomi"").

  • Se LDAP non è in uso, gli utenti Windows SMB mappano a un utente UNIX locale predefinito denominato pcuser in Google Cloud NetApp Volumes. Ciò significa che i file scritti in Windows dagli utenti che mappano pcuser la proprietà di UNIX come pcuser negli ambienti NAS multiprotocollo. pcuser Qui è effettivamente l' `nobody`utente in ambienti Linux (UID 65534).

Nelle implementazioni solo con SMB, il pcuser Il mapping continua a verificarsi, ma non è importante, perché la proprietà di utenti e gruppi di Windows viene visualizzata correttamente e l'accesso NFS al volume solo SMB non è consentito. Inoltre, i volumi solo SMB non supportano la conversione in NFS o volumi a doppio protocollo dopo la loro creazione.

Windows sfrutta Kerberos per l'autenticazione del nome utente con i controller di dominio Active Directory, che richiede uno scambio di nome utente/password con i controller di dominio ad, esterno all'istanza dei volumi Google Cloud NetApp. L'autenticazione Kerberos viene utilizzata quando il \\SERVERNAME percorso UNC viene utilizzato dai client SMB e si verifica quanto segue:

  • La voce DNS A/AAAA esiste per NOMESERVER

  • Esiste un SPN valido per l'accesso SMB/CIFS per NOMESERVER

Quando viene creato un volume SMB di Google Cloud NetApp Volumes, il nome dell'account del computer viene creato come definito nella sezione ""Come si vede Google Cloud NetApp Volumes in Active Directory.""il nome dell'account del computer diventa anche il percorso di accesso alla condivisione SMB perché i volumi di Google Cloud NetApp sfruttano il DNS dinamico (DDNS) per creare le voci A/AAAA e PTR necessarie nel DNS e le voci SPN necessarie sul principale dell'account del computer.

Nota Per creare voci PTR, l'area di ricerca inversa per l'indirizzo IP dell'istanza di Google Cloud NetApp Volumes deve esistere sul server DNS.

Ad esempio, questo volume Google Cloud NetApp Volumes utilizza il seguente percorso di condivisione UNC: \\cvs-east- 433d.cvsdemo.local.

In Active Directory, queste sono le voci SPN generate dai volumi di Google Cloud NetApp:

Figura che mostra la finestra di dialogo input/output o rappresenta il contenuto scritto

Questo è il risultato della ricerca DNS in avanti/indietro:

PS C:\> nslookup NetApp Volumes-EAST-433D
Server:  activedirectory. region. lab. internal
Address:  10. xx.0. xx
Name:    NetApp Volumes-EAST-433D.cvsdemo.local
Address:  10. xxx.0. x
PS C:\> nslookup 10. xxx.0. x
Server:  activedirectory.region.lab.internal
Address:  10.xx.0.xx
Name:    NetApp Volumes-EAST-433D.CVSDEMO.LOCAL
Address:  10. xxx.0. x

In alternativa, è possibile applicare un maggiore controllo degli accessi abilitando/richiedendo la crittografia SMB per le condivisioni SMB in Google Cloud NetApp Volumes. Se la crittografia SMB non è supportata da uno degli endpoint, l'accesso non è consentito.

Utilizzo degli alias dei nomi SMB

In alcuni casi, per gli utenti finali potrebbe essere una preoccupazione per la sicurezza conoscere il nome dell'account del computer in uso per Google Cloud NetApp Volumes. In altri casi, è sufficiente fornire un percorso di accesso più semplice agli utenti finali. In questi casi, è possibile creare alias SMB.

Se si desidera creare alias per il percorso di condivisione SMB, è possibile sfruttare ciò che è noto come record CNAME in DNS. Ad esempio, se si desidera utilizzare il nome \\CIFS per accedere alle condivisioni anziché a. \\cvs-east- 433d.cvsdemo.local, Ma si desidera comunque utilizzare l'autenticazione Kerberos, un CNAME nel DNS che punta al record A/AAAA esistente e un ulteriore SPN aggiunto all'account del computer esistente fornisce l'accesso Kerberos.

Figura che mostra la finestra di dialogo input/output o rappresenta il contenuto scritto

Questo è il risultato della ricerca diretta DNS dopo l'aggiunta di un CNAME:

PS C:\> nslookup cifs
Server:  ok-activedirectory.us-east4-a.c.cv-solution-architect-lab.internal
Address:  10. xx.0. xx
Name:    NetApp Volumes-EAST-433D.cvsdemo.local
Address:  10. xxx.0. x
Aliases:  cifs.cvsdemo.local

Questa è la query SPN risultante dopo l'aggiunta di nuovi numeri di servizio:

Figura che mostra la finestra di dialogo input/output o rappresenta il contenuto scritto

In un'acquisizione di pacchetti, è possibile visualizzare la richiesta di configurazione della sessione utilizzando l'SPN legato al CNAME.

Figura che mostra la finestra di dialogo input/output o rappresenta il contenuto scritto

Dialetti di autenticazione SMB

Google Cloud NetApp Volumes supporta quanto segue "dialetti" per l'autenticazione SMB:

  • LM

  • NTLM

  • NTLMv2

  • Kerberos

L'autenticazione Kerberos per l'accesso alle condivisioni SMB è il livello di autenticazione più sicuro possibile. Con la crittografia AES e SMB attivata, il livello di sicurezza aumenta ulteriormente.

Google Cloud NetApp Volumes supporta anche la compatibilità con le versioni precedenti per l'autenticazione LM e NTLM. Quando Kerberos non è configurato correttamente (ad esempio quando si creano alias SMB), l'accesso alla condivisione viene ricallato ai metodi di autenticazione più deboli (ad esempio NTLMv2). Poiché questi meccanismi sono meno sicuri, sono disattivati in alcuni ambienti Active Directory. Se i metodi di autenticazione più deboli sono disattivati e Kerberos non è configurato correttamente, l'accesso alla condivisione non riesce perché non esiste un metodo di autenticazione valido.

Per informazioni sulla configurazione e la visualizzazione dei livelli di autenticazione supportati in Active Directory, vedere "Sicurezza di rete: Livello di autenticazione di LAN Manager".

Modelli di permesso

Permessi NTFS/file

Le autorizzazioni NTFS sono le autorizzazioni applicate a file e cartelle nei file system che aderiscono alla logica NTFS. È possibile applicare le autorizzazioni NTFS in Basic oppure Advanced e può essere impostato su Allow oppure Deny per il controllo degli accessi.

Le autorizzazioni di base includono:

  • Controllo completo

  • Modificare

  • Lettura ed esecuzione

  • Leggi

  • Di scrittura

Quando si impostano le autorizzazioni per un utente o un gruppo, denominato ACE, si trova in un ACL. Le autorizzazioni NTFS utilizzano le stesse basi di lettura/scrittura/esecuzione dei bit in modalità UNIX, ma possono anche estendersi a controlli di accesso più granulari ed estesi (noti anche come permessi speciali), come Take Ownership, Create Folders/Append Data, Write Attributes e altro ancora.

I bit in modalità UNIX standard non forniscono lo stesso livello di granularità delle autorizzazioni NTFS (ad esempio, la possibilità di impostare autorizzazioni per singoli oggetti utente e gruppo in un ACL o di impostare attributi estesi). Tuttavia, gli ACL NFSv4.1 offrono le stesse funzionalità degli ACL NTFS.

Le autorizzazioni NTFS sono più specifiche delle autorizzazioni di condivisione e possono essere utilizzate insieme alle autorizzazioni di condivisione. Con le strutture di autorizzazione NTFS, si applicano le impostazioni più restrittive. Di conseguenza, le negazioni esplicite a un utente o a un gruppo sovrascrivono anche il controllo completo quando si definiscono i diritti di accesso.

Le autorizzazioni NTFS sono controllate dai client SMB di Windows.

Autorizzazioni di condivisione

Le autorizzazioni di condivisione sono più generali delle autorizzazioni NTFS (solo lettura/modifica/controllo completo) e controllano la voce iniziale in una condivisione SMB, in modo simile al funzionamento delle regole dei criteri di esportazione NFS.

Sebbene le regole dei criteri di esportazione NFS controllino l'accesso attraverso informazioni basate su host come indirizzi IP o nomi host, le autorizzazioni di condivisione SMB possono controllare l'accesso utilizzando le ACE di utente e gruppo in un ACL condiviso. Puoi impostare gli ACL di condivisione dal client Windows o dall'interfaccia utente di gestione dei volumi di Google Cloud NetApp.

Per impostazione predefinita, gli ACL di condivisione e gli ACL dei volumi iniziali includono Everyone con controllo completo. Gli ACL dei file devono essere modificati, ma le autorizzazioni di condivisione vengono ignorate dalle autorizzazioni dei file sugli oggetti nella condivisione.

Ad esempio, se a un utente è consentito solo l'accesso in lettura all'ACL del file di volume di Google Cloud NetApp Volumes, agli viene negato l'accesso per creare file e cartelle anche se l'ACL di condivisione è impostato su tutti con controllo completo, come illustrato nella figura seguente.

Figura che mostra la finestra di dialogo input/output o rappresenta il contenuto scritto

Figura che mostra la finestra di dialogo input/output o rappresenta il contenuto scritto

Per ottenere i migliori risultati di sicurezza, procedere come segue:

  • Rimuovere tutti dagli ACL di file e condivisione e impostare l'accesso di condivisione per utenti o gruppi.

  • Utilizzare i gruppi per il controllo degli accessi invece di singoli utenti per semplificare la gestione e velocizzare la rimozione/aggiunta degli utenti per condividere gli ACL attraverso la gestione dei gruppi.

  • Consentire un accesso di condivisione meno restrittivo e più generale alle ACE sulle autorizzazioni di condivisione e bloccare l'accesso a utenti e gruppi con permessi di file per un controllo degli accessi più granulare.

  • Evitare l'utilizzo generale di ACL di negazione esplicite, in quanto sovrascrivono gli ACL di consenso. Limitare l'utilizzo di ACL di negazione esplicite per utenti o gruppi che devono essere limitati all'accesso rapido a un file system.

  • Assicurarsi di prestare attenzione a. "Ereditarietà ACL" impostazioni durante la modifica delle autorizzazioni; l'impostazione del flag di ereditarietà al livello superiore di una directory o di un volume con un numero elevato di file indica che ogni file sotto a tale directory o volume ha ereditato le autorizzazioni aggiunte, che possono creare comportamenti indesiderati come accesso/negazione non intenzionale e lunga modifica delle autorizzazioni quando ogni file viene regolato.

SMB condivide le funzionalità di sicurezza

Quando si crea per la prima volta un volume con accesso SMB in Google Cloud NetApp Volumes, viene presentata una serie di scelte per la protezione di quel volume.

Alcune di queste scelte dipendono dal livello di Google Cloud NetApp Volumes (Performance o Software) e le scelte includono:

  • Rendi visibile la directory snapshot (disponibile sia per NetApp Volumes-Performance che per NetApp Volumes-SW). Questa opzione controlla se i client SMB possono o meno accedere alla directory Snapshot in una scheda di condivisione SMB (\\server\share\~snapshot`e/o versioni precedenti). L'impostazione predefinita non è selezionata, il che significa che per impostazione predefinita il volume viene nascosto e non consente l'accesso alla `~snapshot directory e non vengono visualizzate copie snapshot nella scheda versioni precedenti per il volume.

Figura che mostra la finestra di dialogo input/output o rappresenta il contenuto scritto

È possibile nascondere le copie Snapshot dagli utenti finali per motivi di sicurezza, di performance (nascondendo queste cartelle dalle scansioni AV) o di preferenza. Gli Snapshot di Google Cloud NetApp Volumes sono di sola lettura, quindi anche se questi Snapshot sono visibili, gli utenti finali non possono eliminare o modificare i file nella directory Snapshot. Si applicano le autorizzazioni per i file o le cartelle al momento dell'esecuzione della copia Snapshot. Se le autorizzazioni di un file o di una cartella cambiano tra le copie Snapshot, le modifiche si applicano anche ai file o alle cartelle nella directory Snapshot. Utenti e gruppi possono accedere a questi file o cartelle in base alle autorizzazioni. Sebbene non sia possibile eliminare o modificare i file nella directory Snapshot, è possibile copiare file o cartelle dalla directory Snapshot.

  • Attiva la crittografia SMB (disponibile sia per NetApp Volumes-Performance che per NetApp Volumes-SW). Per impostazione predefinita, la crittografia SMB è disattivata nella condivisione SMB (opzione non selezionata). Selezionando la casella viene attivata la crittografia SMB, il che significa che il traffico tra il client SMB e il server viene crittografato in-flight con i livelli di crittografia più elevati supportati negoziati. Google Cloud NetApp Volumes supporta la crittografia AES-256 per SMB. L'attivazione della crittografia SMB comporta una penalizzazione delle performance che potrebbe o meno essere evidente per i client SMB, approssimativamente nell'intervallo 10-20%. NetApp incoraggia vivamente i test per verificare se tale penalizzazione delle performance è accettabile.

  • Nascondi la condivisione SMB (disponibile sia per NetApp Volumes-Performance che per NetApp Volumes-SW). L'impostazione di questa opzione nasconde il percorso di condivisione SMB dalla normale navigazione. Ciò significa che i client che non conoscono il percorso di condivisione non possono vedere le condivisioni quando accedono al percorso UNC predefinito (ad esempio \\NetApp Volumes-SMB ). Quando la casella di controllo è selezionata, solo i client che conoscono esplicitamente il percorso di condivisione SMB o che hanno il percorso di condivisione definito da un oggetto Criteri di gruppo possono accedervi (sicurezza tramite offuscamento).

  • Attiva enumerazione basata sull'accesso (ABE) (solo NetApp Volumes-SW). Questa operazione è simile a nascondere la condivisione SMB, tranne che le condivisioni o i file sono nascosti solo da utenti o gruppi che non dispongono delle autorizzazioni di accesso agli oggetti. Ad esempio, se all'utente Windows joe non è consentito almeno l'accesso in lettura tramite le autorizzazioni, l'utente Windows joe non può vedere la condivisione SMB o i file. Questa opzione è disattivata per impostazione predefinita ed è possibile attivarla selezionando la casella di controllo. Per ulteriori informazioni su ABE, vedere l'articolo della Knowledge base di NetApp "Come funziona Access Based Enumeration (ABE)?"

  • Abilitare il supporto delle condivisioni continuamente disponibili (CA) (solo NetApp Volumes-Performance). "Condivisioni SMB sempre disponibili" fornire un modo per ridurre al minimo le interruzioni delle applicazioni durante gli eventi di failover replicando gli stati di blocco tra i nodi nel sistema di backend Google Cloud NetApp Volumes. Non si tratta di una funzionalità di sicurezza, ma offre una migliore resilienza generale. Attualmente, solo le applicazioni SQL Server e FSLogix sono supportate per questa funzionalità.

Condivisioni nascoste predefinite

Quando un server SMB viene creato in Google Cloud NetApp Volumes, oltre alla condivisione SMB "condivisioni amministrative nascoste" del volume di dati vengono creati (utilizzando la convenzione di naming $). Questi includono l'accesso allo spazio dei nomi e l'IPC (sharing named pipe for communication between programs, come le chiamate di procedura remota (RPC) utilizzate per l'accesso a Microsoft Management Console (MMC)).

La condivisione IPC non contiene ACL di condivisione e non può essere modificata, ma viene utilizzata esclusivamente per le chiamate RPC e. "Per impostazione predefinita, Windows non consente l'accesso anonimo a queste condivisioni".

La condivisione C$ consente l'accesso predefinito a BUILTIN/Administrators, ma l'automazione dei volumi di Google Cloud NetApp rimuove l'ACL di condivisione e non consente l'accesso a nessuno perché l'accesso alla condivisione C$ consente la visibilità in tutti i volumi montati nei file system di Google Cloud NetApp Volumes. Di conseguenza, tenta di navigare per \\SERVER\C$ fallire.

Account con diritti di amministratore/backup locali/BUILTIN

I server SMB di Google Cloud NetApp Volumes mantengono una funzionalità simile ai normali server SMB in quanto ci sono gruppi locali (come BUILTIN\Administrators) che applicano diritti di accesso a determinati utenti e gruppi del dominio.

Quando si specifica un utente da aggiungere agli utenti di backup, l'utente viene aggiunto al gruppo BUILTIN\Backup Operators nell'istanza di Google Cloud NetApp Volumes che utilizza la connessione di Active Directory, che ottiene "SeBackupPrivilege e SeRestorePrivilege" .

Quando si aggiunge un utente a Security Privilege Users, all'utente viene assegnato il privilegio SeSecurityPrivilege, utile in alcuni casi di utilizzo dell'applicazione, ad esempio "SQL Server su condivisioni SMB".

Figura che mostra la finestra di dialogo input/output o rappresenta il contenuto scritto

Puoi visualizzare le iscrizioni ai gruppi locali di Google Cloud NetApp Volumes attraverso MMC con il Privileges appropriato. La figura seguente mostra gli utenti che sono stati aggiunti tramite la console Google Cloud NetApp Volumes.

Figura che mostra la finestra di dialogo input/output o rappresenta il contenuto scritto

La seguente tabella mostra l'elenco dei gruppi BUILTIN predefiniti e gli utenti/gruppi aggiunti per impostazione predefinita.

Locale/gruppo BUILTIN Membri predefiniti

BUILTIN/amministratori*

AMMINISTRATORI DI DOMINIO/dominio

BUILTIN/Backup Operator*

Nessuno

BUILTIN/guest

Dominio/dominio guest

UTENTI BUILTIN/Power

Nessuno

UTENTI BUILTIN/dominio

UTENTI DI DOMINIO/dominio

*Appartenenza al gruppo controllata nella configurazione della connessione Active Directory di Google Cloud NetApp Volumes.

È possibile visualizzare gli utenti e i gruppi locali (e i membri del gruppo) nella finestra MMC, ma non è possibile aggiungere o eliminare oggetti o modificare le appartenenze ai gruppi da questa console. Per impostazione predefinita, solo il gruppo Domain Admins e Administrator vengono aggiunti al gruppo BUILTIN\Administrators in Google Cloud NetApp Volumes. Al momento, non è possibile modificarlo.

Figura che mostra la finestra di dialogo input/output o rappresenta il contenuto scritto

Figura che mostra la finestra di dialogo input/output o rappresenta il contenuto scritto

Accesso MMC/Gestione computer

L'accesso SMB in Google Cloud NetApp Volumes offre connettività alla console di gestione del computer, che consente di visualizzare le condivisioni, gestire gli ACL delle condivisioni, visualizzare e gestire le sessioni SMB e i file aperti.

Per utilizzare MMC per visualizzare le condivisioni e le sessioni SMB in Google Cloud NetApp Volumes, l'utente connesso al momento deve essere un amministratore di dominio. Ad altri utenti è consentito l'accesso per visualizzare o gestire il server SMB da MMC e ricevere una finestra di dialogo autorizzazioni non disponibili quando si tenta di visualizzare condivisioni o sessioni nell'istanza SMB di Google Cloud NetApp Volumes.

Per connettersi al server SMB, aprire Gestione computer, fare clic con il pulsante destro del mouse su Gestione computer, quindi selezionare Connetti a un altro computer. Viene visualizzata la finestra di dialogo Seleziona computer in cui è possibile immettere il nome del server SMB (disponibile nelle informazioni sul volume dei volumi di Google Cloud NetApp).

Quando si visualizzano le condivisioni SMB con le autorizzazioni appropriate, nell'istanza di Google Cloud NetApp Volumes vengono visualizzate tutte le condivisioni disponibili che condividono la connessione ad Active Directory. Per controllare questo comportamento, impostare l'opzione Nascondi condivisioni SMB nell'istanza del volume Google Cloud NetApp Volumes.

Tenere presente che è consentita una sola connessione Active Directory per regione.

Figura che mostra la finestra di dialogo input/output o rappresenta il contenuto scritto

Figura che mostra la finestra di dialogo input/output o rappresenta il contenuto scritto

La seguente tabella mostra un elenco delle funzionalità supportate/non supportate per MMC.

Funzioni supportate Funzioni non supportate
  • Visualizza condivisioni

  • Visualizzare le sessioni SMB attive

  • Visualizzare i file aperti

  • Visualizzare utenti e gruppi locali

  • Visualizzare le appartenenze ai gruppi locali

  • Enumerare l'elenco di sessioni, file e connessioni ad albero nel sistema

  • Chiudere i file aperti nel sistema

  • Chiudere le sessioni aperte

  • Creare/gestire le condivisioni

  • Creazione di nuovi utenti/gruppi locali

  • Gestione/visualizzazione di utenti/gruppi locali esistenti

  • Visualizza eventi o log delle performance

  • Gestione dello storage

  • Gestione di servizi e applicazioni

Informazioni sulla sicurezza dei server SMB

Il server SMB in Google Cloud NetApp Volumes utilizza una serie di opzioni che definiscono le policy di sicurezza per le connessioni SMB, tra cui angolo di clock Kerberos, età dei ticket, crittografia e molto altro.

La tabella seguente contiene un elenco di queste opzioni, le relative caratteristiche, le configurazioni predefinite e, se possono essere modificate con Google Cloud NetApp Volumes. Alcune opzioni non si applicano a Google Cloud NetApp Volumes.

Opzione di sicurezza Che cosa fa Valore predefinito Può cambiare?

Inclinazione massima del clock Kerberos (minuti)

Differenza di tempo massima tra i volumi Google Cloud NetApp e i controller di dominio. Se l'intervallo di tempo supera i 5 minuti, l'autenticazione Kerberos non riesce. Viene impostato sul valore predefinito di Active Directory.

5

No

Durata ticket Kerberos (ore)

Tempo massimo in cui un ticket Kerberos rimane valido prima di richiedere un rinnovo. Se non si verifica alcun rinnovo prima delle 10 ore, è necessario ottenere un nuovo biglietto. Google Cloud NetApp Volumes esegue questi rinnovi automaticamente. 10 ore è il valore predefinito di Active Directory.

10

No

Rinnovo massimo ticket Kerberos (giorni)

Numero massimo di giorni in cui un ticket Kerberos può essere rinnovato prima che sia necessaria una nuova richiesta di autorizzazione. Google Cloud NetApp Volumes rinnova automaticamente i ticket per le connessioni SMB. Sette giorni è il valore predefinito di Active Directory.

7

No

Timeout connessione KDC Kerberos (sec)

Il numero di secondi prima del timeout di una connessione KDC.

3

No

Richiedi firma per traffico SMB in entrata

Impostazione per richiedere la firma per il traffico SMB. Se impostata su true, i client che non supportano la firma non riescono a connettersi.

Falso

Richiedi complessità password per account utente locali

Utilizzato per le password degli utenti SMB locali. Google Cloud NetApp Volumes non supporta la creazione degli utenti locali, quindi questa opzione non si applica a Google Cloud NetApp Volumes.

Vero

No

Utilizzare start_tls per le connessioni LDAP di Active Directory

Utilizzato per attivare le connessioni TLS iniziali per Active Directory LDAP. Google Cloud NetApp Volumes al momento non supporta questa abilitazione.

Falso

No

AES-128 e AES-256 Encryption for Kerberos sono abilitati

In questo modo si controlla se la crittografia AES viene utilizzata per le connessioni Active Directory e viene controllata con l'opzione Enable AES Encryption for Active Directory Authentication (attiva crittografia AES per l'autenticazione Active Directory) quando si crea o si modifica la connessione Active Directory.

Falso

Livello di compatibilità LM

Livello dei dialetti di autenticazione supportati per le connessioni Active Directory. Vedere la sezione "Dialetti di autenticazione SMB" per ulteriori informazioni.

ntlmv2-krb

No

Richiedi crittografia SMB per traffico CIFS in entrata

Richiede la crittografia SMB per tutte le condivisioni. Non viene utilizzato dai volumi di Google Cloud NetApp; al contrario, impostare la crittografia su base per volume (vedi la sezione " "SMB condivide le funzionalità di sicurezza).

Falso

No

Sicurezza della sessione client

Imposta la firma e/o il sealing per la comunicazione LDAP. Al momento non è impostato in Google Cloud NetApp Volumes, ma potrebbe essere necessario in future release per risolvere . La risoluzione dei problemi di autenticazione LDAP dovuti alla patch di Windows è illustrata nella sezione ""Associazione del canale LDAP".".

Nessuno

No

Abilitazione SMB2 per connessioni DC

Utilizza SMB2 per le connessioni DC. Attivato per impostazione predefinita.

System-default

No

LDAP Referral Chasing

Quando si utilizzano più server LDAP, la ricerca dei riferimenti consente al client di fare riferimento ad altri server LDAP nell'elenco quando non viene trovata una voce nel primo server. Al momento non è supportato da Google Cloud NetApp Volumes.

Falso

No

Utilizzare LDAPS per connessioni Active Directory sicure

Attiva l'utilizzo di LDAP su SSL. Attualmente non supportato da Google Cloud NetApp Volumes.

Falso

No

La crittografia è necessaria per la connessione DC

Richiede la crittografia per le connessioni DC riuscite. Disattivato per impostazione predefinita in Google Cloud NetApp Volumes.

Falso

No