Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare l'accesso al controller di dominio Active Directory in ONTAP

Collaboratori
PDF

È necessario configurare l'accesso del controller di dominio ad al cluster o alla SVM prima che un account ad possa accedere alla SVM. Se è già stato configurato un server SMB per una SVM di dati, è possibile configurare la SVM come gateway, o tunnel, per l'accesso ad al cluster. Se non è stato configurato un server SMB, è possibile creare un account di computer per SVM nel dominio ad.

ONTAP supporta i seguenti servizi di autenticazione dei controller di dominio:

  • Kerberos

  • LDAP

  • Netlogon

  • Autorità di sicurezza locale (LSA)

ONTAP supporta i seguenti algoritmi delle chiavi di sessione per connessioni di accesso alla rete sicure:

Algoritmo della chiave di sessione

Disponibile a partire da…​

HMAC-SHA256, basato su Advanced Encryption Standard (AES)

Se il cluster esegue ONTAP 9.9.1 o versione precedente e il controller di dominio applica AES per i servizi di Netlogon protetti, la connessione non riesce. In questo caso, è necessario riconfigurare il controller di dominio per accettare connessioni con chiave forte con ONTAP.

ONTAP 9.10.1

DES e HMAC-MD5 (quando è impostato il tasto forte)

Tutte le release di ONTAP 9

Se si desidera utilizzare le chiavi di sessione AES durante la creazione del canale protetto Netlogon, è necessario verificare che AES sia attivato nella SVM.

  • A partire da ONTAP 9.14.1, l'AES viene attivato per impostazione predefinita quando si crea una SVM e non è necessario modificare le impostazioni di sicurezza della SVM per utilizzare le chiavi di sessione AES durante la creazione del canale protetto Netlogon.

  • Negli ONTAP da 9.10.1 a 9.13.1, quando si crea una SVM, il sistema AES è disattivato per impostazione predefinita. È necessario attivare AES utilizzando il seguente comando:

    cifs security modify -vserver vs1 -aes-enabled-for-netlogon-channel true
Nota L'upgrade a ONTAP 9.14.1 o versione successiva non cambia automaticamente le impostazioni AES per le SVM esistenti create con le release precedenti di ONTAP. È comunque necessario aggiornare il valore di questa impostazione per attivare AES su queste SVM.

Configurare un tunnel di autenticazione

Se è già stato configurato un server SMB per una SVM dati, è possibile utilizzare security login domain-tunnel create Comando per configurare la SVM come gateway, o tunnel, per l'accesso ad al cluster.

Prima di iniziare

  • È necessario aver configurato un server SMB per una SVM dati.

  • Per accedere alla SVM amministrativa per il cluster, è necessario aver attivato un account utente di dominio ad.

  • Per eseguire questa attività, è necessario essere un amministratore del cluster.

A partire da ONTAP 9.10.1, se si dispone di un gateway SVM (tunnel di dominio) per l'accesso ad, è possibile utilizzare Kerberos per l'autenticazione dell'amministratore se NTLM è stato disattivato nel dominio ad. Nelle versioni precedenti, Kerberos non era supportato con l'autenticazione admin per i gateway SVM. Questa funzionalità è disponibile per impostazione predefinita; non è richiesta alcuna configurazione.

Nota L'autenticazione Kerberos viene sempre tentata per prima. In caso di errore, viene quindi tentata l'autenticazione NTLM.
Fase

  1. Configurare una SVM di dati abilitata per SMB come tunnel di autenticazione per l'accesso del controller di dominio ad al cluster:

    security login domain-tunnel create -vserver svm_name

    Ulteriori informazioni su security login domain-tunnel create nella "Riferimento al comando ONTAP".

    Nota

    Affinché l'utente possa essere autenticato, SVM deve essere in esecuzione.

    Il seguente comando configura la SVM dei dati con abilitazione SMB "`engData'" come tunnel di autenticazione.

    cluster1::>security login domain-tunnel create -vserver engData

Creare un account di computer SVM sul dominio

Se non è stato configurato un server SMB per una SVM dati, è possibile utilizzare vserver active-directory create Per creare un account di computer per la SVM nel dominio.

A proposito di questa attività

Dopo aver inserito vserver active-directory create Viene richiesto di fornire le credenziali per un account utente ad con privilegi sufficienti per aggiungere computer all'unità organizzativa specificata nel dominio. La password dell'account non può essere vuota.

Prima di iniziare

Per eseguire questa attività, è necessario essere un amministratore del cluster o di SVM.

Fase

  1. Creare un account di computer per una SVM nel dominio ad:

    vserver active-directory create -vserver SVM_name -account-name NetBIOS_account_name -domain domain -ou organizational_unit

    Ulteriori informazioni su vserver active-directory create nella "Riferimento al comando ONTAP".

    Il seguente comando crea un account di computer denominato “ADSERVER1'" nel dominio "`example.com” per SVM "`engData'". Dopo aver immesso il comando, viene richiesto di immettere le credenziali dell'account utente ad.

    cluster1::>vserver active-directory create -vserver engData -account-name ADSERVER1 -domain example.com

In order to create an Active Directory machine account, you must supply the name and password of a Windows account with sufficient privileges to add computers to the "CN=Computers" container within the "example.com" domain.

Enter the user name: Administrator

Enter the password: