Note di rilascio
Panoramica sull'accesso al controller di dominio di Active Directory
Suggerisci modifiche
-
PDF del sito di questa documentazione
-
Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
-
Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
-
-
Gestione dello storage NAS
-
Configurare NFS con la CLI
-
Gestisci NFS con la CLI
-
Gestire SMB con la CLI
-
Gestire i server SMB
-
Gestire l'accesso ai file utilizzando SMB
-
-
-
Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
-
Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
-
-
Protezione dei dati e disaster recovery
-
Raccolta di documenti PDF separati
Creating your file...
È necessario configurare l'accesso del controller di dominio ad al cluster o alla SVM prima che un account ad possa accedere alla SVM. Se è già stato configurato un server SMB per una SVM di dati, è possibile configurare la SVM come gateway, o tunnel, per l'accesso ad al cluster. Se non è stato configurato un server SMB, è possibile creare un account di computer per SVM nel dominio ad.
ONTAP supporta i seguenti servizi di autenticazione dei controller di dominio:
-
Kerberos
-
LDAP
-
Netlogon
-
Autorità di sicurezza locale (LSA)
ONTAP supporta i seguenti algoritmi delle chiavi di sessione per connessioni di accesso alla rete sicure:
Algoritmo della chiave di sessione |
Disponibile a partire da… |
HMAC-SHA256, basato su Advanced Encryption Standard (AES) Se il cluster esegue ONTAP 9.9.1 o versione precedente e il controller di dominio applica AES per i servizi di Netlogon protetti, la connessione non riesce. In questo caso, è necessario riconfigurare il controller di dominio per accettare connessioni con chiave forte con ONTAP. |
ONTAP 9.10.1 |
DES e HMAC-MD5 (quando è impostato il tasto forte) |
Tutte le release di ONTAP 9 |
Se si desidera utilizzare le chiavi di sessione AES durante la creazione del canale protetto Netlogon, è necessario verificare che AES sia attivato nella SVM.
-
A partire da ONTAP 9.14.1, l'AES viene attivato per impostazione predefinita quando si crea una SVM e non è necessario modificare le impostazioni di sicurezza della SVM per utilizzare le chiavi di sessione AES durante la creazione del canale protetto Netlogon.
-
Negli ONTAP da 9.10.1 a 9.13.1, quando si crea una SVM, il sistema AES è disattivato per impostazione predefinita. È necessario attivare AES utilizzando il seguente comando:
cifs security modify -vserver vs1 -aes-enabled-for-netlogon-channel true
|
L'upgrade a ONTAP 9.14.1 o versione successiva non cambia automaticamente le impostazioni AES per le SVM esistenti create con le release precedenti di ONTAP. È comunque necessario aggiornare il valore di questa impostazione per attivare AES su queste SVM. |
Configurare un tunnel di autenticazione
Se è già stato configurato un server SMB per una SVM dati, è possibile utilizzare security login domain-tunnel create Comando per configurare la SVM come gateway, o tunnel, per l'accesso ad al cluster.
-
È necessario aver configurato un server SMB per una SVM dati.
-
Per accedere alla SVM amministrativa per il cluster, è necessario aver attivato un account utente di dominio ad.
-
Per eseguire questa attività, è necessario essere un amministratore del cluster.
A partire da ONTAP 9.10.1, se si dispone di un gateway SVM (tunnel di dominio) per l'accesso ad, è possibile utilizzare Kerberos per l'autenticazione dell'amministratore se NTLM è stato disattivato nel dominio ad. Nelle versioni precedenti, Kerberos non era supportato con l'autenticazione admin per i gateway SVM. Questa funzionalità è disponibile per impostazione predefinita; non è richiesta alcuna configurazione.
|
|
L'autenticazione Kerberos viene sempre tentata per prima. In caso di errore, viene quindi tentata l'autenticazione NTLM. |
-
Configurare una SVM di dati abilitata per SMB come tunnel di autenticazione per l'accesso del controller di dominio ad al cluster:
security login domain-tunnel create -vserver svm_namePer la sintassi completa dei comandi, vedere "foglio di lavoro".
Affinché l'utente possa essere autenticato, SVM deve essere in esecuzione.
Il seguente comando configura la SVM dei dati con abilitazione SMB "`engData'" come tunnel di autenticazione.
cluster1::>security login domain-tunnel create -vserver engData
Creare un account di computer SVM sul dominio
Se non è stato configurato un server SMB per una SVM dati, è possibile utilizzare vserver active-directory create Per creare un account di computer per la SVM nel dominio.
Dopo aver inserito vserver active-directory create Viene richiesto di fornire le credenziali per un account utente ad con privilegi sufficienti per aggiungere computer all'unità organizzativa specificata nel dominio. La password dell'account non può essere vuota.
Per eseguire questa attività, è necessario essere un amministratore del cluster o di SVM.
-
Creare un account di computer per una SVM nel dominio ad:
vserver active-directory create -vserver SVM_name -account-name NetBIOS_account_name -domain domain -ou organizational_unitPer la sintassi completa dei comandi, vedere "foglio di lavoro".
Il seguente comando crea un account di computer denominato “ADSERVER1'" nel dominio "`example.com” per SVM "`engData'". Dopo aver immesso il comando, viene richiesto di immettere le credenziali dell'account utente ad.
cluster1::>vserver active-directory create -vserver engData -account-name ADSERVER1 -domain example.com In order to create an Active Directory machine account, you must supply the name and password of a Windows account with sufficient privileges to add computers to the "CN=Computers" container within the "example.com" domain. Enter the user name: Administrator Enter the password: