Active Directory ドメインコントローラアクセスの概要を設定する
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
AD アカウントから SVM にアクセスするためには、 AD ドメインコントローラからクラスタまたは SVM へのアクセスを設定しておく必要があります。データ SVM 用に SMB サーバをすでに設定している場合は、クラスタへの AD アクセス用に SVM をゲートウェイまたは tunnel として設定できます。SMB サーバを設定していない場合は、 AD ドメインに SVM 用のコンピュータアカウントを作成できます。
ONTAP は、次のドメインコントローラ認証サービスをサポートしています。
-
Kerberos
-
LDAP
-
Netlogon
-
ローカルセキュリティ局( LSA )
ONTAP は、次のセッションキーアルゴリズムをサポートしており、セキュアな Netlogon 接続を実現します。
セッションキーアルゴリズム |
使用可能なバージョン |
HMAC-SHA256 ( Advanced Encryption Standard ( AES )に基づく) クラスタでONTAP 9.9.1以前が実行されていて、ドメインコントローラでセキュアなネットログオンサービスにAESが適用されている場合は、接続が失敗します。この場合、代わりにONTAPとの強力なキー接続を受け入れるようにドメインコントローラを再設定する必要があります。 |
ONTAP 9.10.1 |
DES および HMAC-MD5 (強力なキーが設定されている場合) |
ONTAP 9 のすべてのリリース |
ネットログオンでのセキュアチャネルの確立中にAESセッションキーを使用する場合は、SVMでAESが有効になっていることを確認する必要があります。
-
ONTAP 9.14.1以降では、SVMの作成時にAESがデフォルトで有効になり、ネットログオンでのセキュアチャネルの確立時にAESセッションキーを使用するようにSVMのセキュリティ設定を変更する必要はありません。
-
ONTAP 9.10.1~9.13.1では、SVMの作成時にAESがデフォルトで無効になります。次のコマンドを使用してAESを有効にする必要があります。
cifs security modify -vserver vs1 -aes-enabled-for-netlogon-channel true
ONTAP 9.14.1以降にアップグレードした場合、以前のリリースのONTAPで作成された既存のSVMのAES設定は自動的には変更されません。これらのSVMでAESを有効にするには、引き続きこの設定の値を更新する必要があります。 |
認証トンネルを設定します
データSVM用のSMBサーバがすでに設定されている場合は、を使用できます security login domain-tunnel create
コマンドを使用して、SVMをADによるクラスタへのアクセス用のゲートウェイ(tunnel)として設定します。
-
データSVM用のSMBサーバを設定しておく必要があります。
-
AD ドメインのユーザアカウントによるクラスタの管理 SVM へのアクセスを有効にしておく必要があります。
-
このタスクを実行するには、クラスタ管理者である必要があります。
ONTAP 9.10.1 以降では、 AD アクセス用の SVM ゲートウェイ(ドメイントンネル)がある場合に、 AD ドメインで NTLM を無効にしていれば、管理認証に Kerberos を使用できます。以前のリリースでは、 SVM ゲートウェイの管理者認証で Kerberos がサポートされていませんでした。この機能はデフォルトで有効になっており、設定は必要ありません。
Kerberos 認証は常に最初に試行されます。失敗すると、 NTLM 認証が試行されます。 |
-
SMB 対応データ SVM を AD ドメインコントローラがクラスタにアクセスするための認証トンネルとして設定します。
security login domain-tunnel create -vserver svm_name
コマンド構文全体については、を参照してください "ワークシート"。
ユーザを認証するには、 SVM が実行されている必要があります。
次のコマンドは、SMB対応のデータSVM「engData」を認証トンネルとして設定します。
cluster1::>security login domain-tunnel create -vserver engData
ドメインに SVM コンピュータアカウントを作成します
データSVM用のSMBサーバを設定していない場合は、を使用できます vserver active-directory create
コマンドを使用して、ドメインにSVM用のコンピュータアカウントを作成します。
を入力した後 vserver active-directory create
コマンドを実行すると、ドメイン内の指定した組織単位にコンピュータを追加するための十分な権限を持つADユーザアカウントのクレデンシャルを入力するように求められます。アカウントのパスワードは空にできません。
このタスクを実行するには、クラスタ管理者または SVM の管理者である必要があります。
-
AD ドメインに SVM 用のコンピュータアカウントを作成します。
vserver active-directory create -vserver SVM_name -account-name NetBIOS_account_name -domain domain -ou organizational_unit
コマンド構文全体については、を参照してください "ワークシート"。
次のコマンドは、SVM「engData」のドメイン「example.com`"」に「ADSERVER1」という名前のコンピュータアカウントを作成します。コマンドを入力すると、 AD ユーザアカウントのクレデンシャルの入力を求められます。
cluster1::>vserver active-directory create -vserver engData -account-name ADSERVER1 -domain example.com In order to create an Active Directory machine account, you must supply the name and password of a Windows account with sufficient privileges to add computers to the "CN=Computers" container within the "example.com" domain. Enter the user name: Administrator Enter the password: