Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPでActive Directoryドメイン コントローラ アクセスを設定する

共同作成者 netapp-mwallis netapp-bhouser netapp-ahibbard netapp-thomi netapp-aaron-holt netapp-forry netapp-aherbin
PDF

ADアカウントがSVMにアクセスするには、クラスタまたはSVMへのADドメイン コントローラ アクセスを設定する必要があります。データSVM用のSMBサーバをすでに設定している場合は、SVMをクラスタへのADアクセス用のゲートウェイ(トンネル)として設定できます。SMBサーバを設定していない場合は、ADドメイン上にSVM用のコンピュータ アカウントを作成できます。

ONTAPでは、次のドメイン コントローラ認証サービスがサポートされます。

  • Kerberos

  • LDAP

  • Netlogon

  • Local Security Authority(LSA)

ONTAPでは、セキュアなNetlogon接続を実現するために次のセッション キー アルゴリズムがサポートされます。

セッション キー アルゴリズム

追加されたリリース

HMAC-SHA256(Advanced Encryption Standard(AES)ベース) クラスタでONTAP 9.9.1以前が実行されており、ドメイン コントローラがセキュアなNetlogonサービスにAESを適用している場合、接続は失敗します。この場合、ONTAPとの強力なキー接続を受け入れるようにドメイン コントローラを再設定する必要があります。

ONTAP 9.10.1

DESおよびHMAC-MD5(強力なキーが設定されている場合)

ONTAP 9のすべてのリリース

Netlogonのセキュアなチャネル確立にAESセッション キーを使用する場合は、SVM上でAESが有効になっていることを確認する必要があります。

  • ONTAP 9.14.1以降では、SVMの作成時にAESがデフォルトで有効化されます。そのため、SVMのセキュリティ設定を変更することなく、Netlogonのセキュアなチャネル確立時にAESセッション キーを使用できます。

  • ONTAP 9.10.1から9.13.1までは、SVMの作成時にAESがデフォルトで無効化されます。次のコマンドでAESを有効化する必要があります。

    cifs security modify -vserver vs1 -aes-enabled-for-netlogon-channel true
メモ ONTAP 9.14.1以降にアップグレードした場合でも、それより前のONTAPリリースで作成したSVMのAES設定が自動的に変更されることはありません。これらのSVMでAESを有効化するには、設定の値を更新する必要があります。

認証トンネルの設定

データSVM用にSMBサーバをすでに設定している場合は、 `security login domain-tunnel create`コマンドを使用して、SVMをクラスタへのADアクセス用のゲートウェイ、つまり_トンネル_として設定できます。

ONTAP 9.16.1より前では、ADでクラスタ管理者アカウントを管理するには、認証トンネルを使用する必要があります。

開始する前に

  • データSVM用のSMBサーバを設定しておく必要があります。

  • ADドメインのユーザ アカウントにクラスタの管理SVMへのアクセスを許可しておく必要があります。

  • このタスクを実行するには、クラスタ管理者である必要があります。

ONTAP 9.10.1以降では、ADアクセス用のSVMゲートウェイ(ドメイン トンネル)がある場合、ADドメインでNTLMを無効にしていれば、管理認証にKerberosを使用できます。以前のリリースでは、SVMゲートウェイの管理認証にKerberosは使用できませんでした。この機能はデフォルトで使用可能であり、設定は必要ありません。

メモ Kerberos認証は常に最初に試行されます。失敗した場合、次にNTLM認証が試行されます。
手順

  1. SMB対応のデータSVMをADドメイン コントローラがクラスタにアクセスするための認証トンネルとして設定します。

    security login domain-tunnel create -vserver <svm_name>
    `security login domain-tunnel create`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-login-domain-tunnel-create.html["ONTAPコマンド リファレンス"^]を参照してください。
    メモ

    ユーザを認証するには、SVMが実行されている必要があります。

    次のコマンドは、SMB対応のデータSVM `engData`を認証トンネルとして設定します。

    cluster1::>security login domain-tunnel create -vserver engData

ドメインでのSVMコンピュータ アカウントの作成

データSVM用にSMBサーバを設定していない場合は、 `vserver active-directory create`コマンドを使用してドメイン上のSVM用のコンピュータ アカウントを作成できます。

タスク概要
`vserver active-directory create`コマンドを入力すると、ドメイン内の指定された組織単位にコンピュータを追加するのに十分な権限を持つADユーザ アカウントのクレデンシャルの入力を求められます。アカウントのパスワードを空にすることはできません。

ONTAP 9.16.1以降では、この手順を使用してADでクラスタ管理者アカウントを管理できます。

開始する前に

このタスクを実行するには、クラスタ管理者またはSVMの管理者である必要があります。

手順

  1. ADドメインにSVM用のコンピュータ アカウントを作成します。

    vserver active-directory create -vserver <SVM_name> -account-name <NetBIOS_account_name> -domain <domain> -ou <organizational_unit>

    ONTAP 9.16.1以降、 `-vserver`パラメータは管理SVMを受け入れるようになりました。"ONTAPコマンド リファレンス"の `vserver active-directory create`の詳細をご覧ください。

    次のコマンドは、SVM `engData`のドメイン `example.com`に `ADSERVER1`という名前のコンピュータ アカウントを作成します。コマンドを入力すると、ADユーザ アカウントのクレデンシャルの入力を求められます。

    cluster1::>vserver active-directory create -vserver engData -account-name ADSERVER1 -domain example.com

In order to create an Active Directory machine account, you must supply the name and password of a Windows account with sufficient privileges to add computers to the "CN=Computers" container within the "example.com" domain.

Enter the user name: Administrator

Enter the password: