Active Directoryドメインコントローラアクセスの設定の概要
変更を提案
PDF
ADアカウントからSVMにアクセスするためには、ADドメインコントローラからクラスタまたはSVMへのアクセスを設定しておく必要があります。データ SVM 用に SMB サーバをすでに設定している場合は、クラスタへの AD アクセス用に SVM をゲートウェイまたは tunnel として設定できます。SMBサーバを設定していない場合は、ADドメインにSVMのコンピュータアカウントを作成できます。
ONTAPは、次のドメインコントローラ認証サービスをサポートしています。
-
Kerberos
-
LDAP
-
Netlogon
-
Local Security Authority(LSA)
ONTAPでは、セキュアなNetlogon接続を実現するために次のセッション キー アルゴリズムがサポートされます。
セッションキーアルゴリズム |
使用可能なバージョン |
HMAC-SHA256(Advanced Encryption Standard(AES)に基づく)クラスタでONTAP 9 .9.1以前を実行していて、ドメインコントローラでセキュアなネットログオンサービスにAESが適用されている場合は、接続が失敗します。この場合、代わりにONTAPとの強力なキー接続を受け入れるようにドメインコントローラを再設定する必要があります。 |
ONTAP 9 10.1 |
DESおよびHMAC-MD5(強力なキーが設定されている場合) |
すべてのONTAP 9リリース |
ネットログオンでのセキュアチャネルの確立中にAESセッションキーを使用する場合は、SVMでAESが有効になっていることを確認する必要があります。
-
14.1以降では、ONTAP 9の作成時にデフォルトでAESが有効になり、ネットログオンでのセキュアチャネルの確立時にAESセッションキーを使用するようにSVMのセキュリティ設定を変更する必要はありません。
-
ONTAP 9 .10.1~9.13.1では、SVMの作成時にAESがデフォルトで無効になります。次のコマンドを使用してAESを有効にする必要があります。
cifs security modify -vserver vs1 -aes-enabled-for-netlogon-channel true
|
ONTAP 9 .14.1以降にアップグレードした場合、以前のリリースのONTAPで作成された既存のSVMのAES設定は自動的には変更されません。これらのSVMでAESを有効にするには、引き続きこの設定の値を更新する必要があります。 |
認証トンネルの設定
データSVM用のSMBサーバがすでに設定されている場合は、コマンドを使用して、SVMをADによるクラスタアクセス用のゲートウェイ(tunnel)として設定でき `security login domain-tunnel create`ます。
-
データSVM用のSMBサーバを設定しておく必要があります。
-
ADドメインのユーザ アカウントにクラスタの管理SVMへのアクセスを許可しておく必要があります。
-
このタスクを実行するには、クラスタ管理者である必要があります。
|
|
10.1以降では、ADアクセス用のゲートウェイ(ドメイントンネル)がある場合、ADドメインでONTAP 9を無効にしていれば、管理認証にKerberosを使用できます。以前のリリースでは、SVMゲートウェイの管理認証でKerberosはサポートされていませんでした。この機能はデフォルトで使用できます。設定は必要ありません。
Kerberos認証は常に最初に試行されます。失敗した場合は、NTLM認証が試行されます。
|
-
SMB対応のデータSVMをADドメインコントローラがクラスタにアクセスするための認証トンネルとして設定します。
security login domain-tunnel create -vserver svm_nameコマンド構文全体については、を参照してください "ワークシート"。
ユーザを認証するには、SVMが実行されている必要があります。
次のコマンドは、SMB対応のデータSVM「engData」を認証トンネルとして設定します。
cluster1::>security login domain-tunnel create -vserver engData
ドメインにSVMコンピュータアカウントを作成する
データSVM用のSMBサーバを設定していない場合は、コマンドを使用して、ドメインにSVM用のコンピュータアカウントを作成できます vserver active-directory create。
コマンドを入力すると vserver active-directory create、ドメイン内の指定した組織単位にコンピュータを追加するための十分なPrivilegesを持つADユーザアカウントのクレデンシャルを入力するように求められます。アカウントのパスワードを空にすることはできません。
このタスクを実行するには、クラスタ管理者またはSVM管理者である必要があります。
-
ADドメインにSVM用のコンピュータアカウントを作成します。
vserver active-directory create -vserver SVM_name -account-name NetBIOS_account_name -domain domain -ou organizational_unitコマンド構文全体については、を参照してください "ワークシート"。
次のコマンドは、SVM「engData」のドメイン「example.com`"」に「ADSERVER1」という名前のコンピュータアカウントを作成します。コマンドを入力すると、ADユーザアカウントのクレデンシャルの入力を求められます。
cluster1::>vserver active-directory create -vserver engData -account-name ADSERVER1 -domain example.com In order to create an Active Directory machine account, you must supply the name and password of a Windows account with sufficient privileges to add computers to the "CN=Computers" container within the "example.com" domain. Enter the user name: Administrator Enter the password: