ローカルONTAP SMBユーザ認証について
変更を提案
PDF
CIFSサーバのデータにアクセスする前に、ローカル ユーザは認証されたセッションを作成する必要があります。
SMBはセッションベースであるため、ユーザのIDは、最初にセッションがセットアップされるときに一度だけ確認できます。CIFSサーバでは、ローカル ユーザの認証時にNTLMベースの認証が使用されます。NTLMv1とNTLMv2の両方がサポートされています。
ONTAPでは、3つの事例でローカル認証が使用されます。各事例は、ユーザ名のドメイン部分(DOMAIN\user形式)がCIFSサーバのローカル ドメイン名(CIFSサーバ名)と一致するかどうかによります。
-
ドメイン部分が一致する
データへのアクセスを要求するときにローカル ユーザ クレデンシャルを指定したユーザが、CIFSサーバでローカルに認証されます。
-
ドメイン部分が一致しない
ONTAPは、CIFSサーバが属しているドメインのドメイン コントローラでNTLM認証を試行します。認証に成功した場合は、ログインが完了します。失敗した場合は、認証の失敗理由によって次の動作が異なります。
たとえば、ユーザはActive Directory内に存在するが、パスワードが無効であるか期限切れになっている場合は、CIFSサーバ上の対応するローカル ユーザ アカウントの使用は試行されません。代わりに、認証は失敗します。NetBIOSドメイン名が一致しなくてもCIFSサーバ上の対応するローカル アカウント(存在する場合)が認証に使用されるケースはほかにもあります。たとえば、一致するドメイン アカウントが存在するが無効になっている場合は、CIFSサーバ上の対応するローカル アカウントが認証に使用されます。
-
ドメイン部分が指定されていない
まず、ローカル ユーザとしての認証が試行されます。ローカル ユーザとしての認証に失敗した場合は、CIFSサーバが属しているドメインのドメイン コントローラでユーザが認証されます。
ローカル ユーザまたはドメイン ユーザの認証が完了したら、ローカル グループ メンバーシップおよび権限が考慮される完全なユーザ アクセス トークンが構成されます。
ローカル ユーザのNTLM認証の詳細については、Microsoft Windowsのマニュアルを参照してください。