日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SMB 認証用の keytab ファイルを作成します

寄稿者

ONTAP 9.7 以降 ONTAP では、 keytab ファイルを使用した Active Directory ( AD )サーバとの SVM 認証がサポートされます。AD 管理者は keytab ファイルを生成し、その Uniform Resource Identifier ( URI )を ONTAP 管理者に提供します。この URI は、「 vserver cifs 」コマンドで AD ドメインとの Kerberos 認証が必要な場合に指定します。

AD 管理者は、 Windows Server の標準の「 ktpass 」コマンドを使用して keytab ファイルを作成できます。このコマンドは、認証が必要なプライマリドメインで実行する必要があります。「 ktpass 」コマンドを使用すると、プライマリドメインユーザだけが keytab ファイルを生成できます。信頼できるドメインユーザを使用して生成されたキーはサポートされません。

keytab ファイルは、特定の ONTAP 管理者ユーザ用に生成されます。管理者ユーザのパスワードが変更されないかぎり、特定の暗号化タイプとドメインに対して生成されたキーは変更されません。したがって、管理者ユーザのパスワードを変更した場合は、そのたびに新しい keytab ファイルが必要になります。

次の暗号化タイプがサポートされています。

  • AES256-SHA1

  • des-cbc-md5

    注記

    ONTAP では、 DES-CBC-CRC 暗号化タイプはサポートされていません。

  • RC4-HMAC

最も高度な暗号化タイプは AES256 です。 ONTAP システムで有効な場合は AES256 を使用してください。

keytab ファイルは、管理パスワードを指定して生成するか、ランダムに生成されたパスワードを使用して生成できます。ただし、 keytab ファイル内のキーを復号化するために AD サーバ側で管理者ユーザに固有な秘密鍵が必要になるため、ある時点で使用できるパスワードオプションはどちらか 1 つだけです。特定の管理者の秘密鍵を変更すると、 keytab ファイルは無効になります。