Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SMB 認証用の keytab ファイルを作成します

共同作成者

ONTAP 9.7 以降 ONTAP では、 keytab ファイルを使用した Active Directory ( AD )サーバとの SVM 認証がサポートされます。AD管理者はkeytabファイルを生成し、Uniform Resource Identifier(URI;ユニフォームリソース識別子)としてONTAP 管理者が使用できるようにします。このファイルは、に指定します vserver cifs コマンドを実行するには、ADドメインとのKerberos認証が必要です。

AD管理者は、標準のWindows Serverを使用してkeytabファイルを作成できます ktpass コマンドを実行しますこのコマンドは、認証が必要なプライマリドメインで実行する必要があります。。 ktpass コマンドを使用してkeytabファイルを生成できるのはプライマリドメインユーザのみです。信頼できるドメインユーザを使用して生成されたキーはサポートされていません。

keytab ファイルは、特定の ONTAP 管理者ユーザ用に生成されます。管理者ユーザのパスワードが変更されないかぎり、特定の暗号化タイプとドメインに対して生成されたキーは変更されません。したがって、管理者ユーザのパスワードを変更した場合は、そのたびに新しい keytab ファイルが必要になります。

次の暗号化タイプがサポートされています。

  • AES256-SHA1

  • des-cbc-md5

    メモ

    ONTAP では、 DES-CBC-CRC 暗号化タイプはサポートされていません。

  • RC4-HMAC

最も高度な暗号化タイプは AES256 です。 ONTAP システムで有効な場合は AES256 を使用してください。

keytab ファイルは、管理パスワードを指定して生成するか、ランダムに生成されたパスワードを使用して生成できます。ただし、 keytab ファイル内のキーを復号化するために AD サーバ側で管理者ユーザに固有な秘密鍵が必要になるため、ある時点で使用できるパスワードオプションはどちらか 1 つだけです。特定の管理者の秘密鍵を変更すると、 keytab ファイルは無効になります。