ONTAP Active Directory ドメインで SMB サーバを作成する
変更を提案
PDF
`vserver cifs create`コマンドを使用して、SVM 上に SMB サーバを作成し、そのサーバが属する Active Directory(AD)ドメインを指定できます。
データ処理に使用しているSVMおよびLIFが、SMBプロトコルを許可するように設定されている必要があります。LIFは、SVM上で設定されているDNSサーバ、およびSMBサーバの追加先ドメインのADドメイン コントローラに接続できる必要があります。
SMBサーバの追加先とするADドメイン内のマシン アカウントの作成を許可されているユーザなら誰でも、SVM上にSMBサーバを作成できます。これには他のドメインのユーザを含めることができます。
ONTAP 9.7以降、AD管理者は、特権Windowsアカウントの名前とパスワードを提供する代わりに、キータブ ファイルへのURIを提供できるようになりました。URIを受け取ったら、 `vserver cifs`コマンドの `-keytab-uri`パラメータに含めてください。
Activity DirectoryドメインでSMBサーバを作成する場合の条件は次のとおりです。
-
ドメインを指定するときは完全修飾ドメイン名(FQDN)を使用する必要があります。
-
デフォルト設定では、SMBサーバ マシン アカウントはActive Directory CN=Computerオブジェクトに追加されます。
-
`-ou`オプションを使用して、SMB サーバーを別の組織単位(OU)に追加することもできます。
-
必要に応じて、SMBサーバの1つ以上のNetBIOSエイリアス(最大200個)をカンマで区切って追加できます。
SMBサーバのNetBIOSエイリアスを設定すると、他のファイル サーバのデータをSMBサーバに統合して、SMBサーバが元のファイル サーバの名前に応答するようにする場合に役立ちます。
`vserver cifs`とオプション パラメータおよび命名要件の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=vserver+cifs["ONTAPコマンド リファレンス"^]を参照してください。
ONTAP 9.8以降では、ドメイン コントローラへの接続を暗号化するように指定できます。 `-encryption-required-for-dc-connection`オプションが `true`に設定されている場合、ONTAPはドメイン コントローラ通信の暗号化を要求します。デフォルトは `false`です。このオプションを設定すると、暗号化はSMB3でのみサポートされているため、ONTAP-DC接続にはSMB3プロトコルのみが使用されます。。
"SMBの管理" には、SMB サーバー構成オプションに関する詳細情報が含まれています。
-
クラスタで SMB のライセンスが付与されていることを確認します。
system license show -package cifsSMB ライセンスは"ONTAP One"に含まれています。ONTAP One をお持ちでなく、ライセンスがインストールされていない場合は、営業担当者にお問い合わせください。
SMBサーバを認証のみに使用する場合は、CIFSライセンスは必要ありません。
-
AD ドメインに SMB サーバを作成します:
vserver cifs create -vserver vserver_name -cifs-server smb_server_name -domain FQDN [-ou organizational_unit][-netbios-aliases NetBIOS_name, ...][-keytab-uri {(ftp|http)://hostname|IP_address}][-comment text]ドメインに参加する場合、このコマンドの実行には数分かかることがあります。
次のコマンドは、ドメイン「
example.com」に SMB サーバー「smb_server01」を作成します:cluster1::> vserver cifs create -vserver vs1.example.com -cifs-server smb_server01 -domain example.com
次のコマンドは、ドメイン「
mydomain.com」に SMB サーバ「smb_server02」を作成し、keytab ファイルを使用して ONTAP 管理者を認証します:cluster1::> vserver cifs create -vserver vs1.mydomain.com -cifs-server smb_server02 -domain mydomain.com -keytab-uri http://admin.mydomain.com/ontap1.keytab
-
`vserver cifs show`コマンドを使用して SMB サーバ構成を確認します。
この例では、コマンド出力は、SVM vs1.example.com 上に「
SMB_SERVER01」という名前の SMB サーバが作成され、「example.com」ドメインに参加したことを示しています。cluster1::> vserver cifs show -vserver vs1 Vserver: vs1.example.com CIFS Server NetBIOS Name: SMB_SERVER01 NetBIOS Domain/Workgroup Name: EXAMPLE Fully Qualified Domain Name: EXAMPLE.COM Default Site Used by LIFs Without Site Membership: Authentication Style: domain CIFS Server Administrative Status: up CIFS Server Description: - List of NetBIOS Aliases: - -
必要に応じて、ドメイン コントローラとの暗号化通信を有効にします(ONTAP 9.8 以降):
vserver cifs security modify -vserver svm_name -encryption-required-for-dc-connection true
次のコマンドは、SVM vs2.example.com 上の「example.com」ドメインに「smb_server02」という名前の SMB サーバを作成します。マシン アカウントは「OU=eng,OU=corp,DC=example,DC=com」コンテナに作成されます。SMB サーバには NetBIOS エイリアスが割り当てられます。
cluster1::> vserver cifs create -vserver vs2.example.com –cifs-server smb_server02 -domain example.com –ou OU=eng,OU=corp -netbios-aliases old_cifs_server01
cluster1::> vserver cifs show -vserver vs1
Vserver: vs2.example.com
CIFS Server NetBIOS Name: SMB_SERVER02
NetBIOS Domain/Workgroup Name: EXAMPLE
Fully Qualified Domain Name: EXAMPLE.COM
Default Site Used by LIFs Without Site Membership:
Authentication Style: domain
CIFS Server Administrative Status: up
CIFS Server Description: -
List of NetBIOS Aliases: OLD_CIFS_SERVER01
次のコマンドは、別のドメインのユーザー(この場合は信頼されたドメインの管理者)が SVM vs3.example.com 上に「smb_server03」という名前の SMB サーバを作成できるようにします。 `-domain`オプションには、SMB サーバを作成するホーム ドメイン(DNS 設定で指定)の名前を指定します。 `username`オプションには、信頼されたドメインの管理者を指定します。
-
ホーム ドメイン:example.com
-
信頼できるドメイン:trust.lab.com
-
信頼されたドメインのユーザー名:Administrator1
cluster1::> vserver cifs create -vserver vs3.example.com -cifs-server smb_server03 -domain example.com Username: Administrator1@trust.lab.com Password: . . .