Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

Active Directory 도메인 컨트롤러 액세스 개요 구성

기여자

AD 계정이 SVM에 액세스하려면 먼저 클러스터 또는 SVM에 대한 AD 도메인 컨트롤러 액세스를 구성해야 합니다. 데이터 SVM을 위해 SMB 서버를 이미 구성한 경우, SVM을 클러스터에 대한 AD 액세스를 위한 게이트웨이 또는 _tunnel_로 구성할 수 있습니다. SMB 서버를 구성하지 않은 경우 AD 도메인에서 SVM에 대한 컴퓨터 계정을 생성할 수 있습니다.

ONTAP는 다음과 같은 도메인 컨트롤러 인증 서비스를 지원합니다.

  • Kerberos

  • LDAP를 지원합니다

  • Netlogon

  • 로컬 보안 기관(LSA)

ONTAP는 보안 Netlogon 연결을 위해 다음 세션 키 알고리즘을 지원합니다.

세션 키 알고리즘입니다

다음으로 시작…​

HMAC-SHA256, AES(Advanced Encryption Standard) 기반

클러스터에서 ONTAP 9.9.1 이하를 실행하고 도메인 컨트롤러가 보안 Netlogon 서비스를 위해 AES를 적용하는 경우 연결이 실패합니다. 이 경우 ONTAP와의 강력한 키 연결을 허용하도록 도메인 컨트롤러를 다시 구성해야 합니다.

ONTAP 9.10.1

Des 및 HMAC-MD5(강력한 키가 설정된 경우)

모든 ONTAP 9 릴리스

Netlogon 보안 채널을 설정하는 동안 AES 세션 키를 사용하려면 SVM에서 AES가 활성화되어 있는지 확인해야 합니다.

  • ONTAP 9.14.1부터 AES는 SVM을 생성할 때 기본적으로 사용하도록 설정되며, Netlogon 보안 채널 설정 중에 AES 세션 키를 사용하도록 SVM의 보안 설정을 수정할 필요가 없습니다.

  • ONTAP 9.10.1~9.13.1에서는 SVM을 생성할 때 AES가 기본적으로 사용하지 않도록 설정됩니다. 다음 명령을 사용하여 AES를 사용하도록 설정해야 합니다.

    cifs security modify -vserver vs1 -aes-enabled-for-netlogon-channel true
참고 ONTAP 9.14.1 이상으로 업그레이드할 때 이전 ONTAP 릴리즈와 함께 생성된 기존 SVM에 대한 AES 설정이 자동으로 변경되지 않습니다. 하지만 이러한 SVM에서 AES를 사용하도록 설정하려면 이 설정의 값을 업데이트해야 합니다.

인증 터널을 구성합니다

데이터 SVM을 위해 SMB 서버를 이미 구성한 경우 'security login domain-tunnel create' 명령을 사용하여 SVM을 게이트웨이로 구성하거나, AD에서 클러스터에 액세스하도록 _tunnel_을 사용할 수 있습니다.

시작하기 전에
  • 데이터 SVM을 위해 SMB 서버를 구성해야 합니다.

  • 클러스터의 admin SVM에 액세스하려면 AD 도메인 사용자 계정을 활성화해야 합니다.

  • 이 작업을 수행하려면 클러스터 관리자여야 합니다.

ONTAP 9.10.1부터 AD 액세스를 위한 SVM 게이트웨이(도메인 터널)가 있는 경우 AD 도메인에서 NTLM을 비활성화한 경우 관리자 인증에 Kerberos를 사용할 수 있습니다. 이전 릴리즈에서는 SVM 게이트웨이에 대한 관리자 인증을 사용하여 Kerberos를 지원하지 않았습니다. 이 기능은 기본적으로 사용할 수 있으며 구성이 필요하지 않습니다.

참고 Kerberos 인증은 항상 먼저 시도됩니다. 오류가 발생하면 NTLM 인증이 시도됩니다.
단계
  1. 클러스터에 대한 AD 도메인 컨트롤러 액세스를 위한 인증 터널로 SMB 지원 데이터 SVM 구성:

    security login domain-tunnel create -vserver svm_name

    전체 명령 구문은 을 참조하십시오 "워크시트".

    참고

    사용자가 인증을 받으려면 SVM이 실행 중이어야 합니다.

    다음 명령은 SMB 지원 데이터 SVM ""engData""를 인증 터널로 구성합니다.

    cluster1::>security login domain-tunnel create -vserver engData

도메인에서 SVM 컴퓨터 계정을 생성합니다

데이터 SVM용으로 SMB 서버를 구성하지 않은 경우 'vserver active-directory create' 명령을 사용하여 도메인의 SVM에 대한 컴퓨터 계정을 생성할 수 있습니다.

이 작업에 대해

'vserver active-directory create' 명령을 입력하면 도메인의 지정된 조직 단위에 컴퓨터를 추가할 수 있는 충분한 권한이 있는 AD 사용자 계정에 대한 자격 증명을 제공하라는 메시지가 표시됩니다. 계정의 암호는 비워둘 수 없습니다.

시작하기 전에

이 작업을 수행하려면 클러스터 또는 SVM 관리자여야 합니다.

단계
  1. AD 도메인에서 SVM을 위한 컴퓨터 계정을 생성합니다.

    'vserver active-directory create-vserver_SVM_name_-account-name_NetBIOS_account_name_-domain_domain_-ou_조직_unit_'

    전체 명령 구문은 을 참조하십시오 "워크시트".

    다음 명령을 실행하면 SVM ""engData"" 도메인인 ""example.com`"""ADSERVER1""이라는 컴퓨터 계정이 생성됩니다. 명령을 입력한 후 AD 사용자 계정 자격 증명을 입력하라는 메시지가 표시됩니다.

    cluster1::>vserver active-directory create -vserver engData -account-name ADSERVER1 -domain example.com
    
    In order to create an Active Directory machine account, you must supply the name and password of a Windows account with sufficient privileges to add computers to the "CN=Computers" container within the "example.com" domain.
    
    Enter the user name: Administrator
    
    Enter the password: