Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configure o acesso do controlador de domínio do ative Directory no ONTAP

Colaboradores netapp-mwallis netapp-bhouser netapp-ahibbard netapp-thomi netapp-aaron-holt netapp-forry netapp-aherbin
PDFs

Você deve configurar o acesso do controlador de domínio do AD ao cluster ou SVM antes que uma conta do AD possa acessar o SVM. Se você já tiver configurado um servidor SMB para um SVM de dados, poderá configurar o SVM como um gateway, ou tunnel, para acesso AD ao cluster. Se você não tiver configurado um servidor SMB, poderá criar uma conta de computador para o SVM no domínio AD.

O ONTAP oferece suporte aos seguintes serviços de autenticação de controlador de domínio:

  • Kerberos

  • LDAP

  • NETLOGON

  • Autoridade de Segurança local (LSA)

O ONTAP suporta os seguintes algoritmos de chave de sessão para conexões seguras de Netlogon:

Algoritmo da chave de sessão

Disponível a partir de…​

HMAC-SHA256, com base no padrão de criptografia avançada (AES) se o cluster estiver executando o ONTAP 9.9,1 ou anterior e o controlador de domínio forçar o AES para serviços de Netlogon seguros, a conexão falhará. Nesse caso, você precisa reconfigurar seu controlador de domínio para aceitar conexões de chave forte com o ONTAP.

ONTAP 9.10,1

DES e HMAC-MD5 (quando a chave forte está definida)

Todos os lançamentos do ONTAP 9

Se você quiser usar chaves de sessão AES durante o estabelecimento de canal seguro Netlogon, você precisa verificar se o AES está habilitado no SVM.

  • A partir do ONTAP 9.14,1, o AES é ativado por padrão quando você cria um SVM e não precisa modificar as configurações de segurança do seu SVM para usar chaves de sessão AES durante o estabelecimento de canal seguro Netlogon.

  • No ONTAP 9.10,1 a 9.13.1, o AES é desativado por padrão quando você cria um SVM. Você precisa ativar o AES usando o seguinte comando:

    cifs security modify -vserver vs1 -aes-enabled-for-netlogon-channel true
Observação Quando você atualiza para o ONTAP 9.14,1 ou posterior, a configuração AES para SVMs existentes que foram criadas com versões mais antigas do ONTAP não será alterada automaticamente. Você ainda precisa atualizar o valor dessa configuração para ativar o AES nesses SVMs.

Configurar um túnel de autenticação

Se você já tiver configurado um servidor SMB para um SVM de dados, poderá usar o security login domain-tunnel create comando para configurar o SVM como um gateway, ou tunnel, para acesso AD ao cluster.

Antes do ONTAP 9.16.1, você deve usar um túnel de autenticação para gerenciar contas de administrador de cluster com o AD.

Antes de começar

  • Você precisa ter configurado um servidor SMB para um data SVM.

  • Você deve ter habilitado uma conta de usuário de domínio do AD para acessar o SVM do administrador do cluster.

  • Você deve ser um administrador de cluster para executar esta tarefa.

A partir do ONTAP 9.10,1, se você tiver um gateway SVM (túnel de domínio) para acesso AD, você poderá usar o Kerberos para autenticação de administrador se tiver desabilitado o NTLM no domínio do AD. Em versões anteriores, o Kerberos não era compatível com autenticação de administrador para gateways SVM. Esta funcionalidade está disponível por padrão; nenhuma configuração é necessária.

Observação A autenticação Kerberos é sempre tentada primeiro. Em caso de falha, a autenticação NTLM é então tentada.
Passos

  1. Configure um SVM de dados habilitado para SMB como um túnel de autenticação para acesso do controlador de domínio do AD ao cluster:

    security login domain-tunnel create -vserver <svm_name>

    Saiba mais sobre security login domain-tunnel create o "Referência do comando ONTAP"na .

    Observação

    O SVM deve estar em execução para que o usuário seja autenticado.

    O comando a seguir configura o SVM de dados habilitado para SMB engData como um túnel de autenticação.

    cluster1::>security login domain-tunnel create -vserver engData

Crie uma conta de computador SVM no domínio

Se você não tiver configurado um servidor SMB para um SVM de dados, poderá usar o vserver active-directory create comando para criar uma conta de computador para o SVM no domínio.

Sobre esta tarefa

Depois de inserir o vserver active-directory create comando, você será solicitado a fornecer as credenciais para uma conta de usuário do AD com Privileges suficiente para adicionar computadores à unidade organizacional especificada no domínio. A senha da conta não pode estar vazia.

A partir do ONTAP 9.16.1, você pode usar este procedimento para gerenciar contas de administrador de cluster com o AD.

Antes de começar

Você deve ser um administrador de cluster ou SVM para executar essa tarefa.

Passos

  1. Crie uma conta de computador para um SVM no domínio AD:

    vserver active-directory create -vserver <SVM_name> -account-name <NetBIOS_account_name> -domain <domain> -ou <organizational_unit>

    A partir do ONTAP 9.16.1, o -vserver parâmetro aceita o administrador SVM. Saiba mais sobre vserver active-directory create o "Referência do comando ONTAP"na .

    O comando a seguir cria uma conta de computador nomeada ADSERVER1 no domínio example.com para SVM engData. Você será solicitado a inserir as credenciais da conta de usuário do AD depois de inserir o comando.

    cluster1::>vserver active-directory create -vserver engData -account-name ADSERVER1 -domain example.com

In order to create an Active Directory machine account, you must supply the name and password of a Windows account with sufficient privileges to add computers to the "CN=Computers" container within the "example.com" domain.

Enter the user name: Administrator

Enter the password: