Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configure a visão geral do acesso do controlador de domínio do ative Directory

Colaboradores

Você deve configurar o acesso do controlador de domínio do AD ao cluster ou SVM antes que uma conta do AD possa acessar o SVM. Se você já tiver configurado um servidor SMB para um SVM de dados, poderá configurar o SVM como um gateway, ou tunnel, para acesso AD ao cluster. Se você não tiver configurado um servidor SMB, poderá criar uma conta de computador para o SVM no domínio AD.

O ONTAP oferece suporte aos seguintes serviços de autenticação de controlador de domínio:

  • Kerberos

  • LDAP

  • NETLOGON

  • Autoridade de Segurança local (LSA)

O ONTAP suporta os seguintes algoritmos de chave de sessão para conexões seguras de Netlogon:

Algoritmo da chave de sessão

Disponível a partir de…​

HMAC-SHA256, com base no padrão de criptografia avançada (AES) se o cluster estiver executando o ONTAP 9.9,1 ou anterior e o controlador de domínio forçar o AES para serviços de Netlogon seguros, a conexão falhará. Nesse caso, você precisa reconfigurar seu controlador de domínio para aceitar conexões de chave forte com o ONTAP.

ONTAP 9.10,1

DES e HMAC-MD5 (quando a chave forte está definida)

Todos os lançamentos do ONTAP 9

Se você quiser usar chaves de sessão AES durante o estabelecimento de canal seguro Netlogon, você precisa verificar se o AES está habilitado no SVM.

  • A partir do ONTAP 9.14,1, o AES é ativado por padrão quando você cria um SVM e não precisa modificar as configurações de segurança do seu SVM para usar chaves de sessão AES durante o estabelecimento de canal seguro Netlogon.

  • No ONTAP 9.10,1 a 9.13.1, o AES é desativado por padrão quando você cria um SVM. Você precisa ativar o AES usando o seguinte comando:

    cifs security modify -vserver vs1 -aes-enabled-for-netlogon-channel true
Observação Quando você atualiza para o ONTAP 9.14,1 ou posterior, a configuração AES para SVMs existentes que foram criadas com versões mais antigas do ONTAP não será alterada automaticamente. Você ainda precisa atualizar o valor dessa configuração para ativar o AES nesses SVMs.

Configurar um túnel de autenticação

Se você já tiver configurado um servidor SMB para um SVM de dados, poderá usar o security login domain-tunnel create comando para configurar o SVM como um gateway, ou tunnel, para acesso AD ao cluster.

Antes de começar
  • Você precisa ter configurado um servidor SMB para um data SVM.

  • Você deve ter habilitado uma conta de usuário de domínio do AD para acessar o SVM do administrador do cluster.

  • Você deve ser um administrador de cluster para executar esta tarefa.

A partir do ONTAP 9.10,1, se você tiver um gateway SVM (túnel de domínio) para acesso AD, você poderá usar o Kerberos para autenticação de administrador se tiver desabilitado o NTLM no domínio do AD. Em versões anteriores, o Kerberos não era compatível com autenticação de administrador para gateways SVM. Esta funcionalidade está disponível por padrão; nenhuma configuração é necessária.

Observação A autenticação Kerberos é sempre tentada primeiro. Em caso de falha, a autenticação NTLM é então tentada.
Passo
  1. Configure um SVM de dados habilitado para SMB como um túnel de autenticação para acesso do controlador de domínio do AD ao cluster:

    security login domain-tunnel create -vserver svm_name

    Para obter a sintaxe de comando completa, consulte "folha de trabalho".

    Observação

    O SVM deve estar em execução para que o usuário seja autenticado.

    O comando a seguir configura o SVM de dados habilitado para SMB "'engData" como um túnel de autenticação.

    cluster1::>security login domain-tunnel create -vserver engData

Crie uma conta de computador SVM no domínio

Se você não tiver configurado um servidor SMB para um SVM de dados, poderá usar o vserver active-directory create comando para criar uma conta de computador para o SVM no domínio.

Sobre esta tarefa

Depois de inserir o vserver active-directory create comando, você será solicitado a fornecer as credenciais para uma conta de usuário do AD com Privileges suficiente para adicionar computadores à unidade organizacional especificada no domínio. A senha da conta não pode estar vazia.

Antes de começar

Você deve ser um administrador de cluster ou SVM para executar essa tarefa.

Passo
  1. Crie uma conta de computador para um SVM no domínio AD:

    vserver active-directory create -vserver SVM_name -account-name NetBIOS_account_name -domain domain -ou organizational_unit

    Para obter a sintaxe de comando completa, consulte "folha de trabalho".

    O comando a seguir cria uma conta de computador chamada "'ADSERVER1"" no domínio "'example.com`" para SVM "'engData". Você será solicitado a inserir as credenciais da conta de usuário do AD depois de inserir o comando.

    cluster1::>vserver active-directory create -vserver engData -account-name ADSERVER1 -domain example.com
    
    In order to create an Active Directory machine account, you must supply the name and password of a Windows account with sufficient privileges to add computers to the "CN=Computers" container within the "example.com" domain.
    
    Enter the user name: Administrator
    
    Enter the password: