配置 Active Directory 域控制器访问概述
建议更改
PDF
您必须先配置 AD 域控制器对集群或 SVM 的访问, AD 帐户才能访问 SVM 。如果您已为数据SVM配置SMB服务器、则可以将此SVM配置为网关或_tannel"、以便对集群进行AD访问。如果尚未配置 SMB 服务器,则可以在 AD 域上为 SVM 创建计算机帐户。
ONTAP 支持以下域控制器身份验证服务:
-
Kerberos
-
LDAP
-
网络登录
-
本地安全机构( LSA )
ONTAP 支持以下会话密钥算法来实现安全的网络登录连接:
会话密钥算法 |
可用开头为… |
HMAC-SHA256 ,基于高级加密标准( AES ) 如果集群运行的是ONTAP 9.9.1或更早版本、并且域控制器对安全Netlogon服务强制实施AES、则连接将失败。在这种情况下、您需要重新配置域控制器、以接受与ONTAP的强密钥连接。 |
ONTAP 9.10.1 |
DES 和 HMAC-MD5 (设置了强密钥时) |
所有 ONTAP 9 版本 |
如果要在建立Netlogon安全通道期间使用AES会话密钥、则需要验证是否已在SVM上启用AES。
-
从ONTAP 9.14.1开始、创建SVM时会默认启用AES、您无需修改SVM的安全设置、即可在Netlogon安全通道建立期间使用AES会话密钥。
-
在ONTAP 9.10.1到9.13.1中、创建SVM时、AES默认处于禁用状态。您需要使用以下命令启用AES:
cifs security modify -vserver vs1 -aes-enabled-for-netlogon-channel true
|
升级到ONTAP 9.14.1或更高版本时、使用旧版ONTAP创建的现有SVM的AES设置不会自动更改。要在这些SVM上启用AES、您仍需要更新此设置的值。 |
配置身份验证通道
如果已为数据SVM配置SMB服务器、则可以使用 security login domain-tunnel create 命令将SVM配置为网关或_tannel"、以便对集群进行AD访问。
-
您必须已为数据SVM配置SMB服务器。
-
您必须已启用 AD 域用户帐户才能访问集群的管理 SVM 。
-
您必须是集群管理员才能执行此任务。
从 ONTAP 9.10.1 开始,如果您有用于 AD 访问的 SVM 网关(域通道),则在 AD 域中禁用 NTLM 后,您可以使用 Kerberos 进行管理员身份验证。在早期版本中, SVM 网关的管理员身份验证不支持 Kerberos 。默认情况下,此功能可用;不需要任何配置。
|
|
始终先尝试 Kerberos 身份验证。如果发生故障,则会尝试 NTLM 身份验证。 |
-
将启用了SMB的数据SVM配置为身份验证通道、以便AD域控制器能够访问集群:
security login domain-tunnel create -vserver svm_name有关完整的命令语法,请参见 "工作表"。
要对用户进行身份验证,必须运行 SVM 。
以下命令会将启用了SMB的数据SVM"`engData`"配置为身份验证通道。
cluster1::>security login domain-tunnel create -vserver engData
在域上创建 SVM 计算机帐户
如果尚未为数据SVM配置SMB服务器、则可以使用 vserver active-directory create 命令为域中的SVM创建计算机帐户。
输入后 vserver active-directory create 命令时、系统会提示您提供AD用户帐户的凭据、该帐户具有足够的权限、可以将计算机添加到域中的指定组织单位。帐户的密码不能为空。
要执行此任务,您必须是集群或 SVM 管理员。
-
在 AD 域上为 SVM 创建计算机帐户:
vserver active-directory create -vserver SVM_name -account-name NetBIOS_account_name -domain domain -ou organizational_unit有关完整的命令语法,请参见 "工作表"。
以下命令会在域"`example.com`" for SVM"`engData`"上创建一个名为"`ADSERVER1`"的计算机帐户。输入命令后,系统将提示您输入 AD 用户帐户凭据。
cluster1::>vserver active-directory create -vserver engData -account-name ADSERVER1 -domain example.com In order to create an Active Directory machine account, you must supply the name and password of a Windows account with sufficient privileges to add computers to the "CN=Computers" container within the "example.com" domain. Enter the user name: Administrator Enter the password: