Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置 Active Directory 域控制器访问概述

贡献者

您必须先配置 AD 域控制器对集群或 SVM 的访问, AD 帐户才能访问 SVM 。如果您已为数据SVM配置SMB服务器、则可以将此SVM配置为网关或_tannel"、以便对集群进行AD访问。如果尚未配置 SMB 服务器,则可以在 AD 域上为 SVM 创建计算机帐户。

ONTAP 支持以下域控制器身份验证服务:

  • Kerberos

  • LDAP

  • 网络登录

  • 本地安全机构( LSA )

ONTAP 支持以下会话密钥算法来实现安全的网络登录连接:

会话密钥算法

可用开头为…​

HMAC-SHA256 ,基于高级加密标准( AES )

如果集群运行的是ONTAP 9.9.1或更早版本、并且域控制器对安全Netlogon服务强制实施AES、则连接将失败。在这种情况下、您需要重新配置域控制器、以接受与ONTAP的强密钥连接。

ONTAP 9.10.1

DES 和 HMAC-MD5 (设置了强密钥时)

所有 ONTAP 9 版本

如果要在建立Netlogon安全通道期间使用AES会话密钥、则需要验证是否已在SVM上启用AES。

  • 从ONTAP 9.14.1开始、创建SVM时会默认启用AES、您无需修改SVM的安全设置、即可在Netlogon安全通道建立期间使用AES会话密钥。

  • 在ONTAP 9.10.1到9.13.1中、创建SVM时、AES默认处于禁用状态。您需要使用以下命令启用AES:

    cifs security modify -vserver vs1 -aes-enabled-for-netlogon-channel true
备注 升级到ONTAP 9.14.1或更高版本时、使用旧版ONTAP创建的现有SVM的AES设置不会自动更改。要在这些SVM上启用AES、您仍需要更新此设置的值。

配置身份验证通道

如果已为数据SVM配置SMB服务器、则可以使用 security login domain-tunnel create 命令将SVM配置为网关或_tannel"、以便对集群进行AD访问。

开始之前
  • 您必须已为数据SVM配置SMB服务器。

  • 您必须已启用 AD 域用户帐户才能访问集群的管理 SVM 。

  • 您必须是集群管理员才能执行此任务。

从 ONTAP 9.10.1 开始,如果您有用于 AD 访问的 SVM 网关(域通道),则在 AD 域中禁用 NTLM 后,您可以使用 Kerberos 进行管理员身份验证。在早期版本中, SVM 网关的管理员身份验证不支持 Kerberos 。默认情况下,此功能可用;不需要任何配置。

备注 始终先尝试 Kerberos 身份验证。如果发生故障,则会尝试 NTLM 身份验证。
步骤
  1. 将启用了SMB的数据SVM配置为身份验证通道、以便AD域控制器能够访问集群:

    security login domain-tunnel create -vserver svm_name

    有关完整的命令语法,请参见 "工作表"

    备注

    要对用户进行身份验证,必须运行 SVM 。

    以下命令会将启用了SMB的数据SVM"`engData`"配置为身份验证通道。

    cluster1::>security login domain-tunnel create -vserver engData

在域上创建 SVM 计算机帐户

如果尚未为数据SVM配置SMB服务器、则可以使用 vserver active-directory create 命令为域中的SVM创建计算机帐户。

关于此任务

输入后 vserver active-directory create 命令时、系统会提示您提供AD用户帐户的凭据、该帐户具有足够的权限、可以将计算机添加到域中的指定组织单位。帐户的密码不能为空。

开始之前

要执行此任务,您必须是集群或 SVM 管理员。

步骤
  1. 在 AD 域上为 SVM 创建计算机帐户:

    vserver active-directory create -vserver SVM_name -account-name NetBIOS_account_name -domain domain -ou organizational_unit

    有关完整的命令语法,请参见 "工作表"

    以下命令会在域"`example.com`" for SVM"`engData`"上创建一个名为"`ADSERVER1`"的计算机帐户。输入命令后,系统将提示您输入 AD 用户帐户凭据。

    cluster1::>vserver active-directory create -vserver engData -account-name ADSERVER1 -domain example.com
    
    In order to create an Active Directory machine account, you must supply the name and password of a Windows account with sufficient privileges to add computers to the "CN=Computers" container within the "example.com" domain.
    
    Enter the user name: Administrator
    
    Enter the password: