简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

创建用于 SMB 身份验证的 keytab 文件

提供者

从 ONTAP 9.7 开始, ONTAP 支持使用 keytab 文件对 Active Directory ( AD )服务器进行 SVM 身份验证。AD 管理员会生成一个 keytab 文件,并将其作为统一资源标识符( Uniform Resource Identifier , URI )提供给 ONTAP 管理员,当 vserver cifs 命令需要对 AD 域进行 Kerberos 身份验证时,会提供此文件。

AD 管理员可以使用标准 Windows Server ktpass 命令创建 keytab 文件。此命令应在需要进行身份验证的主域上运行。只能使用 ktpass 命令为主域用户生成 keytab 文件;不支持使用受信任域用户生成的密钥。

系统会为特定 ONTAP 管理员用户生成 keytab 文件。只要管理员用户的密码不更改,为特定加密类型和域生成的密钥就不会更改。因此,每当更改管理员用户的密码时,都需要一个新的 keytab 文件。

支持以下加密类型:

  • AES256-SHA1

  • DES-CBC-MD5

    注

    ONTAP 不支持 DES-CBC-CRC 加密类型。

  • RC4-HMAC

AES256 是最高的加密类型,如果在 ONTAP 系统上启用,则应使用此类型。

可以通过指定管理员密码或使用随机生成的密码来生成 keytab 文件。但是,在任何给定时间,只能使用一个密码选项,因为在 AD 服务器上需要管理员用户专用的专用密钥来解密 keytab 文件中的密钥。对特定管理员的私钥进行任何更改都会使 keytab 文件失效。