发行说明
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。
创建用于 SMB 身份验证的 keytab 文件
贡献者
建议更改
-
本文档站点的 PDF
-
NAS 存储管理
-
单独 PDF 文档的收集
Creating your file...
This may take a few minutes. Thanks for your patience.
Your file is ready
从 ONTAP 9.7 开始, ONTAP 支持使用 keytab 文件对 Active Directory ( AD )服务器进行 SVM 身份验证。AD管理员生成一个keytab文件、并将其作为统一资源标识符(URI)提供给ONTAP管理员 vserver cifs 命令要求对AD域进行Kerberos身份验证。
AD管理员可以使用标准Windows Server创建keytab文件 ktpass 命令:此命令应在需要进行身份验证的主域上运行。。 ktpass 命令只能用于为主域用户生成keytab文件;不支持使用受信任域用户生成的密钥。
系统会为特定 ONTAP 管理员用户生成 keytab 文件。只要管理员用户的密码不更改,为特定加密类型和域生成的密钥就不会更改。因此,每当更改管理员用户的密码时,都需要一个新的 keytab 文件。
支持以下加密类型:
-
ES256-SHA1
-
DES-CBC-MD5
ONTAP 不支持 DES-CBC-CRC 加密类型。
-
RC4-HMAC
AES256 是最高的加密类型,如果在 ONTAP 系统上启用,则应使用此类型。
可以通过指定管理员密码或使用随机生成的密码来生成 keytab 文件。但是,在任何给定时间,只能使用一个密码选项,因为在 AD 服务器上需要管理员用户专用的专用密钥来解密 keytab 文件中的密钥。对特定管理员的私钥进行任何更改都会使 keytab 文件失效。