Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定Active Directory網域控制器存取總覽

貢獻者
PDF

您必須先設定AD網域控制器存取叢集或SVM、AD帳戶才能存取SVM。如果您已為資料SVM設定SMB伺服器、則可將SVM設定為閘道、或將_tunnel_設定為用於AD存取叢集的閘道。如果您尚未設定SMB伺服器、可以在AD網域上建立SVM的電腦帳戶。

支援下列網域控制器驗證服務:ONTAP

  • Kerberos

  • LDAP

  • Netlogon

  • 本機安全性授權(LSA)

支援下列工作階段金鑰演算法以確保Netlogon連線安全:ONTAP

工作階段金鑰演算法

可從 …​ 開始使用。

HMA-SHA256、以進階加密標準(AES)為基礎

如果您的叢集執行的是 ONTAP 9.9.1 或更早版本、而且您的網域控制器會強制執行 AES 來提供安全的 Netlogon 服務、則連線會失敗。在這種情況下、您需要重新設定網域控制器、改為接受與 ONTAP 的強大金鑰連線。

零點9.10.1 ONTAP

DE和HMC-MD5(設定強式金鑰時)

所有ONTAP 的版本

如果您想要在 Netlogon 安全通道建立期間使用 AES 工作階段金鑰、則需要驗證 SVM 上是否已啟用 AES 。

  • 從 ONTAP 9.14.1 開始、在建立 SVM 時、預設會啟用 AES 、而且您不需要修改 SVM 的安全設定、即可在 Netlogon 安全通道建立期間使用 AES 工作階段金鑰。

  • 在 ONTAP 9.10.1 至 9.13.1 中、建立 SVM 時、預設會停用 AES 。您需要使用下列命令來啟用 AES :

    cifs security modify -vserver vs1 -aes-enabled-for-netlogon-channel true
註 當您升級至 ONTAP 9.14.1 或更新版本時、以舊版 ONTAP 建立的現有 SVM 的 AES 設定將不會自動變更。您仍需要更新此設定的值、才能在這些 SVM 上啟用 AES 。

設定驗證通道

如果您已為資料 SVM 設定 SMB 伺服器、則可以使用 security login domain-tunnel create 命令將 SVM 設定為閘道或 tunnel 、以便 AD 存取叢集。

開始之前

  • 您必須為資料SVM設定SMB伺服器。

  • 您必須啟用AD網域使用者帳戶、才能存取叢集的管理SVM。

  • 您必須是叢集管理員才能執行此工作。

從ONTAP 《S209.10.1》開始、如果您有SVM閘道(網域通道)可供AD存取、則如果您在AD網域中停用了NTLM、就可以使用Kerberos進行系統管理驗證。在舊版中、不支援Kerberos搭配SVM閘道的管理驗證。此功能預設為可用、不需設定。

註 一律會先嘗試Kerberos驗證。一旦失敗、就會嘗試執行NTLM驗證。
步驟

  1. 將啟用SMB的資料SVM設定為驗證通道、以便AD網域控制器存取叢集:

    security login domain-tunnel create -vserver svm_name

    如需完整的命令語法、請參閱 "工作表"

    註

    SVM必須執行、使用者才能通過驗證。

    下列命令會將啟用 SMB 的資料 SVM 「 'engData' 」設定為驗證通道。

    cluster1::>security login domain-tunnel create -vserver engData

在網域上建立SVM電腦帳戶

如果您尚未設定資料 SVM 的 SMB 伺服器、則可以使用 vserver active-directory create 命令、為網域上的 SVM 建立電腦帳戶。

關於這項工作

輸入之後 vserver active-directory create 命令時、系統會提示您提供 AD 使用者帳戶的認證、並提供足夠的權限、以便將電腦新增至網域中指定的組織單位。帳戶密碼不可空白。

開始之前

您必須是叢集或SVM管理員、才能執行此工作。

步驟

  1. 在AD網域上建立SVM的電腦帳戶:

    vserver active-directory create -vserver SVM_name -account-name NetBIOS_account_name -domain domain -ou organizational_unit

    如需完整的命令語法、請參閱 "工作表"

    下列命令會在網域 "'example.com`" for SVM “engData" 上建立名為 "`ADSERVER1” 的電腦帳戶。輸入命令後、系統會提示您輸入AD使用者帳戶認證。

    cluster1::>vserver active-directory create -vserver engData -account-name ADSERVER1 -domain example.com

In order to create an Active Directory machine account, you must supply the name and password of a Windows account with sufficient privileges to add computers to the "CN=Computers" container within the "example.com" domain.

Enter the user name: Administrator

Enter the password: