Data ONTAP では、フォレストの信頼を越えたKerberos認証要求をサポートしていますか。
すべてのとおり
環境
ONTAP 9
回答
- はいONTAP では、フォレストの信頼を越えたKerberos認証要求をサポートしています
- Kerberosによる認証を実行するために、クライアントはFilerのサービス・チケットを要求します。
- クライアントはチケットを受信すると、Filerに渡されます。
- Filer自体は、独自のバージョンのパスワード・ハッシュを使用して、チケットを復号化します。
- 復号化に成功した場合、認証は完了しています。
追加情報
フォレストの信頼関係全体での認証要求のKerberosベースの処理:
- 2つのWindows Serverフォレストがフォレストの信頼で接続されている場合は、
- Kerberos v5またはNTLMプロトコルを使用して行われた認証要求は、フォレスト間でルーティングして、両方のフォレストのリソースへのアクセスを提供できます。
- フォレストの信頼が最初に確立されると、各フォレストは、信頼できるすべての名前空間をパートナーフォレストに収集し、その情報をTDOに格納します。
- 信頼できるネームスペースには、ドメインツリー名、UPN(User Principal Name)サフィックス、SPN(Service Principal Name)サフィックス、および他のフォレストで使用されるSecurity ID(SID;セキュリティID)ネームスペースが含まれます。
- TDOオブジェクトはグローバルカタログに複製されます。
- 認証プロトコルがフォレストの信頼パスに従う前に、
- リソースコンピュータのService Principal Name(SPN;サービスプリンシパル名)は、他のフォレスト内の場所に解決されている必要があります。
- SPNには、ホストのDomain Name System(DNS;ドメインネームシステム)名、ドメインのDNS名、またはサービス接続ポイントオブジェクトの識別名を指定できます。
- あるフォレスト内のワークステーションが別のフォレスト内のリソースコンピュータ上のデータにアクセスしようとすると、Kerberos認証プロセスがローカルドメインコントローラにアクセスし、リソースコンピュータのSPNのサービスチケットを取得します。
- ドメインコントローラがグローバルカタログを照会し、SPNがドメインコントローラと同じフォレストにないことを確認したら、
- ドメインコントローラは、その親ドメインのリファーラルをワークステーションに戻します。
- この時点で、ワークステーションは親ドメインにサービスチケットを問い合わせ、リソースが存在するドメインに到達するまで、リファーラルチェーンを続行します。
次の図 は'Windowsクライアントを実行しているユーザーが別のフォレストにある別のコンピュータからリソースにアクセスする場合のKerberos認証プロセスの詳細な概要 を示しています
- user1は、europe.corp.goodstorage.comドメインのクレデンシャルを使用してワークステーション1にログオンします。
- 次に、ユーザは、usa.corp.nicestorage.comフォレスト内にあるFiler1上の共有リソースにアクセスしようとします。
- ワークステーション1は、ドメイン(ChildDC1)内のドメインコントローラ上のKerberos Key Distribution Center(KDC)に接続し、Filer1 SPNのサービスチケットを要求します。
- ChildDC1はドメインデータベースでSPNを見つけず、グローバルカタログに照会して、goodstorage.comフォレスト内のドメインにこのSPNが含まれているかどうかを確認します。
- グローバルカタログは自身のフォレストに限定されているため、SPNは見つかりません。
- その後、グローバルカタログは、そのフォレストと確立されたフォレストの信頼に関する情報をデータベースでチェックし、見つかった場合は、フォレストの信頼できるドメインオブジェクト(TDO)にリストされている名前接尾辞とターゲットSPNのサフィックスを比較して、一致するものを見つけます。
- 一致が見つかると、グローバルカタログはChildDC1にルーティングヒントを返します。
- ルーティングヒントは、宛先フォレストへの認証要求の送信に役立ちます。また、すべての従来の認証チャネル(ローカルドメインコントローラ、グローバルカタログ)がSPNを見つけることができなかった場合にのみ使用されます。
- ChildDC1は親ドメインのリファーラルをワークステーション1に戻します。
- workstation1は、ForestRootDC1(その親ドメイン)内のドメインコントローラに連絡し、nicestorage.comフォレストのフォレストルートドメイン内のドメインコントローラ(ForestRootDC2)へのリファーラルを求めます。
- ワークステーション1は、要求されたサービスへのサービスチケットをnicestorage.comフォレスト内のForestRootDC2に接続します。
- ForestRootDC2はグローバルカタログにアクセスしてSPNを検索し、グローバルカタログはSPNに対する一致を見つけてForestRootDC2に返します。
- 次に、ForestRootDC2がusa.corp.nicestorage.comにリファーラルを送信してワークステーション1に戻します。
- ワークステーション1は子DC2のKDCに接続し、User1のチケットをネゴシエートしてFiler1へのアクセスを取得します。
- ワークステーション1がサービスチケットを持つと、そのサービスチケットがFiler1に送信されます。Filer1は、User1のセキュリティクレデンシャルを読み取り、それに応じてアクセストークンを作成します。