メインコンテンツへスキップ

Data ONTAP では、フォレストの信頼を越えたKerberos認証要求をサポートしていますか。

  1. 最後の更新
  2. PDFとして保存
Views:
335
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

すべてのとおり  

環境

ONTAP 9

回答

  • はいONTAP では、フォレストの信頼を越えたKerberos認証要求をサポートしています
    • Kerberosによる認証を実行するために、クライアントはFilerのサービス・チケットを要求します。 
    • クライアントはチケットを受信すると、Filerに渡されます。 
    • Filer自体は、独自のバージョンのパスワード・ハッシュを使用して、チケットを復号化します。 
    • 復号化に成功した場合、認証は完了しています。 

    追加情報

    フォレストの信頼関係全体での認証要求のKerberosベースの処理:

    • 2つのWindows Serverフォレストがフォレストの信頼で接続されている場合は、
      • Kerberos v5またはNTLMプロトコルを使用して行われた認証要求は、フォレスト間でルーティングして、両方のフォレストのリソースへのアクセスを提供できます。
      • フォレストの信頼が最初に確立されると、各フォレストは、信頼できるすべての名前空間をパートナーフォレストに収集し、その情報をTDOに格納します。
      • 信頼できるネームスペースには、ドメインツリー名、UPN(User Principal Name)サフィックス、SPN(Service Principal Name)サフィックス、および他のフォレストで使用されるSecurity ID(SID;セキュリティID)ネームスペースが含まれます。
      • TDOオブジェクトはグローバルカタログに複製されます。
    • 認証プロトコルがフォレストの信頼パスに従う前に、
      • リソースコンピュータのService Principal Name(SPN;サービスプリンシパル名)は、他のフォレスト内の場所に解決されている必要があります。
      • SPNには、ホストのDomain Name System(DNS;ドメインネームシステム)名、ドメインのDNS名、またはサービス接続ポイントオブジェクトの識別名を指定できます。
      • あるフォレスト内のワークステーションが別のフォレスト内のリソースコンピュータ上のデータにアクセスしようとすると、Kerberos認証プロセスがローカルドメインコントローラにアクセスし、リソースコンピュータのSPNのサービスチケットを取得します。
    • ドメインコントローラがグローバルカタログを照会し、SPNがドメインコントローラと同じフォレストにないことを確認したら、
      • ドメインコントローラは、その親ドメインのリファーラルをワークステーションに戻します。
      • この時点で、ワークステーションは親ドメインにサービスチケットを問い合わせ、リソースが存在するドメインに到達するまで、リファーラルチェーンを続行します。

     

    次の は'Windowsクライアントを実行しているユーザーが別のフォレストにある別のコンピュータからリソースにアクセスする場合のKerberos認証プロセスの詳細な概要 を示しています

    krb_auth.jpg

    1. user1は、europe.corp.goodstorage.comドメインのクレデンシャルを使用してワークステーション1にログオンします。
      • 次に、ユーザは、usa.corp.nicestorage.comフォレスト内にあるFiler1上の共有リソースにアクセスしようとします。
    2. ワークステーション1は、ドメイン(ChildDC1)内のドメインコントローラ上のKerberos Key Distribution Center(KDC)に接続し、Filer1 SPNのサービスチケットを要求します。
    3. ChildDC1はドメインデータベースでSPNを見つけず、グローバルカタログに照会して、goodstorage.comフォレスト内のドメインにこのSPNが含まれているかどうかを確認します。
      • グローバルカタログは自身のフォレストに限定されているため、SPNは見つかりません。
      • その後、グローバルカタログは、そのフォレストと確立されたフォレストの信頼に関する情報をデータベースでチェックし、見つかった場合は、フォレストの信頼できるドメインオブジェクト(TDO)にリストされている名前接尾辞とターゲットSPNのサフィックスを比較して、一致するものを見つけます。
      • 一致が見つかると、グローバルカタログはChildDC1にルーティングヒントを返します。
      • ルーティングヒントは、宛先フォレストへの認証要求の送信に役立ちます。また、すべての従来の認証チャネル(ローカルドメインコントローラ、グローバルカタログ)がSPNを見つけることができなかった場合にのみ使用されます。
    4. ChildDC1は親ドメインのリファーラルをワークステーション1に戻します。
    5. workstation1は、ForestRootDC1(その親ドメイン)内のドメインコントローラに連絡し、nicestorage.comフォレストのフォレストルートドメイン内のドメインコントローラ(ForestRootDC2)へのリファーラルを求めます。
    6. ワークステーション1は、要求されたサービスへのサービスチケットをnicestorage.comフォレスト内のForestRootDC2に接続します。
    7. ForestRootDC2はグローバルカタログにアクセスしてSPNを検索し、グローバルカタログはSPNに対する一致を見つけてForestRootDC2に返します。
    8. 次に、ForestRootDC2がusa.corp.nicestorage.comにリファーラルを送信してワークステーション1に戻します。
    9. ワークステーション1は子DC2のKDCに接続し、User1のチケットをネゴシエートしてFiler1へのアクセスを取得します。
    10. ワークステーション1がサービスチケットを持つと、そのサービスチケットがFiler1に送信されます。Filer1は、User1のセキュリティクレデンシャルを読み取り、それに応じてアクセストークンを作成します。

     

     

    NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.