メインコンテンツまでスキップ

NetApp_Insight_2020.png 

Data ONTAP は、フォレストの信頼間で Kerberos 認証要求をサポートしていますか

Views:
26
Visibility:
Public
Votes:
0
Category:
data-ontap-8
Specialty:
cifs
Last Updated:

すべてのとおり  

に適用されます

ONTAP 8 以上

ONTAP 9

回答

  • はい。 ONTAP はフォレストの信頼間で Kerberos 認証要求をサポートしています。
  • Kerberos 認証を実行するために、クライアントは Filer のサービスチケットを要求します。 
  • クライアントがチケットを受信すると、 Filer に送信されます。 
  • 次に、 Filer 自体が独自のバージョンのパスワード・ハッシュを使用してチケットを復号化します。 
  • 復号化が成功すると、認証が完了します。 

追加情報

フォレスト間の認証要求の Kerberos ベースの処理:

  • 2 つの Windows Server 2003 フォレストがフォレストの信頼によって接続されている場合、
    • Kerberos v5 または NTLM プロトコルを使用して行われた認証要求は、フォレスト間でルーティングされ、両方のフォレストのリソースにアクセスできます。
    • フォレストの信頼が最初に確立されると、各フォレストはパートナーフォレスト内のすべての信頼された名前空間を収集し、その情報を Tdo に格納します。
    • 信頼される名前空間には、他のフォレストで使用されているドメインツリー名、ユーザープリンシパル名 (UPN) サフィックス、サービスプリンシパル名 (SPN) サフィックス、およびセキュリティ ID (SID) 名前空間が含まれます。
    • Tdo オブジェクトはグローバルカタログにレプリケートされます。
  • 認証プロトコルがフォレストの信頼パスに従う前に、
    • リソースコンピュータのサービスプリンシパル名 (SPN) は、他のフォレスト内の場所に解決する必要があります。
    • SPN は、ホストの DNS 名、ドメインの DNS 名、またはサービス接続ポイントオブジェクトの識別名のいずれかです。
    • あるフォレスト内のワークステーションが別のフォレスト内のリソースコンピュータ上のデータにアクセスしようとすると、 Kerberos 認証プロセスは、リソースコンピュータの SPN のサービスチケットについてローカルドメインコントローラに問い合わせます。
  • ドメインコントローラがグローバルカタログを照会し、 SPN がドメインコントローラと同じフォレストにないことを確認したら、
    • ドメインコントローラは、親ドメインの紹介をワークステーションに送信します。
    • その時点で、ワークステーションは親ドメインにサービスチケットを照会し、リソースが配置されているドメインに到達するまで、紹介チェーンに従います。

 

次の図に、 Windows 2000 Professional 、 Windows XP Professional 、 Windows 2000 Server 、または Windows Server 2003 ファミリーのメンバーを使用して、別のフォレストにある別のコンピュータからリソースにアクセスしようとする Kerberos 認証プロセスの詳細を示します。

krb_auth.jpg

  1. user1 は、 Europe.corp.goodstorage.com ドメインのクレデンシャルを使用して、 workstation1 にログオンします。
    • 次に、ユーザは、 usa.corp.nicestorage.com フォレストにある filer1 の共有リソースにアクセスしようとします。
  2. ワークステーション 1 は、ドメイン内のドメインコントローラ( ChildDC1 )上の Kerberos Key Distribution Center ( KDC )に接続し、 Filer SPN1 のサービスチケットを要求します。
  3. ChildDC1 は、ドメインデータベース内の SPN を検出せず、グローバルカタログに問い合わせて、 goodstorage.com フォレスト内のドメインにこの SPN が含まれているかどうかを確認します。
    • グローバルカタログは独自のフォレストに限定されるため、 SPN は見つかりません。
    • グローバルカタログは、そのフォレストと確立されているフォレストの信頼に関する情報をデータベースで確認し、見つかった場合は、フォレストの信頼の信頼されたドメインオブジェクト (TDI) にリストされている名前のサフィックスと、ターゲット SPN のサフィックスを比較して一致を検索します。
    • 一致するものが見つかると、グローバルカタログは ChildDC1 へのルーティングヒントを提供します。
    • ルーティングヒントは、認証要求を宛先フォレストに送信するのに役立ちます。また、すべての従来の認証チャネル(ローカルドメインコントローラ、グローバルカタログ)が SPN を見つけられなかった場合にのみ使用されます。
  4. ChildDC1 は親ドメインの紹介を Workstation 1 に送信します。
  5. Workstation 1 は、 NiceStorage.com フォレストのフォレストルートドメインにあるドメインコントローラ( ForestRootDC2 )への参照を、 ForestRootDC1 (親ドメイン)のドメインコントローラに問い合わせます。
  6. Workstation 1 は、 NIEStorage.com フォレスト内の ForestRootDC2 に連絡して、要求されたサービスへのサービスチケットを確認します。
  7. ForestRootDC2 は、グローバルカタログに問い合わせて SPN を検索し、グローバルカタログは SPN と一致する SPN を検索して、 ForestRootDC2 に返します。
  8. 次に、 ForestRootDC2 は、参照を usa.corp.nicestorage.com に送信して、 Workstation 1 に戻します。
  9. ワークステーション 1 は、 ChildDC2 上の KDC に接続し、 user1 が Filer1 にアクセスするためのチケットをネゴシエートします。
  10. ワークステーション 1 にサービスチケットが設定されると、サービスチケットが filer1 に送信されます。これにより、 user1 のセキュリティクレデンシャルが読み取られ、それに応じてアクセストークンが作成されます。