メインコンテンツまでスキップ

NetApp_Insight_2020.png 

ONTAP は Kerberos チケットの SID 圧縮をサポートしていますか。

Views:
33
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
cifs
Last Updated:

に適用されます

  • ONTAP 9
  • 『Data ONTAP 8.
  • 7-Mode 8.1.2P2 以降で動作する Data ONTAP

回答

Data ONTAPは、許可されたSMBセッションの作成時にKerberos認証をサポートします。

追加情報

  • SID 圧縮は、 7-Mode 8.1.4 で動作する Data ONTAP で最初にサポートされましたが、 8.1.2P2 に戻されました
  • Kerberosは、クライアント / サーバ環境内で強力な認証を提供するプロトコルです。プロトコルの基本原理は、秘密鍵を共有化する暗号化方式です。これにより、ネットワーク環境にセキュアな認証を提供します。
  • KerberosはActive Directoryのプライマリ認証サービスです。KerberosサーバのKerberos Key Distribution Center(KDC;キー配布センター)サービスは、Active Directoryに対してセキュリティ プリンシパルに関する情報の格納や取得を行います。NTLMモデルと異なる点は、Active DirectoryクライアントがCIFSサーバなどの別のコンピュータとのセッションの確立を求める場合、直接KDCにアクセスしてそのセッションのクレデンシャルを取得するところです。
  • Active DirectoryサーバがWindows Server 2012上にホストされている場合、Key Distribution Center(KDC)でリソースSID圧縮機能を使用できます。
  • Microsoftでは、Windows Server 2012向けのKerberos実装の強化機能として、リソース ドメイン内のグループのセキュリティ識別子(SID)をKDCで自動的に圧縮するKDCリソースSID圧縮と呼ばれる機能を導入しています。この圧縮により、サービス チケットのサイズが小さくなり、チケットのサイズが大きいために発生するアプリケーション認証エラーを減らすことができます。KDCでは、リソースSIDを圧縮するためにターゲット リソースが属するリソース ドメインのSIDを格納し、各リソースのSIDのRIDの部分だけを認証データのResourceGroupIdの部分に挿入します。