CIFS Kerberos の ONTAP 要件

環境

• ONTAP 9
• Microsoft Windows
• CIFS / SMB
• Kerberos

回答

• KerberosはActive Directoryのプライマリ認証サービス
• Microsoft 、NTLM認証の制限を提案
•  ONTAP CIFS SVMからKerberos認証が使用されていることを確認するには、次の条件を満たす必要があります。

1. DNSサーバ 手順上のSMBサーバのマップに従います。
2. [1]  setspn -l Windowsのコマンドで SVMのSMBサーバ名を指定して、SMB共有にアクセスするためにUNCのservernameセクションで使用されているホスト名、エイリアス、Fully Qualified Domain Name（FQDN；完全修飾ドメイン名）、またはIPアドレスが登録されていることを確認します。  使用されているservnameに一致するエントリが 返されない場合は、 SPNの設定方法に従ってください。

C:\>setspn -l svm1
Registered ServicePrincipalNames for CN=SVM1,CN=Computers,DC=domain,DC=local:
     HOST/svm1.domain.local
     HOST/SVM1

3. ONTAPとActive Directoryドメインコントローラの時間差が 、ONTAP と Active Directoryの両方でデフォルトの5分を超えることはありません。
4.  すべてのドメインコントローラでRC4によるKerberosのサポートが無効になっている場合 は、 CIFS SVMでKerberosベースの通信用のAES暗号化を有効にします。

追加情報

• 確立されたCIFSセッションの認証メカニズムの識別方法
• DNSエイリアス/CNAME がSPNとして設定されていないと認証に失敗するため、CIFS/SMBにアクセスできない
• Kerberosは 業界標準であり、NetApp固有ではない
  • Kerberos Microsoft Kerberos認証の概要
  • Kerberos：ネットワーク認証プロトコル