SMB共有へのアクセス時にサービスの「システム」認証を使用した場合の影響
環境
- ONTAP 9
- Windowsサービス
回答
- サービス がシステムを使用する場合、認証はマシンアカウントユーザとしてSMBサーバに提示されます。
- Windows OSは、Kerberosを使用できるかどうか、または 認証にNTLMを使用する必要があるかどうかを判断します。
- ONTAPでは、NTLMおよびKerberosを使用してマシンアカウントを認証できます。
- クライアントがNTLMを使用して 認証を行う場合:
- 各CIFSセッションでは 、渡されたクレデンシャルを検証するためにSMBサーバからドメインコントローラ(DC)にアクセスする必要があります。
- CIFSセッションを再利用しない場合は、各ファイル処理で新しいCIFSセッションが開き、DCによるクレデンシャルの検証が必要になります。
- {x}個のファイルを読み取るサービスでは原因、SMBサーバからDCに{x}個のパスワードが検証されます(負荷が非常に高い可能性があります)。
- この問題は、過剰な検証からDCの処理速度が低下し始めると急激に増加し、新しいセッションの認証レイテンシが高くなる可能性があります。
- クライアントがKerberosを使用して認証を行う場合、クライアントは新しいセッションを開くときにサービスチケットを再送信するだけです。
- チケットを復号化するためのペナルティは最小限に抑えられますが、この 認証ワークフローは一般的に 、セキュリティが向上するだけでなく、レイテンシの影響を受けにくくなります。