マシンアカウントが削除されたときにKerberos認証が機能するのはなぜですか。
環境
- ONTAP 9
- CIFS / SMB
- Kerberos
回答
- Kerberos認証は、KDC(通常はドメインコントローラ)によって付与されたチケットに基づいており、チケットは有効期限が切れるまでクライアント側にキャッシュされます。
- マシンアカウントが無効になったり削除されたりすると、クライアントは、マシンアカウントが有効であるか既存であるかをKDCで確認せずに、有効期限が切れるまで、すでに付与されているチケットを使用します。
例: 既存のチケットがONTAPとすでに共有されているため、権限が取り消されても、許可されたCIFSセッションは引き続き機能します。 - これは想定される動作です。
追加情報
AdditionalInformation_text