CIFS Kerberos の ONTAP 要件
環境
- ONTAP 9
- Microsoft Windows
- CIFS / SMB
- Kerberos
回答
- KerberosはActive Directoryのプライマリ認証サービスです
- Microsoft はNTLM認証の制限を提案しています
- ONTAP CIFS SVMからKerberos認証が使用されていることを確認するには、次の条件を満たす必要があります。
- DNSサーバ手順 上のSMBサーバのマップに従います。
- [1]
setspn -l
Windowsのコマンド でSVMのSMBサーバ名を指定して、SMB共有にアクセスするためにUNCのservernameセクションで使用されているホスト名、エイリアス、Fully Qualified Domain Name(FQDN;完全修飾ドメイン名)、またはIPアドレスが登録されていることを確認します。 使用されているservnameに一致するエントリが返されない場合は、SPNの設定方法に従ってください。
C:\>setspn -l svm1
Registered ServicePrincipalNames for CN=SVM1,CN=Computers,DC=domain,DC=local:
HOST/svm1.domain.local
HOST/SVM1
- ONTAP とActive Directoryドメインコントローラの時間差が、 ONTAP と Active Directoryの両方でデフォルトの5分を超えることはありません。
- すべてのドメインコントローラでRC4によるKerberosのサポートが無効になっている場合は、 CIFS SVMでKerberosベースの通信用のAES暗号化を有効にします。
追加情報
- 確立されたCIFSセッションの認証メカニズムを識別する方法
- DNSエイリアス/CNAMEがSPNとして設定されていないと認証に失敗するため、CIFS/SMBにアクセスできません
- Kerberos はネットアップ固有のものではなく、業界標準のプロトコルです