エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9.14

to English version

Active Directoryドメイン コントローラー アクセスの設定 - 概要

ADアカウントからSVMにアクセスするためには、ADドメイン コントローラーからクラスタまたはSVMへのアクセスを設定しておく必要があります。データSVM用のSMBサーバーがすでに設定されている場合は、SVMをクラスタへのADアクセス用のゲートウェイ(トンネル)として設定できます。SMBサーバーを設定していない場合は、ADドメインにSVM用のコンピューター アカウントを作成します。

ONTAPでは、次のドメイン コントローラー認証サービスがサポートされます。

  • Kerberos

  • LDAP

  • Netlogon

  • Local Security Authority(LSA)

ONTAPでは、セキュアーなNetlogon接続を実現するために次のセッション キー アルゴリズムがサポートされます。

セッション キー アルゴリズム

対応するONTAPバージョン

Advanced Encryption Standard(AES)に基づくHMAC-SHA256

ONTAP 9.10.1以降

DESおよびHMAC-MD5(強力なキーが設定されている場合)

ONTAP 9のすべてのリリース

Netlogonセキュアーチャネルの確立中にAESセッションキーを使用する場合は、AESがSVMでイネーブルになっていることを確認する必要があります。

ONTAP 9.14.1以降では、SVM作成時にAESがデフォルトで有効になるため、Netlogonのセキュアーチャネル確立時にAESセッションキーを使用するようにSVMのセキュリティ設定を変更する必要はありません。

ONTAP 9.10.1~9.13.1では、SVM作成時にAESがデフォルトで無効になります。次のコマンドを使用してAESを有効にする必要があります。

cifs security modify -vserver vs1 -aes-enabled-for-netlogon-channel true

デフォルトは「false」です。

ONTAP 9.10.1よりも前のリリースでは、ドメイン コントローラーがセキュアーなNetlogonサービスにAESを使用すると、接続に失敗します。これらのリリースでは、強力なキーによるONTAPとの接続を受け入れるようにドメイン コントローラーを設定する必要があります。

認証トンネルの設定

データSVMにSMBサーバーがすでに設定されている場合は、security login domain-tunnel createコマンドを使用してSVMをクラスタへのADアクセス用のゲートウェイ(トンネル)として設定できます。

開始する前に
  • データSVM用のSMBサーバーを設定しておく必要があります。

  • ADドメインのユーザーアカウントにクラスタの管理SVMへのアクセスを許可しておく必要があります。

  • このタスクを実行するには、クラスタ管理者である必要があります。

ONTAP 9.10.1以降では、ADアクセス用のSVMゲートウェイ(ドメイン トンネル)がある場合、ADドメインでNTLMを無効にしていれば、管理認証にKerberosを使用できます。以前のリリースでは、SVMゲートウェイの管理認証にKerberosは使用できませんでした。この機能はデフォルトで使用可能であり、設定は必要ありません。

Kerberos認証は常に最初に試行されます。失敗した場合、次にNTLM認証が試行されます。
手順
  1. SMB対応のデータSVMをADドメイン コントローラーがクラスタにアクセスするための認証トンネルとして設定します。

    security login domain-tunnel create -vserver svm_name

    コマンド構文全体については、ワークシートを参照してください。

    ユーザーを認証するには、SVMが実行されている必要があります。

    次のコマンドは、「engData」というSMB対応のデータSVMを認証トンネルとして設定するものです。

    cluster1::>security login domain-tunnel create -vserver engData

ドメインでのSVMコンピューター アカウントの作成

データSVM用のSMBサーバーを設定していない場合は、vserver active-directory createコマンドを使用して、ドメインにSVM用のコンピューター アカウントを作成できます。

タスク概要

vserver active-directory createコマンドを入力すると、ドメイン内の指定した組織単位にコンピューターを追加する権限を持つADユーザー アカウントのクレデンシャルを入力するように求められます。アカウントのパスワードを空にすることはできません。

開始する前に

このタスクを実行するには、クラスタ管理者またはSVMの管理者である必要があります。

手順
  1. ADドメインにSVM用のコンピューター アカウントを作成します。

    vserver active-directory create -vserver SVM_name -account-name NetBIOS_account_name -domain domain -ou organizational_unit

    コマンド構文全体については、ワークシートを参照してください。

    次のコマンドは、ドメイン「example.com」にSVM 「engData」用の「ADSERVER1」という名前のコンピューター アカウントを作成するものです。コマンドを入力すると、ADユーザー アカウントのクレデンシャルの入力を求められます。

    cluster1::>vserver active-directory create -vserver engData -account-name ADSERVER1 -domain example.com
    
    In order to create an Active Directory machine account, you must supply the name and password of a Windows account with sufficient privileges to add computers to the "CN=Computers" container within the "example.com" domain.
    
    Enter the user name: Administrator
    
    Enter the password:
Top of Page