跳转到主内容

Data ONTAP 是否支持跨林信任的Kerberos身份验证请求?

Views:
24
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

可不使用  

适用场景

ONTAP 9

问题解答

  • 是的ONTAP 支持跨林信任的Kerberos身份验证请求
    • 为了使用Kerberos执行身份验证、客户端会请求存储器的服务单。 
    • 当客户端收到服务单时、它会提供给存储器。 
    • 然后、存储器本身会使用自己版本的密码哈希对票证进行解密。 
    • 如果解密成功、则身份验证完成。 

    追加信息

    基于Kerberos处理跨林信任的身份验证请求:

    • 当两个Windows Server林通过林信任连接时、
      • 使用Kerberos V5或NTLM协议发出的身份验证请求可以在两个林之间路由、以便访问这两个林中的资源。
      • 首次建立林信任时、每个林都会收集其配对林中的所有受信任命名空间、并将信息存储在TDO中。
      • 可信命名空间包括其他林中使用的域树名称、用户主体名称(UPN)后缀、服务主体名称(SPN)后缀和安全ID (SID)命名空间。
      • TDO对象会复制到全局目录中。
    • 在身份验证协议遵循林信任路径之前、
      • 必须将资源计算机的服务主体名称(SPN)解析为另一个林中的某个位置。
      • SPN可以是以下选项之一:主机的域名系统(DNS)名称、域的DNS名称或服务连接点对象的可分辨名称。
      • 当一个林中的工作站尝试访问另一个林中的资源计算机上的数据时、Kerberos身份验证过程会联系本地域控制器以获取资源计算机SPN的服务单。
    • 域控制器查询全局目录并确定SPN与域控制器不在同一个林中后、
      • 域控制器将其父域的转介发送回工作站。
      • 此时、工作站将向父域查询服务单、并继续遵循转介链、直到到达资源所在的域为止。

     

    下图 详细介绍了运行Windows客户端并尝试从位于不同林中的另一台计算机访问资源的用户的Kerberos身份验证过程问题描述。

    krb_auth.jpg

    1. 用户1使用europe.corp.goodstorage.com域中的凭据登录到Workstation1。
      • 然后、用户尝试访问位于usa.corp.nicestorage.com林中Filer1上的共享资源。
    2. Workstation1联系其域(子DC1)中域控制器上的Kerberos密钥分发中心(KDC)、并请求Filer1 SPN的服务单。
    3. 子网DC1在其域数据库中找不到SPN、并查询全局目录以查看goodstorage.com林中是否有任何域包含此SPN。
      • 由于全局目录仅限于其自身的林、因此未找到SPN。
      • 然后、全局目录会检查其数据库中与其林建立的任何林信任关系的信息、如果找到、则会将林信任的受信任域对象(TDO)中列出的名称后缀与目标SPN的后缀进行比较以查找匹配项。
      • 找到匹配项后、全局目录会向子目录DC1提供路由提示。
      • 路由提示有助于将身份验证请求定向到目标林、并且仅在所有传统身份验证通道(本地域控制器和全局目录)均无法找到SPN时使用。
    4. 子网DC1将其父域的转介发送回Workstation1。
    5. Workstation1会联系ForestRootDC1 (其父域)中的域控制器、以转介到nicestorage.com林的林根域中的域控制器(ForestRootDC2)。
    6. Workstation1会联系nicestorage.com林中的ForestRootDC2以获取所请求服务的服务单。
    7. ForestRootDC2会联系其全局目录以查找SPN、而全局目录会查找SPN的匹配项并将其发送回ForestRootDC2。
    8. 然后、ForestRootDC2会将转介发至usa.corp.nicestorage.com并发送回Workstation1。
    9. Workstation1与子系统DC2上的KDC联系、并协商用户1的票证以获得Filer1的访问权限。
    10. 一旦Workstation1有服务票证、它就会将服务票证发送到Filer1、Filer1将读取用户1的安全凭据并相应地构建访问令牌。

     

    NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.