跳转到主内容

NetApp wins prestigious Coveo Relevance Pinnacle Award. Learn more!

Data ONTAP 是否支持跨林信任的Kerberos身份验证请求?

Views:
18
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

可不使用  

适用场景

ONTAP 9

问题解答

  • 是的ONTAP 支持跨林信任的Kerberos身份验证请求
    • 为了使用Kerberos执行身份验证、客户端会请求存储器的服务单。 
    • 当客户端收到服务单时、它会提供给存储器。 
    • 然后、存储器本身会使用自己版本的密码哈希对票证进行解密。 
    • 如果解密成功、则身份验证完成。 

    追加信息

    基于Kerberos处理跨林信任的身份验证请求:

    • 当两个Windows Server林通过林信任连接时、
      • 使用Kerberos V5或NTLM协议发出的身份验证请求可以在两个林之间路由、以便访问这两个林中的资源。
      • 首次建立林信任时、每个林都会收集其配对林中的所有受信任命名空间、并将信息存储在TDO中。
      • 可信命名空间包括其他林中使用的域树名称、用户主体名称(UPN)后缀、服务主体名称(SPN)后缀和安全ID (SID)命名空间。
      • TDO对象会复制到全局目录中。
    • 在身份验证协议遵循林信任路径之前、
      • 必须将资源计算机的服务主体名称(SPN)解析为另一个林中的某个位置。
      • SPN可以是以下选项之一:主机的域名系统(DNS)名称、域的DNS名称或服务连接点对象的可分辨名称。
      • 当一个林中的工作站尝试访问另一个林中的资源计算机上的数据时、Kerberos身份验证过程会联系本地域控制器以获取资源计算机SPN的服务单。
    • 域控制器查询全局目录并确定SPN与域控制器不在同一个林中后、
      • 域控制器将其父域的转介发送回工作站。
      • 此时、工作站将向父域查询服务单、并继续遵循转介链、直到到达资源所在的域为止。

     

    下图 详细介绍了运行Windows客户端并尝试从位于不同林中的另一台计算机访问资源的用户的Kerberos身份验证过程问题描述。

    krb_auth.jpg

    1. 用户1使用europe.corp.goodstorage.com域中的凭据登录到Workstation1。
      • 然后、用户尝试访问位于usa.corp.nicestorage.com林中Filer1上的共享资源。
    2. Workstation1联系其域(子DC1)中域控制器上的Kerberos密钥分发中心(KDC)、并请求Filer1 SPN的服务单。
    3. 子网DC1在其域数据库中找不到SPN、并查询全局目录以查看goodstorage.com林中是否有任何域包含此SPN。
      • 由于全局目录仅限于其自身的林、因此未找到SPN。
      • 然后、全局目录会检查其数据库中与其林建立的任何林信任关系的信息、如果找到、则会将林信任的受信任域对象(TDO)中列出的名称后缀与目标SPN的后缀进行比较以查找匹配项。
      • 找到匹配项后、全局目录会向子目录DC1提供路由提示。
      • 路由提示有助于将身份验证请求定向到目标林、并且仅在所有传统身份验证通道(本地域控制器和全局目录)均无法找到SPN时使用。
    4. 子网DC1将其父域的转介发送回Workstation1。
    5. Workstation1会联系ForestRootDC1 (其父域)中的域控制器、以转介到nicestorage.com林的林根域中的域控制器(ForestRootDC2)。
    6. Workstation1会联系nicestorage.com林中的ForestRootDC2以获取所请求服务的服务单。
    7. ForestRootDC2会联系其全局目录以查找SPN、而全局目录会查找SPN的匹配项并将其发送回ForestRootDC2。
    8. 然后、ForestRootDC2会将转介发至usa.corp.nicestorage.com并发送回Workstation1。
    9. Workstation1与子系统DC2上的KDC联系、并协商用户1的票证以获得Filer1的访问权限。
    10. 一旦Workstation1有服务票证、它就会将服务票证发送到Filer1、Filer1将读取用户1的安全凭据并相应地构建访问令牌。

     

    Scan to view the article on your device