跳转到主内容

NetApp_Insight_2020.png 

Data ONTAP 是否支持跨林信任关系的 Kerberos 身份验证请求

Views:
3
Visibility:
Public
Votes:
0
Category:
data-ontap-8
Specialty:
cifs
Last Updated:

可不使用  

适用于

ONTAP 8

ONTAP 9

解答

  • 是 ONTAP 支持跨林信任关系的 Kerberos 身份验证请求。
  • 为了使用 Kerberos 执行身份验证、客户机请求文件管理器的服务票证。 
  • 当客户机接收到票证后、它将提供给文件管理器。 
  • 然后,文件管理器本身使用其自己版本的密码哈希对票据进行解密。 
  • 如果解密成功,则身份验证将完成。 

其他信息

基于 Kerberos 的跨林信任关系身份验证请求处理:

  • 当两个 Windows Server 2003 目录林由目录林信任连接时、
    • 使用 Kerberos v5 或 NTLM 协议发出的身份验证请求可以在目录林之间路由、以提供对两个目录林中资源的访问。
    • 首次建立林信任时、每个林都会收集其伙伴林中的所有受信任命名空间并将信息存储在 TDO 中。
    • 受信任的命名空间包括域树名称、用户主体名称 (UPN) 后缀、服务主体名称 (SPN) 后缀以及其他林中使用的安全 ID (SID) 命名空间。
    • TDO 对象在全局编录中复制。
  • 在身份验证协议可以遵循目录林信任路径之前、
    • 资源计算机的服务主体名称( SPn )必须解析为另一个目录林中的某个位置。
    • spn 可以是以下内容之一:主机的域名系统 (DNS) 名称、域的 DNS 名称或服务连接点对象的判别名。
    • 当一个目录林中的工作站尝试访问另一个目录林中的资源计算机上的数据时、 Kerberos 身份验证过程会联系本地域控制器以获取资源计算机的 SPn 的服务票证。
  • 一旦域控制器查询全局目录并确定 spn 与域控制器不在同一目录林中、
    • 域控制器将其父域的参照发送回工作站。
    • 此时,工作站会向父域查询服务票证并继续跟踪参照链,直至到达资源所在的域。

 

下图详细描述了 Kerberos 身份验证过程、使用运行 Windows 2000 Professional 、 Windows XP Professional 、 Windows 2000 Server 或 Windows Server 2003 系列的成员尝试从位于不同林中的另一台计算机访问资源。

krb_auth.jpg

  1. 用户 1 使用来自 Europe.corp.GoodStorage.com 域的凭据登录到工作站 1 。
    • 然后,用户尝试访问位于 usa.corp.nicestorage.com 目录林中的 filer1 上的共享资源。
  2. 工作站 1 与域控制器( ChildDC1 )上的 Kerberos 密钥分发中心( KDC )联系,并为文件管理器 1 spn 请求服务票证。
  3. Childdc1 在其域数据库中找不到 spn 并查询全局目录以查看 GoodStorage.com 林中的任何域是否包含此 SPn 。
    • 由于全局编录仅限于其自己的目录林、因此未找到 spn 。
    • 然后,全局编录会检查其数据库中是否有与其林建立的任何林信任关系的信息、如果找到,则会将林信任的域对象( TDO )中列出的名称后缀与目标 spn 的后缀进行比较以查找匹配项。
    • 一旦找到匹配项、全局编录将提供返回到 ChildDC1 的路由提示。
    • 路由提示有助于将身份验证请求定向到目标林、并且仅在所有传统身份验证通道(本地域控制器、然后是全局目录)都无法找到一个 spn 时才使用。
  4. ChildDC1 将其父域的参照发送回工作站 1 。
  5. 工作站 1 与 ForestRootDC1 (其父域)中的域控制器联系,以获得对 NICESTorage.com 林的林根域中的域控制器 (ForestRootDC2) 的引用。
  6. 对于请求的服务的服务票证、 Workstation 1 会联系 NICESTorage.com 目录林中的 ForestRootDC2 。
  7. ForestRootDC2 会联系其全局目录以查找 SPn ,而全局编录会查找与 SPn 匹配的内容并将其发送回 ForestRootDC2 。
  8. 然后, forestrootdc2 将引用发送到 usa.corp.nicestorage.com 返回到 workstation1 。
  9. 工作站 1 与 Childdc2 上的 KDC 联系并协商用户 1 的票证以访问文件管理器 1 。
  10. 一旦工作站 1 具有服务票据、它就会将服务票据发送至文件管理器 1 、该文件将读取用户 1 的安全凭证并相应地构造访问令牌。