Data ONTAP 是否支持跨林信任的Kerberos身份验证请求?
不可不使用
适用场景
ONTAP 9
问题解答
- 是的ONTAP 支持跨林信任的Kerberos身份验证请求
- 为了使用Kerberos执行身份验证、客户端会请求存储器的服务单。
- 当客户端收到服务单时、它会提供给存储器。
- 然后、存储器本身会使用自己版本的密码哈希对票证进行解密。
- 如果解密成功、则身份验证完成。
追加信息
基于Kerberos处理跨林信任的身份验证请求:
- 当两个Windows Server林通过林信任连接时、
- 使用Kerberos V5或NTLM协议发出的身份验证请求可以在两个林之间路由、以便访问这两个林中的资源。
- 首次建立林信任时、每个林都会收集其配对林中的所有受信任命名空间、并将信息存储在TDO中。
- 可信命名空间包括其他林中使用的域树名称、用户主体名称(UPN)后缀、服务主体名称(SPN)后缀和安全ID (SID)命名空间。
- TDO对象会复制到全局目录中。
- 在身份验证协议遵循林信任路径之前、
- 必须将资源计算机的服务主体名称(SPN)解析为另一个林中的某个位置。
- SPN可以是以下选项之一:主机的域名系统(DNS)名称、域的DNS名称或服务连接点对象的可分辨名称。
- 当一个林中的工作站尝试访问另一个林中的资源计算机上的数据时、Kerberos身份验证过程会联系本地域控制器以获取资源计算机SPN的服务单。
- 域控制器查询全局目录并确定SPN与域控制器不在同一个林中后、
- 域控制器将其父域的转介发送回工作站。
- 此时、工作站将向父域查询服务单、并继续遵循转介链、直到到达资源所在的域为止。
下图 详细介绍了运行Windows客户端并尝试从位于不同林中的另一台计算机访问资源的用户的Kerberos身份验证过程问题描述。
- 用户1使用europe.corp.goodstorage.com域中的凭据登录到Workstation1。
- 然后、用户尝试访问位于usa.corp.nicestorage.com林中Filer1上的共享资源。
- Workstation1联系其域(子DC1)中域控制器上的Kerberos密钥分发中心(KDC)、并请求Filer1 SPN的服务单。
- 子网DC1在其域数据库中找不到SPN、并查询全局目录以查看goodstorage.com林中是否有任何域包含此SPN。
- 由于全局目录仅限于其自身的林、因此未找到SPN。
- 然后、全局目录会检查其数据库中与其林建立的任何林信任关系的信息、如果找到、则会将林信任的受信任域对象(TDO)中列出的名称后缀与目标SPN的后缀进行比较以查找匹配项。
- 找到匹配项后、全局目录会向子目录DC1提供路由提示。
- 路由提示有助于将身份验证请求定向到目标林、并且仅在所有传统身份验证通道(本地域控制器和全局目录)均无法找到SPN时使用。
- 子网DC1将其父域的转介发送回Workstation1。
- Workstation1会联系ForestRootDC1 (其父域)中的域控制器、以转介到nicestorage.com林的林根域中的域控制器(ForestRootDC2)。
- Workstation1会联系nicestorage.com林中的ForestRootDC2以获取所请求服务的服务单。
- ForestRootDC2会联系其全局目录以查找SPN、而全局目录会查找SPN的匹配项并将其发送回ForestRootDC2。
- 然后、ForestRootDC2会将转介发至usa.corp.nicestorage.com并发送回Workstation1。
- Workstation1与子系统DC2上的KDC联系、并协商用户1的票证以获得Filer1的访问权限。
- 一旦Workstation1有服务票证、它就会将服务票证发送到Filer1、Filer1将读取用户1的安全凭据并相应地构建访问令牌。