SMB客户端如何识别要使用的身份验证模式?
适用场景
- ONTAP 9
- SMB/CIFS身份验证
问题解答
SMB客户端根据客户端和服务器功能、域成员资格、服务主体名称(Service Principal Name、SPN)注册、网络配置和显式设置在Kerberos和NTLM身份验证之间进行选择。
现代系统倾向于使用Kerberos、这是一种更安全的协议。在以下情况下使用Kerberos:
- 客户端和服务器均支持此功能。
- 它们是同一个或受信任的Active Directory (AD)域的成员。
- 已为目标服务器注册有效的SPN。
总之、SMB客户端在支持Kerberos且配置正确时更倾向于Kerberos;否则、它将使用NTLM身份验证。
追加信息
- 要将SMB服务器限制为仅使用Kerberos、可以通过LM-Compatability设置对其进行限制。
- CIFS Kerberos的ONTAP 要求
- ONTAP 如何处理SMB客户端身份验证