访问SMB共享时对服务使用"系统"身份验证有何影响
适用场景
- ONTAP 9
- Windows服务
问题解答
- 当服务 使用系统时、身份验证将以计算机帐户用户的身份提供给SMB服务器。
- Windows操作系统将确定是否可以使用Kerberos、或者是否必须使用 NTLM进行身份验证
- ONTAP允许计算机帐户通过NTLM和Kerberos进行身份验证
- 如果客户端使用NTLM 进行身份验证:
- 每个CIFS会话都需要SMB服务器访问域控制器(DC) 以验证传递的凭据
- 如果不重复使用CIFS会话、则每个文件操作都将打开一个新的CIFS会话、并需要通过DC验证凭据
- 读取{x}个文件的服务会将{x}个密码验证从SMB服务器发生原因到DC (可能会非常繁重)
- 如果DC从过多验证开始减慢速度、则此问题描述会呈指数级增长、从而可能导致新会话的身份验证延迟较长
- 如果客户端使用Kerberos进行身份验证、则在打开新会话时、客户端只需重新提交服务单即可
- 虽然解密票证的代价很小、但此 身份验证工作流 除了更安全之外、通常更不容易受到延迟的影响