Active Directory の Windows Server でのサポート
Oracle ZFS Storage Appliance ソフトウェアバージョン OS8.8.x では、すべての Active Directory サーバーバージョンがサポートされています。
Active Directory の Windows Client でのサポート
Windows 10 以降では、クライアントは、TryIPSPN レジストリエントリを作成して、IP アドレスベースのサービスプリンシパル名 (SPN) による Kerberos 認証を有効にできます。詳細は、IP アドレス用の Kerberos の構成を参照してください。ただし、Oracle ZFS Storage Appliance では IP アドレスベースの SPN はサポートされません。
Windows と同様に、Oracle ZFS Storage Appliance では、AD ドメイン参加の一部として IP アドレスベースの SPN は登録されません。Microsoft が注意を促しているとおり、IP アドレスベースの SPN には潜在的な問題があります。つまり、IP アドレスは多くの場合一時的であるため、通常、IP アドレスはホスト名の代わりに使用されません。IP アドレスを使用すると、アドレスリースの期限切れと更新のために競合や認証エラーが発生する可能性があります。そのため、IP アドレスベースの SPN の登録は、手動プロセスであり、DNS ベースのホスト名に切り替えることができない場合にのみ使用します。
TryIPSPN レジストリ設定が有効な場合、Windows 10 クライアントは、NTLMSSP 経由でアプライアンスによってエクスポートされた SMB シェアに引き続きアクセスできます。ドメイン管理者が cifs\appliance-IP-address SPN をアプライアンスの AD コンピュータオブジェクトの ServicePrincipalName 属性に手動で追加している場合、Windows KDC は、IP アドレスベースの SPN を使用するアプライアンス用に CIFS サービスチケットを発行できます。ただし、アプライアンス上の SMB リソースにアクセスするために IP アドレスベースの SPN を使用する CIFS サービスチケットをクライアントがあとから提供した場合、アプライアンスの Kerberos サブシステムでは、IP アドレスベースの SPN がサポートされないためにセキュリティーコンテキストが拒否されます。その結果、debug.sys に次の通知レベルのメッセージが出力されます。
krbssp: user authentication failed (GSS major error): No credentials were
supplied, or the credentials were unavailable or inaccessible
krbssp: user authentication failed (GSS minor error): No principal in keytab
('FILE:/var/krb5/krb5.keytab') matches desired name cifs/appliance-IP-address@AD-realm
この問題を回避するには、IP アドレスベースの SPN を AD サーバーに公開しないでください。
関連トピック