Go to main content

Oracle® ZFS Storage Appliance 管理指南,发行版 OS8.8.x

退出打印视图

更新时间: 2021 年 8 月
 
 

Active Directory Windows 支持

Active Directory Windows Server 支持

Oracle ZFS Storage Appliance 软件版本 OS8.8.x 支持所有 Active Directory 服务器版本。

Active Directory Windows 客户机支持

从 Windows 10 开始,客户机可以通过创建 TryIPSPN 注册表项来使用基于 IP 地址的服务主体名称 (Service Principal Name, SPN) 进行 Kerberos 验证。有关更多信息,请参见 Configuring Kerberos for IP Addresses(为 IP 地址配置 Kerberos)。但是,Oracle ZFS Storage Appliance 不支持基于 IP 地址的 SPN。

与 Windows 相似,Oracle ZFS Storage Appliance 不将基于 IP 地址的 SPN 注册为 AD 域加入的一部分。Microsoft 注意到基于 IP 地址的 SPN 的以下潜在问题:IP 地址通常不用于代替主机名,因为 IP 地址常常是临时的。因为 IP 地址租用到期和续约,使用 IP 地址可能会导致冲突和验证失败。因此,注册基于 IP 地址的 SPN 是一个手动过程,仅在无法切换到基于 DNS 的主机名时才应使用。

启用 TryIPSPN 注册表设置时,Windows 10 客户机可以继续通过 NTLMSSP 访问设备导出的 SMB 共享资源。如果域管理员已将 cifs\appliance-IP-address SPN 手动添加到设备的 AD 计算机对象的 ServicePrincipalName 属性,则 Windows KDC 将能够为使用基于 IP 地址的 SPN 的设备发出 CIFS 服务票证。但是,如果客户机随后提供使用基于 IP 地址的 SPN 来访问设备上 SMB 资源的 CIFS 服务票证,则由于缺少对基于IP 地址的 SPN 的支持,设备 Kerberos 子系统将拒绝安全上下文。因此,debug.sys 将包含以下通知级别消息:

krbssp: user authentication failed (GSS major error): No credentials were
supplied, or the credentials were unavailable or inaccessible
krbssp: user authentication failed (GSS minor error): No principal in keytab
('FILE:/var/krb5/krb5.keytab') matches desired name cifs/appliance-IP-address@AD-realm

为避免此问题,请不要向 AD 服务器发布基于 IP 地址的 SPN。

相关主题