Active Directory Windows Server 支持
Oracle ZFS Storage Appliance 软件版本 OS8.8.x 支持所有 Active Directory 服务器版本。
Active Directory Windows 客户机支持
从 Windows 10 开始,客户机可以通过创建 TryIPSPN 注册表项来使用基于 IP 地址的服务主体名称 (Service Principal Name, SPN) 进行 Kerberos 验证。有关更多信息,请参见 Configuring Kerberos for IP Addresses(为 IP 地址配置 Kerberos)。但是,Oracle ZFS Storage Appliance 不支持基于 IP 地址的 SPN。
与 Windows 相似,Oracle ZFS Storage Appliance 不将基于 IP 地址的 SPN 注册为 AD 域加入的一部分。Microsoft 注意到基于 IP 地址的 SPN 的以下潜在问题:IP 地址通常不用于代替主机名,因为 IP 地址常常是临时的。因为 IP 地址租用到期和续约,使用 IP 地址可能会导致冲突和验证失败。因此,注册基于 IP 地址的 SPN 是一个手动过程,仅在无法切换到基于 DNS 的主机名时才应使用。
启用 TryIPSPN 注册表设置时,Windows 10 客户机可以继续通过 NTLMSSP 访问设备导出的 SMB 共享资源。如果域管理员已将 cifs\appliance-IP-address SPN 手动添加到设备的 AD 计算机对象的 ServicePrincipalName 属性,则 Windows KDC 将能够为使用基于 IP 地址的 SPN 的设备发出 CIFS 服务票证。但是,如果客户机随后提供使用基于 IP 地址的 SPN 来访问设备上 SMB 资源的 CIFS 服务票证,则由于缺少对基于IP 地址的 SPN 的支持,设备 Kerberos 子系统将拒绝安全上下文。因此,debug.sys 将包含以下通知级别消息:
krbssp: user authentication failed (GSS major error): No credentials were supplied, or the credentials were unavailable or inaccessible krbssp: user authentication failed (GSS minor error): No principal in keytab ('FILE:/var/krb5/krb5.keytab') matches desired name cifs/appliance-IP-address@AD-realm
为避免此问题,请不要向 AD 服务器发布基于 IP 地址的 SPN。
相关主题