Active Directory Windows Server 지원
Oracle ZFS Storage Appliance 소프트웨어 버전 OS8.8.x는 모든 Active Directory 서버 버전을 지원합니다.
Active Directory Windows 클라이언트 지원
Windows 10부터 클라이언트는 TryIPSPN 레지스트리 항목을 만들어 IP 주소 기반 SPN(서비스 주체 이름)으로 Kerberos 인증을 사용으로 설정할 수 있습니다. 자세한 내용은 Configuring Kerberos for IP Addresses를 참조하십시오. 단, Oracle ZFS Storage Appliance는 IP 주소 기반 SPN을 지원하지 않습니다.
Windows와 마찬가지로 Oracle ZFS Storage Appliance는 AD 도메인 연결의 일부로 IP 주소 기반 SPN을 등록하지 않습니다. Microsoft는 IP 주소 기반 SPN과 관련하여 "IP 주소는 일시적인 경우가 많아 일반적으로 호스트 이름 대신 IP 주소가 사용되지 않는다"는 잠재적인 문제에 주목합니다. IP 주소를 사용하면 주소 임대 만료와 갱신에 따라 충돌 및 인증 실패가 발생할 수 있습니다. 따라서 IP 주소 기반 SPN 등록은 수동 프로세스이며 DNS 기반 호스트 이름으로 전환될 가능성이 없는 경우에만 사용되어야 합니다.
TryIPSPN 레지스트리 설정이 사용으로 설정된 경우 Windows 10 클라이언트는 NTLMSSP를 통해 어플라이언스가 내보낸 SMB 공유에 계속 액세스할 수 있습니다. 도메인 관리자가 수동으로 cifs\appliance-IP-address SPN을 어플라이언스의 AD 컴퓨터 객체에 대한 ServicePrincipalName 속성에 추가한 경우 Windows KDC는 IP 주소 기반 SPN을 사용하여 어플라이언스에 대한 CIFS 서비스 티켓을 발행할 수 있습니다. 단, 클라이언트가 나중에 어플라이언스의 SMB 리소스에 액세스하기 위해 IP 주소 기반 SPN을 사용하는 CIFS 서비스 티켓을 제공하는 경우 어플라이언스 Kerberos 부속 시스템은 IP 주소 기반 SPN에 대한 지원 부족으로 인해 보안 컨텍스트를 거부합니다. 따라서 debug.sys에 다음과 같은 알림 레벨의 메시지가 포함됩니다.
krbssp: user authentication failed (GSS major error): No credentials were supplied, or the credentials were unavailable or inaccessible krbssp: user authentication failed (GSS minor error): No principal in keytab ('FILE:/var/krb5/krb5.keytab') matches desired name cifs/appliance-IP-address@AD-realm
이 문제가 발생하지 않도록 하려면 IP 주소 기반 SPN을 AD 서버에 게시하지 마십시오.
관련 항목