Prise en charge de Windows Server par Active Directory
La version OS8.8x du logiciel Oracle ZFS Storage Appliance prend en charge toutes les versions de serveur Active Directory.
Prise en charge des clients Windows par Active Directory
A partir de Windows 10, les clients peuvent activer l'authentification Kerberos avec des noms de principal de service basés sur des adresses IP en créant une entrée dans le registre TryIPSPN. Pour plus d'informations, reportez-vous à Configuring Kerberos for IP Addresses. Toutefois, Oracle ZFS Storage Appliance ne prend pas en charge les noms de principal de service basés sur des adresses IP.
Comme Windows, Oracle ZFS Storage Appliance n'inscrit pas les noms de principal de service basés sur des adresse IP dans le cadre de la jonction de domaine AD. Microsoft note les problèmes potentiels suivants avec les noms de principal de service basés sur des adresses IP : les adresses IP ne sont généralement pas utilisées à la place de noms d'hôte, car elles sont souvent temporaires. L'utilisation d'adresses IP peut entraîner des conflits et des échecs d'authentification, car les baux d'adresse expirent et sont renouvelés. Ainsi, l'inscription d'un nom de principal de service basé sur une adresse IP est un processus manuel et doit uniquement être utilisé lorsqu'il n'est pas possible de passer à un nom d'hôte DNS.
Lorsque le paramètre du registre TryIPSPN est activé, les clients Windows 10 peuvent continuer à accéder aux partages SMB exportés par l'appareil via NTLMSSP. Si l'administrateur de domaine a ajouté manuellement des noms de principal de service cifs\appliance-IP-address à l'attribut ServicePrincipalName de l'objet ordinateur AD de l'appareil, le service KDC pour Windows peut émettre des tickets de service CIFS pour l'appareil qui utilise des noms de principal de service basés sur des adresses IP. Toutefois, si le client présente par la suite un ticket de service CIFS utilisant des noms de principal de service basés sur des adresses IP pour accéder à des ressources SMB sur l'appareil, le sous-système Kerberos de ce dernier rejette le contexte de sécurité en raison du manque de prise en charge des noms de principal de service basés sur des adresses IP. Par conséquent, debug.sys inclut les messages de niveau de notification suivants :
krbssp: user authentication failed (GSS major error): No credentials were supplied, or the credentials were unavailable or inaccessible krbssp: user authentication failed (GSS minor error): No principal in keytab ('FILE:/var/krb5/krb5.keytab') matches desired name cifs/appliance-IP-address@AD-realm
Pour éviter ce problème, ne publiez pas de nom de principal de service basé sur des adresses IP sur un serveur AD.
Rubriques connexes