Go to main content

Guía de administración de Oracle® ZFS Storage Appliance, versión OS8.8.x

Salir de la Vista de impresión

Actualización: Agosto de 2021
 
 

Compatibilidad de Active Directory con Windows

Compatibilidad de Active Directory con Windows Server

La versión OS8.8.x del software Oracle ZFS Storage Appliance admite todas las versiones de servidor de Active Directory.

Compatibilidad de Active Directory con clientes Windows

A partir de Windows 10, los clientes pueden activar la autenticación Kerberos con nombres de principal de servicio (SPN) basados en direcciones IP. Para ello, deben crear una entrada de registro TryIPSPN. Para obtener más información, consulte Configuración de Kerberos para direcciones IP. No obstante, Oracle ZFS Storage Appliance no admite SPN basados en direcciones IP.

Al igual que Windows, Oracle ZFS Storage Appliance no registra los SPN basados en direcciones IP como parte de la unión al dominio de AD. Microsoft advierte los siguientes potenciales problemas con los SPN basados en direcciones IP: normalmente, no se usan direcciones IP en lugar de nombres de host, ya que las direcciones IP a menudo son temporarias. El uso de direcciones IP puede provocar conflictos y fallos en la autenticación, ya que los permisos de direcciones caducan y se renuevan. Por lo tanto, el registro de un SPN basado en direcciones IP es un proceso manual y solo debe usarse cuando no sea posible cambiar a un nombre de host basado en DNS.

Una vez activada la configuración del registro TryIPSPN, los clientes Windows 10 pueden acceder a los recursos compartidos de SMB que exporta el dispositivo mediante NTLMSSP. Si el administrador del dominio agregó manualmente SPN cifs\appliance-IP-address al atributo ServicePrincipalName del objeto de computadora de AD correspondiente al dispositivo, el KDC de Windows podrá emitir tickets de servicio del CIFS para el dispositivo mediante los SPN basados en direcciones IP. Sin embargo, si el cliente posteriormente presenta un ticket de servicio del CIFS que usa SPN basados en direcciones IP para acceder a recursos de SMB en el dispositivo, el subsistema Kerberos del dispositivo rechazará el contexto de seguridad. Esto se debe a la falta de compatibilidad con los SPN basados en direcciones IP. Como consecuencia, debug.sys presenta los siguientes mensajes de aviso:

krbssp: user authentication failed (GSS major error): No credentials were
supplied, or the credentials were unavailable or inaccessible
krbssp: user authentication failed (GSS minor error): No principal in keytab
('FILE:/var/krb5/krb5.keytab') matches desired name cifs/appliance-IP-address@AD-realm

Para evitar este problema, los SPN basados en direcciones IP no deben publicarse en un servidor de AD.

Temas relacionados