创建用于执行 SMB/CIFS 身份验证的 keytab 文件

从 ONTAP 9.7 开始，ONTAP 支持使用 Active Directory（AD）服务器和 keytab 文件进行 SVM 认证。AD 管理员生成一个 keytab 文件，并将其以统一资源标识符（URI）的形式提供给 ONTAP 管理员，而在 vserver cifs 命令需要对 AD 域进行 Kerberos 认证时，将提供此文件。

AD 管理员可以使用标准 Windows Server ktpass 命令创建该 keytab 文件。应该对需要进行认证的主域运行此命令。ktpass 命令只能用于为主域用户生成 keytab 文件；使用可信域用户生成的密钥不受支持。

Keytab 文件是为特定 ONTAP 管理员用户生成的。只要管理员用户的密码不变，为特定加密类型和域生成的密钥也不会改变。因此，只要管理员用户的密码改变，都需要一个新的 keytab 文件。

支持以下加密类型：

• AES256-SHA1

• DES-CBC-MD5

  注

  ONTAP 不支持 DES-CBC-CRC 加密类型。

• RC4-HMAC

AES256 是最高加密类型，仅当已在 ONTAP 系统中启用，才应使用。

可以通过指定管理员密码或使用随机生成的密码来生成 keytab 文件。但是，在任何给定时间只能使用一个密码选项，因为 AD 服务器需要特定于管理员用户的私钥来解密 keytab 文件中的密钥。特定管理员的私钥只要有任何改变，都会导致 keytab 文件失效。