本地用户认证的工作原理

本地用户必须创建已过认证的会话后才能访问 CIFS 服务器上的数据。

由于 SMB 基于会话，当首次设置会话时，只能确定一次用户的身份。在认证本地用户时，CIFS 服务器使用基于 NTLM 的认证。同时支持 NTLMv1 和 NTLMv2。

ONTAP 在三种情况下会使用本地认证。每个情况均取决于用户名（域\用户格式）的域部分是否匹配 CIFS 服务器的本地域名（CIFS 服务器名称）：

• 域部分匹配

  在请求数据访问权限时提供本地用户凭证的用户在 CIFS 服务器上进行本地认证。

• 域部分不匹配

  ONTAP 尝试通过 CIFS 服务器所属域中的域控制器，使用 NTLM 认证。如果认证成功，则完成登录。如果认证失败，下一步的操作取决于认证失败的原因。

  例如，如果用户存在于 Active Directory 中，但密码无效或已到期，则 ONTAP 不会尝试使用 CIFS 服务器上相应的本地用户帐户。相反，认证失败。也存在 ONTAP 会使用 CIFS 服务器上相应本地帐户的情况，即使在 NetBIOS 域名不匹配时，也会使用相应本地帐户进行认证。例如，当相匹配的域帐户存在但被禁用时，ONTAP 会使用 CIFS 服务器上相应的本地帐户进行认证。

• 未指定域部分

  ONTAP 首先将用户作为本地用户，尝试进行认证。如果作为本地用户认证失败，ONTAP 会通过 CIFS 服务器所属域中的域控制器，对该用户进行认证。

在成功完成本地或域用户认证后，ONTAP 会创建一个完整的用户访问令牌，该令牌会考虑本地组成员资格和权限。

有关本地用户的 NTLM 认证的详细信息，请参阅 Microsoft Windows 文档。