移動ユーザープロファイルの検証のため、久しぶりに Simulate ONTAP 8.3.2で、CIFS サーバーを構築しました。ドメイン参加に失敗する問題があったのでメモしておきます。
Aggregate 作成
storage aggregate create -aggregate aggr1 -raidtype raid_dp -diskcount 5 -nodes cluster1-01 -maxraidsize 22 storage aggregate show
SVM作成
vserver create -vserver svm1 -rootvolume vol0 -aggregate aggr1 -rootvolume-security-style unix -language C vserver show
LIF 作成
network interface create lif0 -role cluster-mgmt -home-node cluster1-01 -home-port e0c -address 192.168.1.200 -netmask 255.255.255.0 network interface create -vserver svm1 -lif lif1 -role data -data-protocol cifs -home-port e0a -address 192.168.1.201 -netmask 255.255.255.0
Volume 作成
volume create -vserver svm1 -volume vol1 -aggregate aggr1 -size 2g -security-style ntfs -space-guarantee none -junction-path /vol1 volume show
CIFS 設定
vserver services dns create -vserver svm1 -domains example.com -name-servers 192.168.1.100 vserver services dns show cifs create -cifs-server svm1_cifs -domain example.com -vserver svm1 vserver cifs show
cifs create コマンドを使用して、ドメイン参加する際、以下のエラー発生しました。
Unable to connect to LSA service on ad.example.com (Error: RESULT_ERROR_KERBEROS_SKEW)
調べてみると、AD と NetApp 間で時刻がずれている場合に発生するようです。
時刻とタイムゾーンの設定
system date modify -timezone Japan -date 8/7/2016 15:00:00 system date show
CIFS 共有設定
vserver cifs share create -vserver svm1 -share-name profiles -path /vol1 vserver cifs share show
以上で、CIFS 共有したボリュームにアクセスが可能となります。
AD ドメイン上のユーザーで、SVMへのアクセスを許可する場合は、以下を設定します。
※移動ユーザープロファイルのプロファイルパスに SVMを指定する場合、必須のコマンドです。
security login domain-tunnel create -vserver svm1 security login domain-tunnel show
ドメイン「EXAMPLE」内のグループ「group01」に所属するユーザーで SSH接続を許可することも可能です。
設定は以下のとおりです。
security login create -vserver cluster1 -user-or-group-name EXAMPLE\group01 -application ssh -authmethod domain security login show -vserver cluster1
※なお、ADDNS の A レコードは、ドメイン参加時に登録される「ホスト名」と異なる名前でないと、名前による CIFS 接続に失敗するといった問題が発生しました。(IP アドレスでは正常に接続可能)原因については調査中です。