OneFS supports multiple instances of Active Directory on an Isilon cluster; however, you can assign only one Active Directory provider per access zone. The access zone and the Active Directory provider must reference the same groupnet. Configure multiple Active Directory instances only to grant access to multiple sets of mutually-untrusted domains. Otherwise, configure a single Active Directory instance if all domains have a trust relationship.
Uehara Y.
Community Manager
Community Manager
•
5.1K メッセージ
0
2019年4月24日 00:00
m.wさん
Isilonを信頼関係が結ばれたAD同士にそれぞれ参加させることは可能で、実際に参加させている例もあるようなのですが、お勧めすることは出来ません。
IsilonのAdminガイドやSecurity Configurationガイドにも以下のように記載がなされています。
OneFS supports multiple instances of Active Directory on an Isilon cluster; however, you can assign only one Active Directory provider per access zone. The access zone and the Active Directory provider must reference the same groupnet. Configure multiple Active Directory instances only to grant access to multiple sets of mutually-untrusted domains. Otherwise, configure a single Active Directory instance if all domains have a trust relationship.
何故このような記載があるのかが気になり色々と調べてみたのですが、KB333923-OneFS: How to include trusted Active Directory domains in user identity mapping for Isilon Clustersにある内容が関係していそうです。
なかなか読むの(理解するの)に時間がかったKBなのですが、Isilonから信頼元と信頼先のADそれぞれに同じユーザがアクセス(承認依頼)をした場合には、そのユーザが同一であるにもかかわらず、それぞれのADでは違うユーザとして判断されてしまうという内容です。つまり、あるユーザが信頼元のADから承認されてIsilonにファイルを作成し、今度は同じユーザが信頼先のADから承認されてIsilon内のそのファイルを取り扱おうとすると、ファイルの作成ユーザとして扱われないというような問題が発生することが想定されます。
実際それほど気にならない場合が多そうな気もしますが、やはりどうしてもという必要がない限り、普通にドメイン間に信頼関係を結び、その片方のドメインに参加することをお勧めします。
m.w
2 Intern
2 Intern
•
235 メッセージ
0
2019年5月7日 20:00
ご回答有難うございます。
やはり基本的には信頼関係が結ばれているドメインそれぞれに参加するという事は非推奨という事で理解しました。