Highlighted
m.w
2 Iron

Isilon マルチドメイン環境

解決策を見る

お世話になります。

Isilonでは複数ドメインに参加可能だと思いますが、信頼関係が結ばれたAD同士にそれぞれ参加する事は可能なのでしょうか?(可能だとは思うのですが問題はあるのでしょうか?)

それぞれのADにIsilonのクラスタ名がコンピュータ名として登録されるのと、SPNの登録情報辺りが気になっています。

タグ(3)
0 件の賞賛
1 件の受理された解決策

受理された解決策
モデレーター
モデレーター

Re: Isilon マルチドメイン環境

解決策を見る

m.wさん

Isilonを信頼関係が結ばれたAD同士にそれぞれ参加させることは可能で、実際に参加させている例もあるようなのですが、お勧めすることは出来ません。
IsilonのAdminガイドやSecurity Configurationガイドにも以下のように記載がなされています。

OneFS supports multiple instances of Active Directory on an Isilon cluster; however, you can assign only one Active Directory provider per access zone. The access zone and the Active Directory provider must reference the same groupnet. Configure multiple Active Directory instances only to grant access to multiple sets of mutually-untrusted domains. Otherwise, configure a single Active Directory instance if all domains have a trust relationship.

何故このような記載があるのかが気になり色々と調べてみたのですが、KB333923-OneFS: How to include trusted Active Directory domains in user identity mapping for Isilon ...にある内容が関係していそうです。

なかなか読むの(理解するの)に時間がかったKBなのですが、Isilonから信頼元と信頼先のADそれぞれに同じユーザがアクセス(承認依頼)をした場合には、そのユーザが同一であるにもかかわらず、それぞれのADでは違うユーザとして判断されてしまうという内容です。つまり、あるユーザが信頼元のADから承認されてIsilonにファイルを作成し、今度は同じユーザが信頼先のADから承認されてIsilon内のそのファイルを取り扱おうとすると、ファイルの作成ユーザとして扱われないというような問題が発生することが想定されます。

実際それほど気にならない場合が多そうな気もしますが、やはりどうしてもという必要がない限り、普通にドメイン間に信頼関係を結び、その片方のドメインに参加することをお勧めします。

0 件の賞賛
2件の返信2
モデレーター
モデレーター

Re: Isilon マルチドメイン環境

解決策を見る

m.wさん

Isilonを信頼関係が結ばれたAD同士にそれぞれ参加させることは可能で、実際に参加させている例もあるようなのですが、お勧めすることは出来ません。
IsilonのAdminガイドやSecurity Configurationガイドにも以下のように記載がなされています。

OneFS supports multiple instances of Active Directory on an Isilon cluster; however, you can assign only one Active Directory provider per access zone. The access zone and the Active Directory provider must reference the same groupnet. Configure multiple Active Directory instances only to grant access to multiple sets of mutually-untrusted domains. Otherwise, configure a single Active Directory instance if all domains have a trust relationship.

何故このような記載があるのかが気になり色々と調べてみたのですが、KB333923-OneFS: How to include trusted Active Directory domains in user identity mapping for Isilon ...にある内容が関係していそうです。

なかなか読むの(理解するの)に時間がかったKBなのですが、Isilonから信頼元と信頼先のADそれぞれに同じユーザがアクセス(承認依頼)をした場合には、そのユーザが同一であるにもかかわらず、それぞれのADでは違うユーザとして判断されてしまうという内容です。つまり、あるユーザが信頼元のADから承認されてIsilonにファイルを作成し、今度は同じユーザが信頼先のADから承認されてIsilon内のそのファイルを取り扱おうとすると、ファイルの作成ユーザとして扱われないというような問題が発生することが想定されます。

実際それほど気にならない場合が多そうな気もしますが、やはりどうしてもという必要がない限り、普通にドメイン間に信頼関係を結び、その片方のドメインに参加することをお勧めします。

0 件の賞賛
m.w
2 Iron

Re: Isilon マルチドメイン環境

解決策を見る

ご回答有難うございます。

やはり基本的には信頼関係が結ばれているドメインそれぞれに参加するという事は非推奨という事で理解しました。

0 件の賞賛