Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Ändern Sie die Sicherheitseinstellungen von Kerberos für den ONTAP SMB-Server

Beitragende

Sie können bestimmte Kerberos-Sicherheitseinstellungen des CIFS-Servers ändern, einschließlich der maximal zulässigen Skew-Zeit für Kerberos-Uhren, der Lebensdauer des Kerberos-Tickets und der maximalen Anzahl an Tagen für die Ticketverlängerung.

Über diese Aufgabe

Durch Ändern der Kerberos-Einstellungen des CIFS-Servers mit dem vserver cifs security modify Befehl werden die Einstellungen nur auf der einzelnen virtuellen Storage-Maschine (SVM) geändert, die Sie mit dem -vserver Parameter angeben. Kerberos-Sicherheitseinstellungen für alle SVMs im Cluster, die zur selben Active Directory-Domäne gehören, lassen sich mithilfe von Gruppenrichtlinienobjekten (Active Directory Group Policy Objects, GPOs) zentral managen.

Schritte
  1. Führen Sie eine oder mehrere der folgenden Aktionen aus:

    Ihr Ziel ist

    Eingeben…​

    Geben Sie die maximal zulässige Kerberos-Zeitversatz in Minuten (9.13.1 und höher) oder Sekunden (9.12.1 oder früher) an.

    vserver cifs security modify -vserver vserver_name -kerberos-clock-skew integer_in_minutes

    Die Standardeinstellung ist 5 Minuten.

    Geben Sie die Lebensdauer des Kerberos-Tickets in Stunden an.

    vserver cifs security modify -vserver vserver_name -kerberos-ticket-age integer_in_hours

    Die Standardeinstellung ist 10 Stunden.

    Geben Sie die maximale Anzahl an Tagen für die Ticketverlängerung an.

    vserver cifs security modify -vserver vserver_name -kerberos-renew-age integer_in_days

    Die Standardeinstellung ist 7 Tage.

    Geben Sie die Zeitüberschreitung für Sockets auf KDCs an, nach der alle KDCs als nicht erreichbar markiert sind.

    vserver cifs security modify -vserver vserver_name -kerberos-kdc-timeout integer_in_seconds

    Die Standardeinstellung ist 3 Sekunden.

  2. Überprüfen Sie die Kerberos-Sicherheitseinstellungen:

    vserver cifs security show -vserver vserver_name

Beispiel

Im folgenden Beispiel werden die folgenden Änderungen an der Kerberos-Sicherheit vorgenommen: „Kerberos Clock Skew“ ist auf 3 Minuten eingestellt und „Kerberos Ticket Age“ ist für SVM vs1 auf 8 Stunden eingestellt:

cluster1::> vserver cifs security modify -vserver vs1 -kerberos-clock-skew 3 -kerberos-ticket-age 8

cluster1::> vserver cifs security show -vserver vs1

Vserver: vs1

                    Kerberos Clock Skew:                   3 minutes
                    Kerberos Ticket Age:                   8 hours
                   Kerberos Renewal Age:                   7 days
                   Kerberos KDC Timeout:                   3 seconds
                    Is Signing Required:               false
        Is Password Complexity Required:                true
   Use start_tls For AD LDAP connection:               false
              Is AES Encryption Enabled:               false
                 LM Compatibility Level:  lm-ntlm-ntlmv2-krb
             Is SMB Encryption Required:               false