Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Sicherer Clientzugriff mit Kerberos mithilfe von ONTAP System Manager

Beitragende

Aktivieren Sie Kerberos, um den Speicherzugriff für NAS-Clients zu sichern.

Mit diesem Verfahren werden Kerberos auf einer vorhandenen Speicher-VM konfiguriert"NFS""SMB", die für oder aktiviert ist.

Vor dem Start sollten Sie DNS, NTP und "LDAP" auf dem Storage-System konfiguriert haben.

Workflow-Zusammenfassung: 1 UNIX-Berechtigungen festlegen 2 Benutzerberechtigungen festlegen 3 Gruppenberechtigungen festlegen 4 Kerberos konfigurieren 5 Namenszuordnungen hinzufügen, falls erforderlich

Schritte
  1. Legen Sie in der ONTAP-Befehlszeile UNIX-Berechtigungen für das Root-Volume der Storage VM fest.

    1. Anzeigen der entsprechenden Berechtigungen für das Root-Volume der Speicher-VM: volume show -volume root_vol_name-fields user,group,unix-permissions. Erfahren Sie mehr über volume show in der "ONTAP-Befehlsreferenz".

      Das Root-Volume der Storage-VM muss über folgende Konfiguration verfügen:

    Name…​ Einstellung…​

    UID

    Root oder ID 0

    GID

    Root oder ID 0

    UNIX-Berechtigungen

    755

    1. Werden diese Werte nicht angezeigt, volume modify aktualisieren Sie sie mit dem Befehl. Erfahren Sie mehr über volume modify in der "ONTAP-Befehlsreferenz".

  2. Legen Sie Benutzerberechtigungen für das Root-Volume der Storage-VM fest.

    1. Lokale UNIX-Benutzer anzeigen: vserver services name-service unix-user show -vserver vserver_name. Erfahren Sie mehr über vserver services name-service unix-user show in der "ONTAP-Befehlsreferenz".

      Die Storage VM sollte die folgenden UNIX-Benutzer konfiguriert haben:

    Benutzername User-ID ID der primären Gruppe

    nfs

    500

    0

    Stamm

    0

    0

    +
    Hinweis: der NFS-Benutzer ist nicht erforderlich, wenn eine Kerberos-UNIX Namenszuweisung für den SPN des NFS Client-Benutzers vorhanden ist; siehe Schritt 5.

    1. Werden diese Werte nicht angezeigt, vserver services name-service unix-user modify aktualisieren Sie sie mit dem Befehl. Erfahren Sie mehr über vserver services name-service unix-user modify in der "ONTAP-Befehlsreferenz".

  3. Legen Sie Gruppenberechtigungen für das Root-Volume der Storage-VM fest.

    1. Lokale UNIX-Gruppen anzeigen: vserver services name-service unix-group show -vserver vserver_name. Erfahren Sie mehr über vserver services name-service unix-group show in der "ONTAP-Befehlsreferenz".

      Die Storage VM sollte die folgenden UNIX-Gruppen konfiguriert haben:

    Gruppenname Gruppen-ID

    Dämon

    1

    Stamm

    0

    1. Werden diese Werte nicht angezeigt, vserver services name-service unix-group modify aktualisieren Sie sie mit dem Befehl. Erfahren Sie mehr über vserver services name-service unix-group modify in der "ONTAP-Befehlsreferenz".

  4. Wechseln Sie zu System Manager, um Kerberos zu konfigurieren

  5. Klicken Sie im System Manager auf Storage > Storage VMs und wählen Sie die Storage VM aus.

  6. Klicken Sie Auf Einstellungen.

  7. Klicken Sie Pfeilsymbol unter Kerberos.

  8. Klicken Sie unter Kerberos-Bereich auf Hinzufügen, und füllen Sie die folgenden Abschnitte aus:

    • Kerberos-Bereich Hinzufügen

      Konfigurationsdetails je nach KDC-Anbieter eingeben.

    • Fügen Sie der Netzwerkschnittstelle zu Bereich hinzu

      Klicken Sie auf Hinzufügen und wählen Sie eine Netzwerkschnittstelle aus.

  9. Fügen Sie bei Bedarf Zuordnungen von Kerberos-Hauptnamen zu lokalen Benutzernamen hinzu.

    1. Klicken Sie auf Storage > Storage VMs und wählen Sie die Speicher-VM aus.

    2. Klicken Sie auf Einstellungen und dann Pfeilsymbol unter Namenszuordnung.

    3. Fügen Sie unter Kerberos to UNIX Muster und Ersetzungen mithilfe regelmäßiger Ausdrücke hinzu.