Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Habilite Kerberos en una LIF de datos

Colaboradores

Puede utilizar el vserver nfs kerberos interface enable Comando para habilitar Kerberos en una LIF de datos. Esto permite que la SVM utilice servicios de seguridad Kerberos para NFS.

Acerca de esta tarea

Si utiliza un KDC de Active Directory, los primeros 15 caracteres de los SPN utilizados deben ser únicos entre las SVM dentro de un dominio o dominio.

Pasos
  1. Cree la configuración de Kerberos NFS:

    vserver nfs kerberos interface enable -vserver vserver_name -lif logical_interface -spn service_principal_name

    ONTAP requiere la clave secreta del SPN desde el KDC para habilitar la interfaz Kerberos.

    Para los KDC de Microsoft, se contacta con el KDC y se emite un mensaje de nombre de usuario y contraseña en la CLI para obtener la clave secreta. Si necesita crear el SPN en una unidad organizativa diferente del dominio Kerberos, puede especificar el opcional -ou parámetro.

    Para los KDC que no son de Microsoft, la clave secreta se puede obtener utilizando uno de los dos métodos:

    Si…​ También debe incluir el siguiente parámetro con el comando…​

    Tenga las credenciales de administrador de KDC para recuperar la clave directamente desde el KDC

    -admin-username kdc_admin_username

    No tiene las credenciales de administrador de KDC, pero tiene un archivo keytab del KDC que contiene la clave

    -keytab-uri {ftp

  2. Compruebe que Kerberos estaba habilitado en la LIF:

    vserver nfs kerberos-config show

  3. Repita los pasos 1 y 2 para habilitar Kerberos en varios LIF.

Ejemplo

El siguiente comando crea y verifica una configuración Kerberos de NFS para la SVM denominada vs1 en la interfaz lógica ves03-d1, con el SPN nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM en la OU lab2ou:

vs1::> vserver nfs kerberos interface enable -lif ves03-d1 -vserver vs2
-spn nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM -ou "ou=lab2ou"

vs1::>vserver nfs kerberos-config show
        Logical
Vserver Interface Address       Kerberos  SPN
------- --------- -------       --------- -------------------------------
vs0     ves01-a1
                  10.10.10.30   disabled  -
vs2     ves01-d1
                  10.10.10.40   enabled   nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM
2 entries were displayed.