Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Acceso de cliente seguro con Kerberos

Colaboradores

Active Kerberos para garantizar el acceso al almacenamiento seguro para clientes NAS.

Este procedimiento configura Kerberos en una máquina virtual de almacenamiento existente habilitada para "NFS" o. "SMB".

Antes de empezar, debe haber configurado DNS, NTP y. "LDAP" en el sistema de almacenamiento.

Flujo de trabajo para proteger el acceso de clientes con Kerberos

Pasos
  1. En la línea de comandos de ONTAP, establezca permisos UNIX para el volumen raíz de la máquina virtual de almacenamiento.

    1. Visualice los permisos relevantes en el volumen raíz de la máquina virtual de almacenamiento: volume show -volume root_vol_name-fields user,group,unix-permissions

      El volumen raíz del equipo virtual de almacenamiento debe tener la siguiente configuración:

    Nombre…​ Estableciendo…​

    UID

    Raíz o ID 0

    GID

    Raíz o ID 0

    Permisos UNIX

    755

    1. Si no se muestran estos valores, utilice volume modify comando para actualizarlos.

  2. Configure los permisos de usuario para el volumen raíz de la máquina virtual de almacenamiento.

    1. Mostrar los usuarios UNIX locales: vserver services name-service unix-user show -vserver vserver_name

      El equipo virtual de almacenamiento debe tener configurados los siguientes usuarios UNIX:

    Nombre de usuario ID de usuario ID del grupo principal

    nfs

    500

    0

    raíz

    0

    0

    +
    Nota: el usuario NFS no es necesario si existe una asignación de nombres Kerberos-UNIX para el SPN del usuario cliente NFS; consulte el paso 5.

    1. Si no se muestran estos valores, utilice vserver services name-service unix-user modify comando para actualizarlos.

  3. Configure permisos de grupo para el volumen raíz de la máquina virtual de almacenamiento.

    1. Mostrar los grupos UNIX locales: vserver services name-service unix-group show -vserver vserver_name

      El equipo virtual de almacenamiento debe tener configurados los siguientes grupos UNIX:

    Nombre del grupo ID de grupo

    daemon

    1

    raíz

    0

    1. Si no se muestran estos valores, utilice vserver services name-service unix-group modify comando para actualizarlos.

  4. Cambie a System Manager para configurar Kerberos

  5. En System Manager, haga clic en almacenamiento > Storage VMs y seleccione la VM de almacenamiento.

  6. Haga clic en Configuración.

  7. Haga clic en flecha En Kerberos.

  8. Haga clic en Agregar en Kerberos Realm y complete las siguientes secciones:

    • Añada Kerberos Realm

      Introduzca los detalles de configuración según el proveedor de KDC.

    • Agregue interfaz de red a Realm

      Haga clic en Agregar y seleccione una interfaz de red.

  9. Si lo desea, agregue asignaciones de nombres principales de Kerberos a nombres de usuario locales.

    1. Haga clic en Almacenamiento > Storage VMs y seleccione la VM de almacenamiento.

    2. Haga clic en Configuración y, a continuación, haga clic en flecha En asignación de nombres.

    3. En Kerberos a UNIX, agregue patrones y reemplazos usando expresiones regulares.