Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Acceso seguro de clientes con Kerberos mediante ONTAP System Manager

Colaboradores
PDF

Active Kerberos para garantizar el acceso al almacenamiento seguro para clientes NAS.

Este procedimiento configura Kerberos en una VM de almacenamiento existente habilitada para "NFS" o "SMB".

Antes de empezar, debe haber configurado DNS, NTP y "LDAP" en el sistema de almacenamiento.

Resumen del flujo de trabajo: 1 Establecer permisos de UNIX 2 Establecer permisos de usuario 3 Establecer permisos de grupo 4 Configurar Kerberos 5 Agregar asignaciones de nombres, si es necesario

Pasos

  1. En la línea de comandos de ONTAP, establezca permisos UNIX para el volumen raíz de la máquina virtual de almacenamiento.

    1. Muestre los permisos relevantes en el volumen raíz de la máquina virtual de almacenamiento volume show -volume root_vol_name-fields user,group,unix-permissions: . Obtenga más información sobre volume show en el "Referencia de comandos del ONTAP".

      El volumen raíz del equipo virtual de almacenamiento debe tener la siguiente configuración:

    Nombre…​ Estableciendo…​

    UID

    Raíz o ID 0

    GID

    Raíz o ID 0

    Permisos de UNIX

    755

    1. Si no se muestran estos valores, utilice volume modify el comando para actualizarlos. Obtenga más información sobre volume modify en el "Referencia de comandos del ONTAP".

  2. Configure los permisos de usuario para el volumen raíz de la máquina virtual de almacenamiento.

    1. Mostrar los usuarios locales de UNIX vserver services name-service unix-user show -vserver vserver_name: . Obtenga más información sobre vserver services name-service unix-user show en el "Referencia de comandos del ONTAP".

      El equipo virtual de almacenamiento debe tener configurados los siguientes usuarios UNIX:

    Nombre de usuario ID de usuario ID del grupo principal

    nfs

    500

    0

    raíz

    0

    0

    +
    Nota: el usuario NFS no es necesario si existe una asignación de nombres Kerberos-UNIX para el SPN del usuario cliente NFS; consulte el paso 5.

    1. Si no se muestran estos valores, utilice vserver services name-service unix-user modify el comando para actualizarlos. Obtenga más información sobre vserver services name-service unix-user modify en el "Referencia de comandos del ONTAP".

  3. Configure permisos de grupo para el volumen raíz de la máquina virtual de almacenamiento.

    1. Mostrar los grupos UNIX locales vserver services name-service unix-group show -vserver vserver_name: . Obtenga más información sobre vserver services name-service unix-group show en el "Referencia de comandos del ONTAP".

      El equipo virtual de almacenamiento debe tener configurados los siguientes grupos UNIX:

    Nombre del grupo ID de grupo

    daemon

    1

    raíz

    0

    1. Si no se muestran estos valores, utilice vserver services name-service unix-group modify el comando para actualizarlos. Obtenga más información sobre vserver services name-service unix-group modify en el "Referencia de comandos del ONTAP".

  4. Cambie a System Manager para configurar Kerberos

  5. En System Manager, haga clic en almacenamiento > Storage VMs y seleccione la VM de almacenamiento.

  6. Haga clic en Configuración.

  7. Haga clic en Icono de flecha en Kerberos.

  8. Haga clic en Agregar en Kerberos Realm y complete las siguientes secciones:

    • Añada Kerberos Realm

      Introduzca los detalles de configuración según el proveedor de KDC.

    • Agregue interfaz de red a Realm

      Haga clic en Agregar y seleccione una interfaz de red.

  9. Si lo desea, agregue asignaciones de nombres principales de Kerberos a nombres de usuario locales.

    1. Haga clic en almacenamiento > Storage VMs y seleccione la VM de almacenamiento.

    2. Haga clic en Configuración, y luego haga clic en Icono de flecha Asignación de nombres.

    3. En Kerberos a UNIX, agregue patrones y reemplazos usando expresiones regulares.