Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Activez Kerberos sur une LIF donnée

Contributeurs
PDF

Vous pouvez utiliser le vserver nfs kerberos interface enable Commande pour activer Kerberos sur une LIF de données. Cela permet au SVM d'utiliser les services de sécurité Kerberos pour NFS.

Description de la tâche

Si vous utilisez un KDC Active Directory, les 15 premiers caractères de tous les noms de domaine utilisés doivent être uniques sur les SVM au sein d'un domaine ou d'un domaine.

Étapes

  1. Créez la configuration NFS Kerberos :

    vserver nfs kerberos interface enable -vserver vserver_name -lif logical_interface -spn service_principal_name

    ONTAP nécessite la clé secrète pour le SPN à partir du KDC pour activer l'interface Kerberos.

    Pour les VDC Microsoft, le KDC est contacté et un nom d'utilisateur et un mot de passe sont émis sur l'CLI pour obtenir la clé secrète. Si vous devez créer le SPN dans une autre UO du domaine Kerberos, vous pouvez spécifier l'option -ou paramètre.

    Pour les KDC non Microsoft, la clé secrète peut être obtenue en utilisant l'une des deux méthodes suivantes :

    Si…​ Vous devez également inclure le paramètre suivant avec la commande…​

    Demandez à l'administrateur KDC de récupérer la clé directement à partir du KDC

    -admin-username kdc_admin_username

    Ne disposez pas des informations d'identification de l'administrateur KDC mais d'un fichier keytab du KDC contenant la clé

    -keytab-uri {ftp

  2. Vérifier que Kerberos a été activé sur la LIF :

    vserver nfs kerberos-config show

  3. Répétez les étapes 1 et 2 pour activer Kerberos sur plusieurs LIFs.

Exemple

La commande suivante crée et vérifie une configuration Kerberos NFS pour le SVM nommé vs1 sur l'interface logique ves03-d1, avec le SPN nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM dans l'UO lab2ou :

vs1::> vserver nfs kerberos interface enable -lif ves03-d1 -vserver vs2
-spn nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM -ou "ou=lab2ou"

vs1::>vserver nfs kerberos-config show
        Logical
Vserver Interface Address       Kerberos  SPN
------- --------- -------       --------- -------------------------------
vs0     ves01-a1
                  10.10.10.30   disabled  -
vs2     ves01-d1
                  10.10.10.40   enabled   nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM
2 entries were displayed.