Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Accès client sécurisé avec Kerberos

Contributeurs

Activez Kerberos pour sécuriser l'accès au stockage des clients NAS.

Cette procédure configure Kerberos sur une machine virtuelle de stockage existante activée pour "NFS" ou "PME".

Avant de commencer, vous devez avoir configuré les DNS, NTP et "LDAP" sur le système de stockage.

Workflow de sécurisation de l'accès client avec Kerberos

Étapes
  1. Sur la ligne de commande ONTAP, définissez les autorisations UNIX pour le volume racine de la machine virtuelle de stockage.

    1. Afficher les autorisations appropriées sur le volume racine de la VM de stockage : volume show -volume root_vol_name-fields user,group,unix-permissions

      Le volume root du VM de stockage doit avoir la configuration suivante :

    Nom…​ Paramètre…​

    UID

    Racine ou ID 0

    GIDS

    Racine ou ID 0

    Autorisations UNIX

    755

    1. Si ces valeurs ne sont pas affichées, utiliser le volume modify pour les mettre à jour.

  2. Définissez les autorisations utilisateur pour le volume racine de l'ordinateur virtuel de stockage.

    1. Afficher les utilisateurs UNIX locaux : vserver services name-service unix-user show -vserver vserver_name

      La machine virtuelle de stockage doit avoir les utilisateurs UNIX suivants configurés :

    Nom d'utilisateur ID d'utilisateur ID de groupe principal

    nfs

    500

    0

    racine

    0

    0

    +
    Remarque : l'utilisateur NFS n'est pas requis si un mappage de nom Kerberos-UNIX existe pour le SPN de l'utilisateur client NFS ; voir l'étape 5.

    1. Si ces valeurs ne sont pas affichées, utiliser le vserver services name-service unix-user modify pour les mettre à jour.

  3. Définissez les autorisations de groupe pour le volume racine de VM de stockage.

    1. Afficher les groupes UNIX locaux : vserver services name-service unix-group show -vserver vserver_name

      La machine virtuelle de stockage doit avoir les groupes UNIX suivants configurés :

    Nom du groupe ID de groupe

    démon

    1

    racine

    0

    1. Si ces valeurs ne sont pas affichées, utiliser le vserver services name-service unix-group modify pour les mettre à jour.

  4. Basculez dans System Manager pour configurer Kerberos

  5. Dans System Manager, cliquez sur stockage > machines virtuelles de stockage et sélectionnez la machine virtuelle de stockage.

  6. Cliquez sur Paramètres.

  7. Cliquez sur flèche Sous Kerberos.

  8. Cliquez sur Ajouter sous domaine Kerberos, puis complétez les sections suivantes :

    • Ajouter un Royaume Kerberos

      Entrez les détails de configuration selon le fournisseur de KDC.

    • Ajouter l'interface réseau au Royaume

      Cliquez sur Ajouter et sélectionnez une interface réseau.

  9. Si vous le souhaitez, ajoutez des mappages à partir des noms de principal Kerberos aux noms d'utilisateur locaux.

    1. Cliquez sur Storage > Storage VM et sélectionnez la VM de stockage.

    2. Cliquez sur Paramètres, puis sur flèche Sous mappage de nom.

    3. Sous Kerberos à UNIX, ajoutez des modèles et des remplacements à l'aide d'expressions régulières.