Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Attivare Kerberos su una LIF dati

Collaboratori
PDF

È possibile utilizzare vserver nfs kerberos interface enable Comando per abilitare Kerberos su una LIF dati. In questo modo, SVM può utilizzare i servizi di sicurezza Kerberos per NFS.

A proposito di questa attività

Se si utilizza un KDC Active Directory, i primi 15 caratteri di qualsiasi SPN utilizzato devono essere univoci tra le SVM all'interno di un'area di autenticazione o di un dominio.

Fasi

  1. Creare la configurazione Kerberos NFS:

    vserver nfs kerberos interface enable -vserver vserver_name -lif logical_interface -spn service_principal_name

    ONTAP richiede la chiave segreta per l'SPN del KDC per abilitare l'interfaccia Kerberos.

    Per i KDC Microsoft, viene contattato il KDC e vengono inviati un prompt di nome utente e password alla CLI per ottenere la chiave segreta. Se è necessario creare l'SPN in un'unità organizzativa diversa dell'area Kerberos, è possibile specificare l'opzione -ou parametro.

    Per i KDC non Microsoft, è possibile ottenere la chiave segreta utilizzando uno dei due metodi seguenti:

    Se…​ È inoltre necessario includere il seguente parametro con il comando…​

    Disporre delle credenziali di amministratore di KDC per recuperare la chiave direttamente dal KDC

    -admin-username kdc_admin_username

    Non si dispone delle credenziali di amministratore di KDC, ma di un file keytab del KDC contenente la chiave

    -keytab-uri {ftp

  2. Verificare che Kerberos sia stato attivato su LIF:

    vserver nfs kerberos-config show

  3. Ripetere i passaggi 1 e 2 per attivare Kerberos su più LIF.

Esempio

Il seguente comando crea e verifica una configurazione Kerberos NFS per la SVM denominata vs1 sull'interfaccia logica ves03-d1, con l'SPN nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM nell'OU lab2ou:

vs1::> vserver nfs kerberos interface enable -lif ves03-d1 -vserver vs2
-spn nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM -ou "ou=lab2ou"

vs1::>vserver nfs kerberos-config show
        Logical
Vserver Interface Address       Kerberos  SPN
------- --------- -------       --------- -------------------------------
vs0     ves01-a1
                  10.10.10.30   disabled  -
vs2     ves01-d1
                  10.10.10.40   enabled   nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM
2 entries were displayed.