Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Modificare le impostazioni di protezione Kerberos del server SMB ONTAP

Collaboratori netapp-thomi netapp-aaron-holt netapp-barbe netapp-ahibbard netapp-aherbin
PDF

È possibile modificare alcune impostazioni di sicurezza Kerberos del server CIFS, tra cui il tempo massimo consentito di disallineamento del clock Kerberos, la durata del ticket Kerberos e il numero massimo di giorni di rinnovo del ticket.

A proposito di questa attività

Modifica delle impostazioni Kerberos del server CIFS mediante vserver cifs security modify Il comando modifica le impostazioni solo sulla singola SVM (Storage Virtual Machine) specificata con -vserver parametro. È possibile gestire centralmente le impostazioni di sicurezza Kerberos per tutte le SVM del cluster appartenenti allo stesso dominio Active Directory utilizzando gli oggetti Criteri di gruppo (GPO) di Active Directory.

Fasi

  1. Eseguire una o più delle seguenti operazioni:

    Se si desidera…​

    Inserisci…​

    Specificare il tempo massimo consentito di inclinazione dell'orologio Kerberos in minuti (9.13.1 e successivi) o secondi (9.12.1 o precedenti).

    vserver cifs security modify -vserver vserver_name -kerberos-clock-skew integer_in_minutes

    L'impostazione predefinita è 5 minuti.

    Specificare la durata del ticket Kerberos in ore.

    vserver cifs security modify -vserver vserver_name -kerberos-ticket-age integer_in_hours

    L'impostazione predefinita è 10 ore.

    Specificare il numero massimo di giorni di rinnovo del ticket.

    vserver cifs security modify -vserver vserver_name -kerberos-renew-age integer_in_days

    L'impostazione predefinita è 7 giorni.

    Specificare il timeout per i socket sui KDC dopo il quale tutti i KDC sono contrassegnati come irraggiungibili.

    vserver cifs security modify -vserver vserver_name -kerberos-kdc-timeout integer_in_seconds

    L'impostazione predefinita è 3 secondi.

  2. Verificare le impostazioni di sicurezza Kerberos:

    vserver cifs security show -vserver vserver_name

Esempio

Nell'esempio seguente vengono apportate le seguenti modifiche alla sicurezza Kerberos: “Kerberos Clock Skew” (inclinazione clock Kerberos) è impostato su 3 minuti e “Kerberos Ticket Age” (durata ticket Kerberos) è impostato su 8 ore per SVM vs1:

cluster1::> vserver cifs security modify -vserver vs1 -kerberos-clock-skew 3 -kerberos-ticket-age 8

cluster1::> vserver cifs security show -vserver vs1

Vserver: vs1

                    Kerberos Clock Skew:                   3 minutes
                    Kerberos Ticket Age:                   8 hours
                   Kerberos Renewal Age:                   7 days
                   Kerberos KDC Timeout:                   3 seconds
                    Is Signing Required:               false
        Is Password Complexity Required:                true
   Use start_tls For AD LDAP connection:               false
              Is AES Encryption Enabled:               false
                 LM Compatibility Level:  lm-ntlm-ntlmv2-krb
             Is SMB Encryption Required:               false
Informazioni correlate

"Visualizza informazioni sulle impostazioni di sicurezza del server"

"GPO supportati"

"Applicazione di oggetti Criteri di gruppo ai server CIFS"