Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Accesso client sicuro con Kerberos

Collaboratori
PDF

Abilitare Kerberos per proteggere l'accesso allo storage per i client NAS.

Questa procedura consente di configurare Kerberos su una VM di storage esistente abilitata per "NFS" oppure "PMI".

Prima di iniziare, è necessario aver configurato DNS, NTP e. "LDAP" sul sistema storage.

Riepilogo del flusso di lavoro: 1 impostare le autorizzazioni UNIX 2 impostare le autorizzazioni utente 3 impostare le autorizzazioni di gruppo 4 configurare Kerberos 5 aggiungere le mappature dei nomi, se necessario

Fasi

  1. Nella riga di comando di ONTAP, impostare le autorizzazioni UNIX per il volume root della VM di storage.

    1. Visualizzare le autorizzazioni pertinenti sul volume root della VM di storage: volume show -volume root_vol_name-fields user,group,unix-permissions

      Il volume root della VM di storage deve avere la seguente configurazione:

    Nome…​ Impostazione in corso…​

    UID

    Root o ID 0

    GID

    Root o ID 0

    Autorizzazioni UNIX

    755

    1. Se questi valori non vengono visualizzati, utilizzare volume modify per aggiornarli.

  2. Impostare le autorizzazioni utente per il volume root della VM di storage.

    1. Visualizzare gli utenti UNIX locali: vserver services name-service unix-user show -vserver vserver_name

      Per la macchina virtuale di storage devono essere configurati i seguenti utenti UNIX:

    Nome utente ID utente ID gruppo primario

    nfs

    500

    0

    root

    0

    0

    +
    Nota: l'utente NFS non è richiesto se esiste una mappatura nome Kerberos-UNIX per l'SPN dell'utente client NFS; vedere il passaggio 5.

    1. Se questi valori non vengono visualizzati, utilizzare vserver services name-service unix-user modify per aggiornarli.

  3. Impostare le autorizzazioni di gruppo per il volume root della VM di storage.

    1. Visualizzare i gruppi UNIX locali: vserver services name-service unix-group show -vserver vserver_name

      La macchina virtuale di storage deve avere i seguenti gruppi UNIX configurati:

    Nome del gruppo ID gruppo

    daemon

    1

    root

    0

    1. Se questi valori non vengono visualizzati, utilizzare vserver services name-service unix-group modify per aggiornarli.

  4. Passare a System Manager per configurare Kerberos

  5. In System Manager, fare clic su Storage > Storage VM e selezionare la VM di storage.

  6. Fare clic su Impostazioni.

  7. Fare clic Icona a forma di freccia in Kerberos.

  8. Fare clic su Add (Aggiungi) sotto Kerberos Realm (Area autenticazione Kerberos) e completare le seguenti sezioni:

    • Aggiungi area di autenticazione Kerberos

      Inserire i dettagli di configurazione in base al vendor KDC.

    • Aggiungi interfaccia di rete a Realm

      Fare clic su Aggiungi e selezionare un'interfaccia di rete.

  9. Se lo si desidera, aggiungere i mapping dai nomi principali Kerberos ai nomi utente locali.

    1. Fare clic su Storage > Storage VM (Storage VM) e selezionare la VM di storage.

    2. Fare clic su Impostazioni, quindi fare clic su Icona a forma di freccia mappatura nome.

    3. In Kerberos to UNIX, aggiungere modelli e sostituzioni utilizzando espressioni regolari.