データLIFでKerberosを有効にする
変更を提案
PDF
コマンドを使用すると、データLIFでKerberosを有効にできます vserver nfs kerberos interface enable。これにより、SVMでNFSのKerberosセキュリティサービスを使用できます。
Active Directory KDC を使用する場合、使用される SPN の最初の 15 文字は Realm またはドメイン内の SVM 間で一意である必要があります。
-
NFS Kerberos 設定を作成します。
vserver nfs kerberos interface enable -vserver vserver_name -lif logical_interface -spn service_principal_nameONTAP で Kerberos インターフェイスを有効にするには、 KDC の SPN 用のシークレットキーが必要です。
Microsoft KDC の場合、 KDC に接続があると、シークレットキーを取得するためのユーザ名とパスワードのプロンプトが CLI で発行されます。Kerberos Realmの別のOUでSPNを作成する必要がある場合は、オプションのパラメータを指定できます
-ou。Microsoft 以外の KDC の場合は、次の 2 つのうちいずれかの方法を使用してシークレットキーを取得できます。
状況 コマンドとともに含める必要のあるパラメータ KDC からキーを直接取得するための KDC 管理者のクレデンシャルが必要です
-admin-usernamekdc_admin_usernameKDC 管理者のクレデンシャルはないが、キーが含まれている、 KDC の keytab ファイルはある
-keytab-uri{ftp -
LIFでKerberosが有効になったことを確認します。
vserver nfs kerberos-config show -
複数の LIF で Kerberos を有効にするには、手順 1 と 2 を繰り返します。
次のコマンドは、 vs1 という SVM の NFS Kerberos 設定を、 OU lab2ou 内の SPN nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM を使用して、 ves03-d1 という論理インターフェイス ves03-d1 に対して作成して検証します。
vs1::> vserver nfs kerberos interface enable -lif ves03-d1 -vserver vs2
-spn nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM -ou "ou=lab2ou"
vs1::>vserver nfs kerberos-config show
Logical
Vserver Interface Address Kerberos SPN
------- --------- ------- --------- -------------------------------
vs0 ves01-a1
10.10.10.30 disabled -
vs2 ves01-d1
10.10.10.40 enabled nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM
2 entries were displayed.