日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP LIFでNFS Kerberosを有にする

01/23/2026 共同作成者

`vserver nfs kerberos interface enable`コマンドを使用して、データLIFでKerberosを有効にすることができます。これにより、SVMはNFSのKerberosセキュリティ サービスを使用できるようになります。

タスク概要

Active Directory KDCを使用している場合、使用されるSPNの最初の15文字は、レルムまたはドメイン内のSVM間で一意である必要があります。

手順

NFS Kerberos構成を作成します：

vserver nfs kerberos interface enable -vserver vserver_name -lif logical_interface -spn service_principal_name

ONTAPでは、Kerberosインターフェイスを有効にするためにKDCからのSPNの秘密キーが必要です。

Microsoft KDCの場合、KDCに接続し、CLIでユーザー名とパスワードの入力を求めるプロンプトが表示され、秘密鍵が取得されます。Kerberosレルム内の別のOUにSPNを作成する必要がある場合は、オプションの `-ou`パラメータを指定できます。

Microsoft 以外の KDC の場合、秘密キーは次の 2 つの方法のいずれかで取得できます：

状況コマンドには次のパラメータも含める必要があります。

状況	コマンドには次のパラメータも含める必要があります。
KDC から直接キーを取得するための KDC 管理者の資格情報を持っている	`-admin-username` `kdc_admin_username`
KDC管理者のクレデンシャルは持っていないが、キーを含むKDCからのキータブファイルを持っている	`-keytab-uri` {ftp

KDC から直接キーを取得するための KDC 管理者の資格情報を持っている

-admin-username kdc_admin_username

KDC管理者のクレデンシャルは持っていないが、キーを含むKDCからのキータブファイルを持っている

-keytab-uri {ftp

LIF上でKerberosが有効になったことを確認します。

vserver nfs kerberos-config show
複数の LIF で Kerberos を有効にするには、手順 1 と 2 を繰り返します。

例

次のコマンドは、OU lab2ou内のSPN nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COMを使用して、論理インターフェイスves03-d1上のvs1という名前のSVMのNFS Kerberos設定を作成し、検証します：

vs1::> vserver nfs kerberos interface enable -lif ves03-d1 -vserver vs2
-spn nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM -ou "ou=lab2ou"

vs1::>vserver nfs kerberos-config show
        Logical
Vserver Interface Address       Kerberos  SPN
------- --------- -------       --------- -------------------------------
vs0     ves01-a1
                  10.10.10.30   disabled  -
vs2     ves01-d1
                  10.10.10.40   enabled   nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM
2 entries were displayed.

ONTAP LIFでNFS Kerberosを有にする

Creating your file...