Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

データ LIF で Kerberos を有効にします

共同作成者

を使用できます vserver nfs kerberos interface enable コマンドを使用してデータLIFでKerberosを有効にします。これにより、 SVM で NFS の Kerberos セキュリティサービスを使用できます。

このタスクについて

Active Directory KDC を使用する場合、使用される SPN の最初の 15 文字は Realm またはドメイン内の SVM 間で一意である必要があります。

手順
  1. NFS Kerberos 設定を作成します。

    vserver nfs kerberos interface enable -vserver vserver_name -lif logical_interface -spn service_principal_name

    ONTAP で Kerberos インターフェイスを有効にするには、 KDC の SPN 用のシークレットキーが必要です。

    Microsoft KDC の場合、 KDC に接続があると、シークレットキーを取得するためのユーザ名とパスワードのプロンプトが CLI で発行されます。Kerberos Realmの別のOUでSPNを作成する必要がある場合は、オプションのを指定できます -ou パラメータ

    Microsoft 以外の KDC の場合は、次の 2 つのうちいずれかの方法を使用してシークレットキーを取得できます。

    状況 コマンドとともに含める必要のあるパラメータ

    KDC からキーを直接取得するための KDC 管理者のクレデンシャルが必要です

    -admin-username kdc_admin_username

    KDC 管理者のクレデンシャルはないが、キーが含まれている、 KDC の keytab ファイルはある

    -keytab-uri {ftp

  2. LIF で Kerberos が有効になっていることを確認します。

    vserver nfs kerberos-config show

  3. 複数の LIF で Kerberos を有効にするには、手順 1 と 2 を繰り返します。

次のコマンドは、 vs1 という SVM の NFS Kerberos 設定を、 OU lab2ou 内の SPN nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM を使用して、 ves03-d1 という論理インターフェイス ves03-d1 に対して作成して検証します。

vs1::> vserver nfs kerberos interface enable -lif ves03-d1 -vserver vs2
-spn nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM -ou "ou=lab2ou"

vs1::>vserver nfs kerberos-config show
        Logical
Vserver Interface Address       Kerberos  SPN
------- --------- -------       --------- -------------------------------
vs0     ves01-a1
                  10.10.10.30   disabled  -
vs2     ves01-d1
                  10.10.10.40   enabled   nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM
2 entries were displayed.