ONTAP SMBサーバのKerberosセキュリティ設定を変更する
変更を提案
PDF
許可されるKerberosクロックスキューの最大時間、Kerberosチケットの有効期間、チケットを更新する最大日数など、CIFSサーバのKerberosセキュリティ設定を変更できます。
コマンドによるCIFSサーバのKerberos設定の変更では vserver cifs security modify、パラメータで指定した単一のStorage Virtual Machine(SVM)の設定のみを変更 `-vserver`できます。Active Directoryのグループポリシーオブジェクト(GPO)を使用すると、同じActive Directoryドメインに属するクラスタ上のすべてのSVMのKerberosセキュリティ設定を一元管理できます。
-
次の操作を1つ以上実行します。
状況
入力するコマンド
Kerberosクロックスキューの許容最大時間を分(9.13.1以降)または秒(9.12.1以前)で指定します。
vserver cifs security modify -vserver vserver_name -kerberos-clock-skew integer_in_minutesデフォルト設定は5分です。
Kerberosチケットの有効期間を時間単位で指定します。
vserver cifs security modify -vserver vserver_name -kerberos-ticket-age integer_in_hoursデフォルト設定は10時間です。
チケットの最大更新日数を指定します。
vserver cifs security modify -vserver vserver_name -kerberos-renew-age integer_in_daysデフォルトの設定は7日です。
KDC上のソケットのタイムアウトを指定します。このタイムアウトを過ぎると、すべてのKDCが到達不能としてマークされます。
vserver cifs security modify -vserver vserver_name -kerberos-kdc-timeout integer_in_secondsデフォルト設定は3秒です。
-
Kerberosセキュリティ設定を確認します。
vserver cifs security show -vserver vserver_name
次の例では、 SVM vs1 の Kerberos セキュリティ設定を「 Kerberos Clock Skew 」に 3 分、「 Kerberos Ticket Age 」に 8 時間に変更しています。
cluster1::> vserver cifs security modify -vserver vs1 -kerberos-clock-skew 3 -kerberos-ticket-age 8
cluster1::> vserver cifs security show -vserver vs1
Vserver: vs1
Kerberos Clock Skew: 3 minutes
Kerberos Ticket Age: 8 hours
Kerberos Renewal Age: 7 days
Kerberos KDC Timeout: 3 seconds
Is Signing Required: false
Is Password Complexity Required: true
Use start_tls For AD LDAP connection: false
Is AES Encryption Enabled: false
LM Compatibility Level: lm-ntlm-ntlmv2-krb
Is SMB Encryption Required: false