ONTAP SMBサーバのKerberosセキュリティ設定を変更する
変更を提案
PDF
CIFSサーバのKerberosセキュリティ設定の一部を変更できます。対象となる設定には、Kerberosクロック スキューの許容最大時間やKerberosチケットの有効期間、チケットを更新できる最長有効期間(日数)などがあります。
`vserver cifs security modify`コマンドを使用してCIFSサーバのKerberos設定を変更すると、 `-vserver`パラメータで指定した単一のストレージ仮想マシン(SVM)の設定のみが変更されます。Active Directoryグループポリシーオブジェクト(GPO)を使用すると、同じActive Directoryドメインに属するクラスタ内のすべてのSVMのKerberosセキュリティ設定を一元管理できます。
-
次の操作を1つ以上実行します。
状況
入力する内容
Kerberosクロック スキューの許容最大時間を分(9.13.1以降)または秒(9.12.1以前)で指定します。
vserver cifs security modify -vserver vserver_name -kerberos-clock-skew integer_in_minutesデフォルトの設定は5分です。
Kerberosチケットの有効期間を時間で指定する。
vserver cifs security modify -vserver vserver_name -kerberos-ticket-age integer_in_hoursデフォルトの設定は10時間です。
チケットを更新できる最長有効期間を日数で指定する。
vserver cifs security modify -vserver vserver_name -kerberos-renew-age integer_in_daysデフォルトの設定は7日です。
KDCのソケットのタイムアウトを指定する(この時間を過ぎるとすべてのKDCが到達不能とマークされます)。
vserver cifs security modify -vserver vserver_name -kerberos-kdc-timeout integer_in_secondsデフォルトの設定は3秒です。
-
Kerberosセキュリティ設定を確認します。
vserver cifs security show -vserver vserver_name
次の例では、Kerberosセキュリティに次の変更を加えます。SVM vs1の「Kerberos Clock Skew」は3分に設定され、「Kerberos Ticket Age」は8時間に設定されています(:)
cluster1::> vserver cifs security modify -vserver vs1 -kerberos-clock-skew 3 -kerberos-ticket-age 8
cluster1::> vserver cifs security show -vserver vs1
Vserver: vs1
Kerberos Clock Skew: 3 minutes
Kerberos Ticket Age: 8 hours
Kerberos Renewal Age: 7 days
Kerberos KDC Timeout: 3 seconds
Is Signing Required: false
Is Password Complexity Required: true
Use start_tls For AD LDAP connection: false
Is AES Encryption Enabled: false
LM Compatibility Level: lm-ntlm-ntlmv2-krb
Is SMB Encryption Required: false