创建 NFS Kerberos 域配置

如果您希望 ONTAP 能够在您的环境中访问外部 Kerberos 服务器,则必须先配置 SVM 以使用现有的 Kerberos 域。为此,您需要收集 Kerberos KDC 服务器的配置值,然后使用 vserver nfs kerberos realm create 命令在 SVM 上创建 Kerberos 域配置。

开始之前

集群管理员应已在存储系统、客户端和 KDC 服务器上配置 NTP,以避免出现身份验证问题。客户端与服务器之间的时差(时钟偏差)往往会导致身份验证失败。

步骤

  1. 要确定可在 vserver nfs kerberos realm create 命令中使用的合适配置值,请咨询 Kerberos 管理员:
  2. SVM 上创建 Kerberos 域配置:vserver nfs kerberos realm create -vserver vserver_name -realm realm_name {AD_KDC_server_values |AD_KDC_server_values} -comment "text"
  3. 验证是否已成功创建 Kerberos 域配置:vserver nfs kerberos realm show

示例

以下命令会为 SVM vs1 创建一个 NFS Kerberos 域配置,此配置使用 Microsoft Active Directory 服务器作为 KDC 服务器。此 Kerberos 域为 AUTH.EXAMPLE.COM。此 Active Directory 服务器名称为 ad-1,其 IP 地址为 10.10.8.14。允许的时钟偏差为 300 秒(默认值)。此 KDC 服务器的 IP 地址为 10.10.8.14,其端口号为 88(默认值)。“Microsoft Kerberos config”为注释。

vs1::> vserver nfs kerberos realm create -vserver vs1 -realm AUTH.EXAMPLE.COM -adserver-name ad-1 
-adserver-ip 10.10.8.14 -clock-skew 300 -kdc-ip 10.10.8.14 -kdc-port 88 -kdc-vendor Microsoft 
-comment "Microsoft Kerberos config"

以下命令会为 SVM vs1 创建一个 NFS Kerberos 域配置,此配置使用 MIT KDC。此 Kerberos 域为 SECURITY.EXAMPLE.COM。允许的时钟偏差为 300 秒。此 KDC 服务器的 IP 地址为 10.10.9.1,其端口号为 88。此 KDC 供应商为“Other”,表示 UNIX 供应商。此管理服务器的 IP 地址为 10.10.9.1,其端口号为 749(默认值)。此密码服务器的 IP 地址为 10.10.9.1,其端口号是 464(默认值)。“UNIX Kerberos config”为注释。

vs1::> vserver nfs kerberos realm create -vserver vs1 -realm SECURITY.EXAMPLE.COM. -clock-skew 300 
-kdc-ip 10.10.9.1 -kdc-port 88 -kdc-vendor Other -adminserver-ip 10.10.9.1 -adminserver-port 749 
-passwordserver-ip 10.10.9.1 -passwordserver-port 464 -comment "UNIX Kerberos config"