データLIFでのKerberosの有効化

vserver nfs kerberos interface enableコマンドを使用すると、データLIF上でKerberosを有効にすることができます。これにより、SVMでNFSのKerberosセキュリティ サービスを使用できます。

タスク概要

Active Directory KDCを使用する場合、使用されるSPNの最初の15文字はRealmまたはドメイン内のSVM間で一意である必要があります。

手順

  1. NFS Kerberos設定を作成します。vserver nfs kerberos interface enable -vserver vserver_name -lif logical_interface -spn service_principal_name

    ONTAPでKerberosインターフェイスを有効にするには、KDCのSPN用のシークレット キーが必要です。

    Microsoft KDCの場合、KDCに接続があると、シークレット キーを取得するためのユーザ名とパスワードのプロンプトがCLIで発行されます。Kerberos Realmの異なるOUでSPNを作成する必要がある場合は、オプションの-ouパラメータを指定できます。

    Microsoft以外のKDCの場合は、次の2つのうちいずれかの方法を使用してシークレット キーを取得できます。

    状況 コマンドとともに含める必要のあるパラメータ
    KDCからキーを直接取得するためのKDC管理者のクレデンシャルがある -admin-username kdc_admin_username
    KDC管理者のクレデンシャルはないが、キーが含まれているKDCのkeytabファイルはある -keytab-uri {ftp|http}://uri
  2. LIF上でKerberosが有効になったことを確認します。vserver nfs kerberos-config show
  3. 複数のLIFでKerberosを有効にするには、手順1および2を繰り返します。

次のコマンドは、vs1というSVMのNFS Kerberos設定を、OU lab2ou内のSPN nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COMを使用して、論理インターフェイスves03-d1に対して作成し、検証します。

vs1::> vserver nfs kerberos interface enable -lif ves03-d1 -vserver vs2 
-spn nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM -ou "ou=lab2ou"

vs1::>vserver nfs kerberos-config show
        Logical
Vserver Interface Address       Kerberos  SPN
------- --------- -------       --------- -------------------------------
vs0     ves01-a1          
                  10.10.10.30   disabled  -
vs2     ves01-d1          
                  10.10.10.40   enabled   nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM
2 entries were displayed.