Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Ative o Kerberos em um LIF de dados

Colaboradores

Você pode usar o vserver nfs kerberos interface enable comando para habilitar o Kerberos em um LIF de dados. Isso permite que o SVM use os serviços de segurança Kerberos para NFS.

Sobre esta tarefa

Se você estiver usando um KDC do ative Directory, os primeiros 15 carateres de qualquer SPNs usados devem ser exclusivos em SVMs dentro de um Reino ou domínio.

Passos
  1. Crie a configuração NFS Kerberos:

    vserver nfs kerberos interface enable -vserver vserver_name -lif logical_interface -spn service_principal_name

    O ONTAP requer a chave secreta para o SPN do KDC para habilitar a interface Kerberos.

    Para os KDCs da Microsoft, o KDC é contatado e um prompt de nome de usuário e senha são emitidos na CLI para obter a chave secreta. Se você precisar criar o SPN em uma ou diferente do realm Kerberos, você poderá especificar o parâmetro opcional -ou.

    Para KDCs não Microsoft, a chave secreta pode ser obtida usando um de dois métodos:

    Se você…​ Você também deve incluir o seguinte parâmetro com o comando…​

    Peça às credenciais do administrador do KDC para recuperar a chave diretamente do KDC

    -admin-username kdc_admin_username

    Não tem as credenciais de administrador do KDC, mas tem um arquivo keytab do KDC que contém a chave

    -keytab-uri digite seu comentário aqui://uri

  2. Verifique se o Kerberos foi ativado no LIF:

    vserver nfs kerberos-config show

  3. Repita as etapas 1 e 2 para ativar o Kerberos em várias LIFs.

Exemplo

O comando a seguir cria e verifica uma configuração NFS Kerberos para o SVM chamado VS1 na interface lógica ves03-D1, com o SPN nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM na ou lab2ou:

vs1::> vserver nfs kerberos interface enable -lif ves03-d1 -vserver vs2
-spn nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM -ou "ou=lab2ou"

vs1::>vserver nfs kerberos-config show
        Logical
Vserver Interface Address       Kerberos  SPN
------- --------- -------       --------- -------------------------------
vs0     ves01-a1
                  10.10.10.30   disabled  -
vs2     ves01-d1
                  10.10.10.40   enabled   nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM
2 entries were displayed.