Acesso de cliente seguro com Kerberos
Ative o Kerberos para proteger o acesso ao armazenamento para clientes nas.
Este procedimento configura o Kerberos em uma VM de armazenamento existente habilitada "NFS"para ou "SMB".
Antes de começar, você deve ter configurado DNS, NTP e "LDAP"no sistema de armazenamento.
-
Na linha de comando ONTAP, defina permissões UNIX para o volume raiz da VM de armazenamento.
-
Exiba as permissões relevantes no volume raiz da VM de armazenamento:
volume show -volume root_vol_name-fields user,group,unix-permissions
O volume raiz da VM de storage deve ter a seguinte configuração:
Nome… A definir… UID
Raiz ou ID 0
GID
Raiz ou ID 0
Permissões da UNIX
755
-
Se esses valores não forem exibidos, use o
volume modify
comando para atualizá-los.
-
-
Definir permissões de usuário para o volume raiz da VM de armazenamento.
-
Exibir os usuários locais do UNIX:
vserver services name-service unix-user show -vserver vserver_name
A VM de storage deve ter os seguintes usuários UNIX configurados:
Nome de utilizador ID de utilizador ID do grupo principal nfs
500
0
raiz
0
0
+
Nota: o usuário NFS não é necessário se existir um mapeamento de nomes Kerberos-UNIX para o SPN do usuário cliente NFS; consulte a etapa 5.-
Se esses valores não forem exibidos, use o
vserver services name-service unix-user modify
comando para atualizá-los.
-
-
Definir permissões de grupo para o volume raiz da VM de armazenamento.
-
Exibir os grupos UNIX locais:
vserver services name-service unix-group show -vserver vserver_name
A VM de armazenamento deve ter os seguintes grupos UNIX configurados:
Nome do grupo ID do grupo daemon
1
raiz
0
-
Se esses valores não forem exibidos, use o
vserver services name-service unix-group modify
comando para atualizá-los.
-
-
Mude para o System Manager para configurar o Kerberos
-
No System Manager, clique em Storage > Storage VMs e selecione a VM de armazenamento.
-
Clique em Configurações.
-
Clique em Kerberos.
-
Clique em Add em Kerberos Realm e complete as seguintes seções:
-
Adicione o realm Kerberos
Insira os detalhes de configuração dependendo do fornecedor do KDC.
-
Adicionar interface de rede ao realm
Clique em Add e selecione uma interface de rede.
-
-
Se desejado, adicione mapeamentos de nomes principais do Kerberos aos nomes de usuário locais.
-
Clique em Storage > Storage VMs e selecione a VM de armazenamento.
-
Clique em Configurações e, em seguida, clique em Mapeamento de nomes.
-
Em Kerberos para UNIX, adicione padrões e substituições usando expressões regulares.
-