在数据 LIF 上启用 Kerberos
建议更改
PDF
您可以使用 vserver nfs kerberos interface enable 命令以对数据LIF启用Kerberos。这样, SVM 就可以对 NFS 使用 Kerberos 安全服务。
如果您使用的是 Active Directory KDC ,则所使用的任何 SPN 的前 15 个字符必须在域或域中的 SVM 之间是唯一的。
-
创建 NFS Kerberos 配置:
vserver nfs kerberos interface enable -vserver vserver_name -lif logical_interface -spn service_principal_nameONTAP 需要 KDC 中 SPN 的机密密钥才能启用 Kerberos 接口。
对于 Microsoft KDC ,将联系 KDC ,并在命令行界面上发出用户名和密码提示以获取机密密钥。如果需要在Kerberos域的其他OU中创建SPN、则可以指定可选
-ou参数。对于非 Microsoft KDC ,可以使用以下两种方法之一获取机密密钥:
如果您 … 您还必须在命令中包含以下参数 … 拥有 KDC 管理员凭据,以便直接从 KDC 检索密钥
-admin-usernamekdc_admin_username没有 KDC 管理员凭据,但具有包含此密钥的 KDC 中的 keytab 文件
-keytab-uri{ftp-http}://uri -
验证是否已在 LIF 上启用 Kerberos :
vserver nfs kerberos-config show -
重复步骤 1 和 2 ,在多个 LIF 上启用 Kerberos 。
以下命令将在逻辑接口 ves03-d1 上为名为 vs1 的 SVM 创建并验证 NFS Kerberos 配置,并在 OU lab2ou 中使用 SPN NFS/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM :
vs1::> vserver nfs kerberos interface enable -lif ves03-d1 -vserver vs2
-spn nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM -ou "ou=lab2ou"
vs1::>vserver nfs kerberos-config show
Logical
Vserver Interface Address Kerberos SPN
------- --------- ------- --------- -------------------------------
vs0 ves01-a1
10.10.10.30 disabled -
vs2 ves01-d1
10.10.10.40 enabled nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM
2 entries were displayed.