Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在数据 LIF 上启用 Kerberos

贡献者
PDF

您可以使用 vserver nfs kerberos interface enable 命令以对数据LIF启用Kerberos。这样, SVM 就可以对 NFS 使用 Kerberos 安全服务。

关于此任务

如果您使用的是 Active Directory KDC ,则所使用的任何 SPN 的前 15 个字符必须在域或域中的 SVM 之间是唯一的。

步骤

  1. 创建 NFS Kerberos 配置:

    vserver nfs kerberos interface enable -vserver vserver_name -lif logical_interface -spn service_principal_name

    ONTAP 需要 KDC 中 SPN 的机密密钥才能启用 Kerberos 接口。

    对于 Microsoft KDC ,将联系 KDC ,并在命令行界面上发出用户名和密码提示以获取机密密钥。如果需要在Kerberos域的其他OU中创建SPN、则可以指定可选 -ou 参数。

    对于非 Microsoft KDC ,可以使用以下两种方法之一获取机密密钥:

    如果您 …​ 您还必须在命令中包含以下参数 …​

    拥有 KDC 管理员凭据,以便直接从 KDC 检索密钥

    -admin-username kdc_admin_username

    没有 KDC 管理员凭据,但具有包含此密钥的 KDC 中的 keytab 文件

    -keytab-uri {ftp-http}://uri

  2. 验证是否已在 LIF 上启用 Kerberos :

    vserver nfs kerberos-config show

  3. 重复步骤 1 和 2 ,在多个 LIF 上启用 Kerberos 。

示例

以下命令将在逻辑接口 ves03-d1 上为名为 vs1 的 SVM 创建并验证 NFS Kerberos 配置,并在 OU lab2ou 中使用 SPN NFS/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM :

vs1::> vserver nfs kerberos interface enable -lif ves03-d1 -vserver vs2
-spn nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM -ou "ou=lab2ou"

vs1::>vserver nfs kerberos-config show
        Logical
Vserver Interface Address       Kerberos  SPN
------- --------- -------       --------- -------------------------------
vs0     ves01-a1
                  10.10.10.30   disabled  -
vs2     ves01-d1
                  10.10.10.40   enabled   nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM
2 entries were displayed.