简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

修改 CIFS 服务器 Kerberos 安全设置

12/19/2023 贡献者

您可以修改某些 CIFS 服务器 Kerberos 安全设置，包括允许的最大 Kerberos 时钟偏差时间， Kerberos 票证生命周期以及票证续订天数。

关于此任务

使用修改CIFS服务器Kerberos设置 vserver cifs security modify 命令仅会修改您使用指定的单个Storage Virtual Machine (SVM)上的设置 -vserver 参数。您可以使用 Active Directory 组策略对象（ GPO ）集中管理属于同一 Active Directory 域的集群上所有 SVM 的 Kerberos 安全设置。

步骤

执行以下一项或多项操作：

如果您要 …

输入 …

指定允许的最大Kerberos时钟偏差时间(以分钟(9.13.1及更高版本)或秒(9.12.1或更低版本)为单位。

vserver cifs security modify -vserver vserver_name -kerberos-clock-skew integer_in_minutes

默认设置为 5 分钟。

以小时为单位指定 Kerberos 票证的生命周期。

vserver cifs security modify -vserver vserver_name -kerberos-ticket-age integer_in_hours

默认设置为 10 小时。

指定最大票证续订天数。

vserver cifs security modify -vserver vserver_name -kerberos-renew-age integer_in_days

默认设置为 7 天。

指定 KDC 上的套接字超时，超过此超时后，所有 KDC 都将标记为不可访问。

vserver cifs security modify -vserver vserver_name -kerberos-kdc-timeout integer_in_seconds

默认设置为 3 秒。

验证 Kerberos 安全设置：

vserver cifs security show -vserver vserver_name

示例

以下示例对 Kerberos 安全性进行了以下更改：对于 SVM vs1 ， "`Kerberos Clock Skew` " 设置为 3 分钟， "`Kerberos 票证期限` " 设置为 8 小时：

cluster1::> vserver cifs security modify -vserver vs1 -kerberos-clock-skew 3 -kerberos-ticket-age 8

cluster1::> vserver cifs security show -vserver vs1

Vserver: vs1

                    Kerberos Clock Skew:                   3 minutes
                    Kerberos Ticket Age:                   8 hours
                   Kerberos Renewal Age:                   7 days
                   Kerberos KDC Timeout:                   3 seconds
                    Is Signing Required:               false
        Is Password Complexity Required:                true
   Use start_tls For AD LDAP connection:               false
              Is AES Encryption Enabled:               false
                 LM Compatibility Level:  lm-ntlm-ntlmv2-krb
             Is SMB Encryption Required:               false

修改 CIFS 服务器 Kerberos 安全设置

Creating your file...