简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

修改 CIFS 服务器 Kerberos 安全设置

提供者 netapp-thomi netapp-ahibbard

您可以修改某些 CIFS 服务器 Kerberos 安全设置,包括允许的最大 Kerberos 时钟转换时间, Kerberos 票证生命周期以及票证续订天数。

使用 vserver cifs security modify 命令修改 CIFS 服务器 Kerberos 设置仅会修改使用 ` -vserver` 参数指定的单个 Storage Virtual Machine ( SVM )上的设置。您可以使用 Active Directory 组策略对象( GPO )集中管理属于同一 Active Directory 域的集群上所有 SVM 的 Kerberos 安全设置。

步骤
  1. 执行以下一项或多项操作:

    如果您要 …​ 输入 …​

    指定允许的最大 Kerberos 时钟偏差时间(以分钟为单位)

    vserver cifs security modify -vserver vserver_name -kerberos-clock-skew intege_in_minutes 默认设置为 5 分钟。

    以小时为单位指定 Kerberos 票证的生命周期

    vserver cifs security modify -vserver vserver_name -kerberos-ticket-age intege_in_hours 默认设置为 10 小时。

    指定最大票证续订天数

    vserver cifs security modify -vserver vserver_name -kerberos-renew-age intege_in_days 默认设置为 7 天。

    指定 KDC 上的套接字超时,超过此超时后,所有 KDC 都将标记为不可访问

    vserver cifs security modify -vserver vserver_name -kerberos-kw-timeout intege_in_seconds 默认设置为 3 秒。

  2. 验证 Kerberos 安全设置: vserver cifs security show -vserver vserver_name

以下示例对 Kerberos 安全性进行了以下更改:对于 SVM vs1 , Kerberos 时钟间隔 设置为 3 分钟, Kerberos 票证期限 设置为 8 小时:

cluster1::> vserver cifs security modify -vserver vs1 -kerberos-clock-skew 3 -kerberos-ticket-age 8

cluster1::> vserver cifs security show -vserver vs1

Vserver: vs1

                    Kerberos Clock Skew:                   3 minutes
                    Kerberos Ticket Age:                   8 hours
                   Kerberos Renewal Age:                   7 days
                   Kerberos KDC Timeout:                   3 seconds
                    Is Signing Required:               false
        Is Password Complexity Required:                true
   Use start_tls For AD LDAP connection:               false
              Is AES Encryption Enabled:               false
                 LM Compatibility Level:  lm-ntlm-ntlmv2-krb
             Is SMB Encryption Required:               false