修改ONTAP SMB服务器Kerberos安全设置
建议更改
PDF
您可以修改某些 CIFS 服务器 Kerberos 安全设置,包括允许的最大 Kerberos 时钟偏差时间, Kerberos 票证生命周期以及票证续订天数。
使用修改CIFS服务器Kerberos设置 vserver cifs security modify 命令仅会修改您使用指定的单个Storage Virtual Machine (SVM)上的设置 -vserver 参数。您可以使用 Active Directory 组策略对象( GPO )集中管理属于同一 Active Directory 域的集群上所有 SVM 的 Kerberos 安全设置。
-
执行以下一项或多项操作:
如果您要 …
输入 …
指定允许的最大Kerberos时钟偏差时间(以分钟(9.13.1及更高版本)或秒(9.12.1或更低版本)为单位。
vserver cifs security modify -vserver vserver_name -kerberos-clock-skew integer_in_minutes默认设置为 5 分钟。
以小时为单位指定 Kerberos 票证的生命周期。
vserver cifs security modify -vserver vserver_name -kerberos-ticket-age integer_in_hours默认设置为 10 小时。
指定最大票证续订天数。
vserver cifs security modify -vserver vserver_name -kerberos-renew-age integer_in_days默认设置为 7 天。
指定 KDC 上的套接字超时,超过此超时后,所有 KDC 都将标记为不可访问。
vserver cifs security modify -vserver vserver_name -kerberos-kdc-timeout integer_in_seconds默认设置为 3 秒。
-
验证 Kerberos 安全设置:
vserver cifs security show -vserver vserver_name
以下示例对 Kerberos 安全性进行了以下更改:对于 SVM vs1 , "`Kerberos Clock Skew` " 设置为 3 分钟, "`Kerberos 票证期限` " 设置为 8 小时:
cluster1::> vserver cifs security modify -vserver vs1 -kerberos-clock-skew 3 -kerberos-ticket-age 8
cluster1::> vserver cifs security show -vserver vs1
Vserver: vs1
Kerberos Clock Skew: 3 minutes
Kerberos Ticket Age: 8 hours
Kerberos Renewal Age: 7 days
Kerberos KDC Timeout: 3 seconds
Is Signing Required: false
Is Password Complexity Required: true
Use start_tls For AD LDAP connection: false
Is AES Encryption Enabled: false
LM Compatibility Level: lm-ntlm-ntlmv2-krb
Is SMB Encryption Required: false