Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用 Kerberos 确保客户端访问安全

贡献者
PDF

启用 Kerberos 以保护 NAS 客户端的存储访问。

此操作步骤会在已启用的现有 Storage VM 上配置 Kerberos "NFS""SMB"

开始之前,您应已配置 DNS , NTP 和 "LDAP" 在存储系统上。

使用 Kerberos 确保客户端访问安全的工作流

步骤

  1. 在 ONTAP 命令行中,为 Storage VM 根卷设置 UNIX 权限。

    1. 显示Storage VM根卷上的相关权限: volume show -volume root_vol_name-fields user,group,unix-permissions

      Storage VM 的根卷必须具有以下配置:

    名称 正在设置 …​

    UID

    root 或 ID 0

    GID

    root 或 ID 0

    UNIX 权限

    755

    1. 如果未显示这些值、请使用 volume modify 命令进行更新。

  2. 设置 Storage VM 根卷的用户权限。

    1. 显示本地 UNIX 用户: vserver services name-service unix-user show -vserver vserver_name

      此 Storage VM 应配置以下 UNIX 用户:

    用户名 用户 ID 主组 ID

    NFS

    500

    0

    root

    0

    0

    +

    • 注: * 如果 NFS 客户端用户的 SPN 存在 Kerberos - UNIX 名称映射,则不需要 NFS 用户;请参见第 5 步。

      1. 如果未显示这些值、请使用 vserver services name-service unix-user modify 命令进行更新。

  3. 设置 Storage VM 根卷的组权限。

    1. 显示本地 UNIX 组: vserver services name-service unix-group show -vserver vserver_name

      此 Storage VM 应配置以下 UNIX 组:

    组名称 组 ID

    守护进程

    1.

    root

    0

    1. 如果未显示这些值、请使用 vserver services name-service unix-group modify 命令进行更新。

  4. 切换到 System Manager 以配置 Kerberos

  5. 在 System Manager 中,单击 * 存储 > Storage VM* 并选择 Storage VM 。

  6. 单击 * 设置 * 。

  7. 单击 箭头 在 Kerberos 下。

  8. 单击 Kerberos 域下的 * 添加 * ,然后完成以下部分:

    • 添加 Kerberos 域

      根据 KDC 供应商输入配置详细信息。

    • 将网络接口添加到域

      单击 * 添加 * 并选择一个网络接口。

  9. 如果需要,可将 Kerberos 主体名称与本地用户名之间的映射添加到其中。

    1. 单击*存储> Storage VM*并选择Storage VM。

    2. 单击 * 设置 * ,然后单击 箭头 在 * 名称映射 * 下。

    3. 在 * Kerberos 到 UNIX* 下,使用正则表达式添加模式和替换项。