使用 Kerberos 确保客户端访问安全
建议更改
PDF
启用 Kerberos 以保护 NAS 客户端的存储访问。
开始之前,您应已配置 DNS , NTP 和 "LDAP" 在存储系统上。
-
在 ONTAP 命令行中,为 Storage VM 根卷设置 UNIX 权限。
-
显示Storage VM根卷上的相关权限:
volume show -volume root_vol_name-fields user,group,unix-permissionsStorage VM 的根卷必须具有以下配置:
名称 正在设置 … UID
root 或 ID 0
GID
root 或 ID 0
UNIX 权限
755
-
如果未显示这些值、请使用
volume modify命令进行更新。
-
-
设置 Storage VM 根卷的用户权限。
-
显示本地 UNIX 用户:
vserver services name-service unix-user show -vserver vserver_name此 Storage VM 应配置以下 UNIX 用户:
用户名 用户 ID 主组 ID NFS
500
0
root
0
0
+
-
注: * 如果 NFS 客户端用户的 SPN 存在 Kerberos - UNIX 名称映射,则不需要 NFS 用户;请参见第 5 步。
-
如果未显示这些值、请使用
vserver services name-service unix-user modify命令进行更新。
-
-
-
设置 Storage VM 根卷的组权限。
-
显示本地 UNIX 组:
vserver services name-service unix-group show -vserver vserver_name此 Storage VM 应配置以下 UNIX 组:
组名称 组 ID 守护进程
1.
root
0
-
如果未显示这些值、请使用
vserver services name-service unix-group modify命令进行更新。
-
-
切换到 System Manager 以配置 Kerberos
-
在 System Manager 中,单击 * 存储 > Storage VM* 并选择 Storage VM 。
-
单击 * 设置 * 。
-
单击
Kerberos下的。 -
单击 Kerberos 域下的 * 添加 * ,然后完成以下部分:
-
添加 Kerberos 域
根据 KDC 供应商输入配置详细信息。
-
将网络接口添加到域
单击 * 添加 * 并选择一个网络接口。
-
-
如果需要,可将 Kerberos 主体名称与本地用户名之间的映射添加到其中。
-
单击*存储> Storage VM*并选择Storage VM。
-
单击*Settings*,然后单击
*Name Mapping*下的。 -
在 * Kerberos 到 UNIX* 下,使用正则表达式添加模式和替换项。
-