在資料LIF上啟用Kerberos
建議變更
PDF
您可以使用 vserver nfs kerberos interface enable 在資料 LIF 上啟用 Kerberos 的命令。這可讓SVM使用Kerberos安全服務來執行NFS。
如果您使用Active Directory Kdc、則所使用的任何SPN前15個字元在領域或網域內的SVM之間必須是唯一的。
-
建立NFS Kerberos組態:
vserver nfs kerberos interface enable -vserver vserver_name -lif logical_interface -spn service_principal_name支援Kerberos介面時、需要使用來自Kdc的SPN秘密金鑰。ONTAP
對於Microsoft KDC、會聯絡到KDC、並在CLI發出使用者名稱和密碼提示以取得秘密金鑰。如果您需要在 Kerberos 領域的不同 OU 中建立 SPN 、您可以指定選用的
-ou參數。對於非Microsoft KDC、可使用下列兩種方法之一取得秘密金鑰:
如果您… 您也必須在命令中加入下列參數… 請讓Kdc系統管理員認證資料直接從Kdc擷取金鑰
-admin-usernamekdc_admin_username不具有kdc系統管理員認證、但從包含金鑰的kdc取得Keytab檔案
-keytab-uri{ FTP -
確認LIF上已啟用Kerberos:
vserver nfs kerberos-config show -
重複步驟1和2、在多個LIF上啟用Kerberos。
下列命令會在邏輯介面v03至D1上為名為VS1的SVM建立及驗證NFS Kerberos組態、並在OU lab2ou中使用SPn NFS/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM:
vs1::> vserver nfs kerberos interface enable -lif ves03-d1 -vserver vs2
-spn nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM -ou "ou=lab2ou"
vs1::>vserver nfs kerberos-config show
Logical
Vserver Interface Address Kerberos SPN
------- --------- ------- --------- -------------------------------
vs0 ves01-a1
10.10.10.30 disabled -
vs2 ves01-d1
10.10.10.40 enabled nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM
2 entries were displayed.