Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在資料LIF上啟用Kerberos

貢獻者

您可以使用 vserver nfs kerberos interface enable 在資料 LIF 上啟用 Kerberos 的命令。這可讓SVM使用Kerberos安全服務來執行NFS。

關於這項工作

如果您使用Active Directory Kdc、則所使用的任何SPN前15個字元在領域或網域內的SVM之間必須是唯一的。

步驟
  1. 建立NFS Kerberos組態:

    vserver nfs kerberos interface enable -vserver vserver_name -lif logical_interface -spn service_principal_name

    支援Kerberos介面時、需要使用來自Kdc的SPN秘密金鑰。ONTAP

    對於Microsoft KDC、會聯絡到KDC、並在CLI發出使用者名稱和密碼提示以取得秘密金鑰。如果您需要在 Kerberos 領域的不同 OU 中建立 SPN 、您可以指定選用的 -ou 參數。

    對於非Microsoft KDC、可使用下列兩種方法之一取得秘密金鑰:

    如果您…​ 您也必須在命令中加入下列參數…​

    請讓Kdc系統管理員認證資料直接從Kdc擷取金鑰

    -admin-username kdc_admin_username

    不具有kdc系統管理員認證、但從包含金鑰的kdc取得Keytab檔案

    -keytab-uri { FTP

  2. 確認LIF上已啟用Kerberos:

    vserver nfs kerberos-config show

  3. 重複步驟1和2、在多個LIF上啟用Kerberos。

範例

下列命令會在邏輯介面v03至D1上為名為VS1的SVM建立及驗證NFS Kerberos組態、並在OU lab2ou中使用SPn NFS/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM:

vs1::> vserver nfs kerberos interface enable -lif ves03-d1 -vserver vs2
-spn nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM -ou "ou=lab2ou"

vs1::>vserver nfs kerberos-config show
        Logical
Vserver Interface Address       Kerberos  SPN
------- --------- -------       --------- -------------------------------
vs0     ves01-a1
                  10.10.10.30   disabled  -
vs2     ves01-d1
                  10.10.10.40   enabled   nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM
2 entries were displayed.