Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

建立NFS Kerberos領域組態

貢獻者
PDF

如果您想ONTAP 要讓靜態存取環境中的外部Kerberos伺服器、必須先設定SVM使用現有的Kerberos領域。若要這麼做、您需要收集 Kerberos KDC 伺服器的組態值、然後使用 vserver nfs kerberos realm create 在 SVM 上建立 Kerberos 領域組態的命令。

您需要的產品

叢集管理員應已在儲存系統、用戶端和Kdc伺服器上設定NTP、以避免驗證問題。用戶端與伺服器之間的時間差異(時鐘偏移)是驗證失敗的常見原因。

步驟

  1. 請洽詢您的 Kerberos 系統管理員、以決定提供的適當組態值 vserver nfs kerberos realm create 命令。

  2. 在SVM上建立Kerberos領域組態:

    vserver nfs kerberos realm create -vserver vserver_name -realm realm_name {AD_KDC_server_values |AD_KDC_server_values} -comment "text"

  3. 確認已成功建立Kerberos領域組態:

    vserver nfs kerberos realm show

範例

下列命令會為SVM VS1建立NFS Kerberos領域組態、該組態使用Microsoft Active Directory伺服器做為Kdc伺服器。Kerberos領域是AUTH.EXAMPLE.COM。Active Directory伺服器的名稱為ad-1、其IP位址為10.10.8.14。允許的時鐘偏移為300秒(預設值)。Kdc伺服器的IP位址為10.10.8.14、其連接埠號碼為88(預設)。「Microsoft Kerberos組態」是註解。

vs1::> vserver nfs kerberos realm create -vserver vs1 -realm AUTH.EXAMPLE.COM -adserver-name ad-1
-adserver-ip 10.10.8.14 -clock-skew 300 -kdc-ip 10.10.8.14 -kdc-port 88 -kdc-vendor Microsoft
-comment "Microsoft Kerberos config"

下列命令會為使用MIT Kdc的SVM VS1建立NFS Kerberos領域組態。Kerberos領域是SECURITY.EXAMPLE.COM。允許的時鐘偏移為300秒。Kdc伺服器的IP位址為10.10.9.1、其連接埠號碼為88。其他的Kdc廠商則表示UNIX廠商。管理伺服器的IP位址為10.10.9.1、其連接埠號碼為749(預設)。密碼伺服器的IP位址為10.10.9.1、其連接埠號碼為464(預設)。「UNIX Kerberos組態」是註解。

vs1::> vserver nfs kerberos realm create -vserver vs1 -realm SECURITY.EXAMPLE.COM. -clock-skew 300
-kdc-ip 10.10.9.1 -kdc-port 88 -kdc-vendor Other -adminserver-ip 10.10.9.1 -adminserver-port 749
-passwordserver-ip 10.10.9.1 -passwordserver-port 464 -comment "UNIX Kerberos config"