创建 NFS Kerberos 领域配置
如果希望 ONTAP 访问您的环境中的外部 Kerberos 服务器,必须首先配置 SVM,以使用现有的 Kerberos 领域。为此,您需要收集 Kerberos KDC 服务器的配置值,然后使用 vserver nfs kerberos realm create 命令在 SVM 上创建 Kerberos 领域配置。
开始之前
集群管理员应已在存储系统、客户端与 KDC 服务器上配置了 NTP,以避免认证问题。客户端和服务器之间的时差(时钟偏差)是造成认证失败的常见原因。
- 咨询 Kerberos 管理员,确定 vserver nfs kerberos realm create 命令的适当配置值。
- 在 SVM 上创建 Kerberos 领域配置:vserver nfs kerberos realm create -vserver vserver_name -realm realm_name {AD_KDC_server_values |AD_KDC_server_values} -comment "text"
- 验证是否已成功创建 Kerberos 领域配置:vserver nfs kerberos realm show
示例
以下命令为 SVM vs1 创建 NFS Kerberos 领域配置,使用 Microsoft Active Directory 服务器作为 KDC 服务器。Kerberos 领域为 AUTH.EXAMPLE.COM。Active Directory 服务器名为 ad-1,其 IP 地址为 10.10.8.14。允许的时钟偏差为 300 秒(默认值)。KDC 服务器的 IP 地址为 10.10.8.14,端口号为 88(默认值)。Microsoft Kerberos config
是注释。
vs1::> vserver nfs kerberos realm create -vserver vs1 -realm AUTH.EXAMPLE.COM -adserver-name ad-1
-adserver-ip 10.10.8.14 -clock-skew 300 -kdc-ip 10.10.8.14 -kdc-port 88 -kdc-vendor Microsoft
-comment "Microsoft Kerberos config"
以下命令为 SVM vs1 创建使用 MIT KDC 的 NFS Kerberos 领域配置。Kerberos 领域为 SECURITY.EXAMPLE.COM。允许的时钟偏差为 300 秒。KDC 服务器的 IP 地址为 10.10.9.1,端口号为 88。KDC 供应商为 Other,表示 UNIX 供应商。管理服务器的 IP 地址为 10.10.9.1,端口号为 749(默认值)。密码服务器的 IP 地址为 10.10.9.1,端口号为 464(默认值)。UNIX Kerberos config
是注释。
vs1::> vserver nfs kerberos realm create -vserver vs1 -realm SECURITY.EXAMPLE.COM. -clock-skew 300
-kdc-ip 10.10.9.1 -kdc-port 88 -kdc-vendor Other -adminserver-ip 10.10.9.1 -adminserver-port 749
-passwordserver-ip 10.10.9.1 -passwordserver-port 464 -comment "UNIX Kerberos config"
提供反馈