跳到主要内容

在数据 LIF 上启用 Kerberos

可以使用 vserver nfs kerberos interface enable 命令在数据 LIF 上启用 Kerberos。这样 SVM 就可以为 NFS 启用 Kerberos 安全服务。

关于本任务

如果使用 Active Directory KDC,所用的任何 SPN 的前 15 个字符必须在领域或域内部的所有 SVM 上都是唯一的。

  1. 创建 NFS Kerberos 配置:vserver nfs kerberos interface enable -vserver vserver_name -lif logical_interface -spn service_principal_name

    ONTAP 需要从 KDC 获得 SPN 机密密钥,以启用 Kerberos 接口。

    对于 Microsoft KDC,将联系 KDC,通过 CLI 发出输入用户名和密码的提示,以获取机密密钥。如果需要在 Kerberos 领域的另一 OU 中创建 SPN,可指定可选的 -ou 参数。

    对于非 Microsoft KDC,可使用以下两种方法之一获取机密密钥:

    如果您...命令中还必须包含以下参数...
    拥有 KDC 管理员凭证,可直接从 KDC 检索密钥-admin-username kdc_admin_username
    没有 KDC 管理员凭证,但拥有包含密钥的 KDC 上的 keytab 文件-keytab-uri {ftp|http}://uri
  2. 验证是否已在 LIF 上启用 Kerberos:vserver nfs kerberos-config show
  3. 重复步骤 12,在多个 LIF 上启用 Kerberos。

示例

以下命令创建并验证名为 vs1 的 SVM 上的 NFS Kerberos 配置,在逻辑接口 ves03-d1 上,SPN 为 nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM,在 OU lab2ou 中:

vs1::> vserver nfs kerberos interface enable -lif ves03-d1 -vserver vs2 
-spn nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM -ou "ou=lab2ou"

vs1::>vserver nfs kerberos-config show
        Logical
Vserver Interface Address       Kerberos  SPN
------- --------- -------       --------- -------------------------------
vs0     ves01-a1          
                  10.10.10.30   disabled  -
vs2     ves01-d1          
                  10.10.10.40   enabled   nfs/ves03-d1.lab.example.com@TEST.LAB.EXAMPLE.COM
2 entries were displayed.