修改 CIFS 服务器 Kerberos 安全设置
可修改特定 CIFS 服务器 Kerberos 安全设置,包括允许的最大 Kerberos 时钟偏差时间、Kerberos 凭单生存期和凭单续订的最大天数。
关于本任务
使用 vserver cifs security modify 命令仅修改使用 -vserver 参数指定的单个存储虚拟机(SVM)的设置,以修改 CIFS 服务器 Kerberos 设置。使用 Active Directory 组策略对象(GPO),可集中管理集群上属于相同 Active Directory 域的所有 SVM 的 Kerberos 安全设置。
- 执行以下一个或多个操作:
如果要... 输入... 指定允许的最大 Kerberos 时钟偏差时间,以分钟为单位 vserver cifs security modify -vserver vserver_name -kerberos-clock-skew integer_in_minutes 默认设置为 5 分钟。
指定 Kerberos 凭单生存期,以小时为单位 vserver cifs security modify -vserver vserver_name -kerberos-ticket-age integer_in_hours 默认设置为 10 小时。
指定凭单续订的最大天数 vserver cifs security modify -vserver vserver_name -kerberos-renew-age integer_in_days 默认设置为 7 天。
指定 KDC 上套接字的超时,超过该时间之后所有 KDC 标记为无法访问 vserver cifs security modify -vserver vserver_name -kerberos-kdc-timeout integer_in_seconds 默认设置为 3 秒。
- 验证 Kerberos 安全设置:vserver cifs security show -vserver vserver_name
示例
以下示例将对 Kerberos 安全性进行以下更改:对于 SVM vs1,将 Kerberos Clock Skew 设置为 3 分钟,Kerberos Ticket Age 设置为 8 小时:
cluster1::> vserver cifs security modify -vserver vs1 -kerberos-clock-skew 3 -kerberos-ticket-age 8
cluster1::> vserver cifs security show -vserver vs1
Vserver: vs1
Kerberos Clock Skew: 3 minutes
Kerberos Ticket Age: 8 hours
Kerberos Renewal Age: 7 days
Kerberos KDC Timeout: 3 seconds
Is Signing Required: false
Is Password Complexity Required: true
Use start_tls For AD LDAP connection: false
Is AES Encryption Enabled: false
LM Compatibility Level: lm-ntlm-ntlmv2-krb
Is SMB Encryption Required: false
提供反馈