エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

NFS Kerberos realm設定の作成

環境でONTAPから外部Kerberosサーバーにアクセスする場合は、まず既存のKerberos Realmを使用するようにSVMを設定する必要があります。そのためには、Kerberos KDCサーバーの設定値を収集する必要があります。その後、vserver nfs kerberos realm create コマンドを使用して、SVM上でKerberos Realm設定を作成します。

要件

認証の問題を回避するために、クラスタ管理者はストレージ システム、クライアント、およびKDCサーバー上でNTPを設定しておく必要があります。クライアントとサーバーとの間の時差(クロック スキュー)が認証エラーの一般的な理由です。

手順
  1. Kerberos管理者に問い合わせて、vserver nfs kerberos realm create コマンドでの指定に適切な設定値を決定します。

  2. SVMでKerberos Realmの設定を作成します。

    vserver nfs kerberos realm create -vserver vserver_name -realm realm_name {AD_KDC_server_values |AD_KDC_server_values} -comment "text"

  3. Kerberos Realm設定が正常に作成されたことを確認します。

    vserver nfs kerberos realm show

次のコマンドは、Microsoft Active DirectoryサーバーをKDCサーバーとして使用するNFS Kerberos Realm設定をSVM vs1で作成します。Kerberos RealmはAUTH.EXAMPLE.COMです。Active Directoryサーバーの名前はad-1で、IPアドレスは10.10.8.14です。許容されるクロック スキューは300秒(デフォルト)です。KDCサーバーのIPアドレスは10.10.8.14で、ポート番号は88(デフォルト)です。「Microsoft Kerberos config」はコメントです。

vs1::> vserver nfs kerberos realm create -vserver vs1 -realm AUTH.EXAMPLE.COM -adserver-name ad-1
-adserver-ip 10.10.8.14 -clock-skew 300 -kdc-ip 10.10.8.14 -kdc-port 88 -kdc-vendor Microsoft
-comment "Microsoft Kerberos config"

次のコマンドは、MIT KDCを使用するNFS Kerberos Realm設定をSVM vs1で作成します。Kerberos RealmはSECURITY.EXAMPLE.COMです。許容されるクロック スキューは300秒です。KDCサーバーのIPアドレスは10.10.9.1で、ポート番号は88です。KDCベンダーはUNIXベンダーを示すOtherです。管理サーバーのIPアドレスは10.10.9.1で、ポート番号は749(デフォルト)です。パスワード サーバーのIPアドレスは10.10.9.1で、ポート番号は464(デフォルト)です。「UNIX Kerberos config」はコメントです。

vs1::> vserver nfs kerberos realm create -vserver vs1 -realm SECURITY.EXAMPLE.COM. -clock-skew 300
-kdc-ip 10.10.9.1 -kdc-port 88 -kdc-vendor Other -adminserver-ip 10.10.9.1 -adminserver-port 749
-passwordserver-ip 10.10.9.1 -passwordserver-port 464 -comment "UNIX Kerberos config"
Top of Page