エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

CIFSサーバーのKerberosセキュリティ設定の変更

CIFSサーバーのKerberosセキュリティ設定の一部を変更できます。対象となる設定には、Kerberosクロック スキューの許容最大時間やKerberosチケットの有効期間、チケットを更新できる最長有効期間(日数)などがあります。

タスク概要

vserver cifs security modifyコマンドによるCIFSサーバーのKerberos設定の変更では、-vserverパラメーターで指定した単一のStorage Virtual Machine(SVM)の設定のみを変更できます。Active Directoryのグループ ポリシー オブジェクト(GPO)を使用すると、同一のActive Directoryドメインに属するクラスタ上のSVMすべてについて、Kerberosセキュリティ設定を集中管理できます。

手順
  1. 次の操作を1つ以上実行します。

    状況

    入力するコマンド

    Kerberosクロック スキューの許容最大時間を分(9.13.1以降)または秒(9.12.1以前)で指定します。

    vserver cifs security modify -vserver vserver_name -kerberos-clock-skew integer_in_minutes

    デフォルトの設定は5分です。

    Kerberosチケットの有効期間を時間で指定する。

    vserver cifs security modify -vserver vserver_name -kerberos-ticket-age integer_in_hours

    デフォルトの設定は10時間です。

    チケットを更新できる最長有効期間を日数で指定する。

    vserver cifs security modify -vserver vserver_name -kerberos-renew-age integer_in_days

    デフォルトの設定は7日です。

    KDCのソケットのタイムアウトを指定する(この時間を過ぎるとすべてのKDCが到達不能とマークされます)。

    vserver cifs security modify -vserver vserver_name -kerberos-kdc-timeout integer_in_seconds

    デフォルトの設定は3秒です。

  2. Kerberosセキュリティ設定を確認します。

    vserver cifs security show -vserver vserver_name

次の例は、SVM vs1のKerberosセキュリティを変更して、「Kerberosクロック スキュー」を3分に、「Kerberosチケットの有効期間」を8時間に設定します。

cluster1::> vserver cifs security modify -vserver vs1 -kerberos-clock-skew 3 -kerberos-ticket-age 8

cluster1::> vserver cifs security show -vserver vs1

Vserver: vs1

                    Kerberos Clock Skew:                   3 minutes
                    Kerberos Ticket Age:                   8 hours
                   Kerberos Renewal Age:                   7 days
                   Kerberos KDC Timeout:                   3 seconds
                    Is Signing Required:               false
        Is Password Complexity Required:                true
   Use start_tls For AD LDAP connection:               false
              Is AES Encryption Enabled:               false
                 LM Compatibility Level:  lm-ntlm-ntlmv2-krb
             Is SMB Encryption Required:               false
Top of Page