Users Guide
为 Kerberos 创建自定义领域
您可以配置与 Kerberos 一起使用的自定义领域。
借助自定义 Kerberos 领域,您可以配置任何类型的 KDC(MIT/Heidmal 或 AD)。当您未在 NAS 服务器上配置 SMB 服务器域时,或
者如果您想要使用除了为 SMB 服务器配置的 Kerberos 领域以外的其他 Kerberos 领域时,请使用此方法。
为纯 NFS 服务器创建自定义领域
要使用基于 Unix 的 KDC,请在 PowerStore 中配置 Kerberos 之前执行以下步骤。这些步骤假定您想将 Kerberos 领域
linux.dellemc.com 中的 myrealm 用作 NFS 服务器的主机名。
1. 运行 kadmin.local 工具。
2. 创建主体及其密钥:
kadmin.local: addprinc -randkey nfs/myrealm.linux.dellemc.com
和/或
kadmin.local: addprinc -randkey nfs/myrealm
3. 将主体的密钥放入密钥表文件 myrealm.linux.dellemc.fr:
kadmin.local: ktadd -k myrealm.linux.dellemc.com.keytab nfs/myrealm.linux.dellemc.fr
为多协议(NFS 和 SMB)NAS 服务器创建自定义领域
要使用基于 Windows 的 KDC 而不使用 NAS 服务器上的 SMB 服务器帐户,请在 PowerStore 中配置 Kerberos 之前执行以下步骤。这
些步骤假定您想将 myrealm.windows.dellemc.com 用作 NFS 服务器的 FQDN。
1. 在 Windows 域 windows.dellemc.com 的 Active Directory (AD) 中创建 NAS 服务器的帐户 myrealm。
2. 在您创建的计算机帐户上注册服务 SPN:
C:\setspn -S nfs/myrealm.windows.dellemc.com myrealm
3. 验证已创建 SPN。
C:\setspn myrealm
4. 为 SPN 生成密钥表文件:
C:\ktpass -princ nfs/myrealm.windows.dellemc.com@WINDOWS.DELLEMC.COM -mapuser
WINDOWS\myrealm
-crypto ALL +rndpass -ptype KRB5_NT_PRINCIPAL -out myrealm.windows.dellemc.com.keytab
为 NAS 服务器配置 Kerberos 安全性
您可以配置具有 Kerberos 安全性的 NAS 服务器。
如果要配置 NFS,则必须为 NAS 服务器配置 DNS 和 UDS,并且 Kerberos 领域的所有成员均必须在 DNS 服务器中注册。
如果使用为 SMB 和 NFS 配置的 NAS 服务器,请确保将 SMB 服务器添加到 AD 域。
1. 选择 Storage > NAS Servers > [nas server] > Security > Kerberos。
2. 如果“Disabled”处于开启状态,请滑动按钮以更改为 Enabled。
3. 输入 Realm 的名称。
4. 输入 Kerberos IP Address,然后单击 Add。
5. 输入要供 Kerberos 使用的 TCP 端口。88 是默认端口。
6. 单击 Apply。
如果您选择在使用安全 NFS 成功创建 NAS 服务器后,从 AD 领域更改为自定义领域,则在执行以下操作之前,您不能装载任何 NFS
导出:
12 创建 NAS 服务器