通过该操作,可以增加Kerberos域。
前提条件
- Kerberos域环境已搭建完成。
- Kerberos域服务器需要和存储系统的时间同步,时间相差不得大于5分钟。配置系统时间请参见时间配置。
注意事项
- 需要认证的客户端要与存储系统加入同一个Kerberos域。
- 配置存储系统加入Kerberos域时,请确保存储系统主控制器与Kerberos域服务器网络连通。
- 在启用“覆盖服务主体名称”的情况下,如果输入的“服务主体名称”与域控制器中已存在的名称重复,则当前存储系统的逻辑端口信息将覆盖域控制器中原有的服务主体信息。
操作步骤
- 选择“资源 > 访问 > 帐户”。
- 单击帐户名,进入帐户“域配置”页面。
- 在“Kerberos”区域,单击“增加”。
系统右侧弹出“增加Kerberos域”页面。
- 设置基本信息。参数说明如表1所示。
表1 Kerberos域基本信息 参数名称
参数说明
域名
Kerberos域的域名。
如果是以AD域服务器作为KDC服务器,该Kerberos域的域名即为在Active Directory Users and Computers工具上查询到的AD域的域名。
[规则]
输入域名时,需要转化为大写。
[示例]
TEST.COM
KDC IP地址
Kerberos密钥分发中心(Key Distribution Center)的IP地址。
KDC端口
Kerberos KDC的端口号。
[规则]
默认值为88。如果用户重新配置,以用户配置的为准。
KDC供应商
Kerberos KDC的供应商。
- Windows:如果是以Windows AD域服务器作为KDC服务器,KDC供应商请选择为“Windows”。
- 非Windows:如果是其他非AD域服务器作为KDC服务器,KDC供应商请选择为“非Windows”。
Kerberos域用户名
登录Kerberos域服务器的用户名。
[获取方式]
请联系Kerberos域管理员获取。
说明:当增加或移除业务IP时需要进行设置。
密码
登录Kerberos域服务器的密码。
[获取方式]
请联系Kerberos域管理员获取。
说明:当增加或移除业务IP时需要进行设置。
- 开启业务IP的Kerberos服务。
- 单击“增加”。
- 配置相关参数,如表2所示。
表2 配置开启Kerberos服务参数 参数名称
参数说明
子网
子网,用于配置文件服务、对象服务和大数据服务的业务平面。
Zone
Zone中包含了一组具有相同域名、相同负载均衡策略的节点,并为这些节点指定一组业务网络浮动IP地址,由这些节点承担客户端的业务访问。
业务IP
用于承担客户端的业务访问。
[规则]
开启服务前,请先配置业务网络,确认所选业务IP为在线状态。
全称域名
[规则]
全称域名不能包含@#*()=+[]|;:",<>\/?及控制字符。由于不同KDC服务器差异,全称域名建议带上KDC域名,KDC域名建议全部小写。示例:test.example.com。
服务主体名称
用于在Kerberos域中标记一个唯一的身份。即存储系统的业务IP在Kerberos域中的名称,启用后客户端可以通过此名称来访问存储系统。
覆盖服务主体名
选择是否开启“覆盖服务主体名”。须知:- 若使用的服务主体名称在域控制器中已经存在,开启该选项后,将覆盖域控制器中同服务主体名称的业务IP信息,最终会影响该服务主体名称原本对应的业务IP所属的设备与域控制器的鉴权操作。
- 若使用的服务主体名称在域控制器中已经存在,且未开启该选项,增加业务IP的操作将失败。
- 单击“确定”。
- 如果KDC供应商为“非Windows”,开启业务IP的Kerberos服务后,需要上传keytab密钥文件。
勾选端口,单击“移除”或直接单击端口右侧的“更多 > 移除”可以对业务IP进行移除,关闭业务IP的Kerberos服务。
- 单击“确定”。
按照界面提示完成确认操作。