配置 Kerberos 领域将创建特定的服务主体并向系统的本地密钥表中添加必要的密钥。必须在配置 Kerberized NFS 前配置NTP 服务。为支持基于 Kerberos 的 NFS,将创建并更新以下服务主体:
host/node1.example.com@EXAMPLE.COM nfs/node1.example.com@EXAMPLE.COM
如果将设备组成群集,会生成各个群集节点的主体和密钥:
host/node1.example.com@EXAMPLE.COM nfs/node1.example.com@EXAMPLE.COM host/node2.example.com@EXAMPLE.COM nfs/node2.example.com@EXAMPLE.COM
如果已经创建了这些主体,则配置领域将重置这些主体中每个主体的密码。如果您将设备配置为加入 Active Directory 域,则无法将其配置为 Kerberos 领域的一部分。
有关设置 KDC 和基于 Kerberos 的客户机的信息,请参见《Oracle Solaris 11.1 Administration: Security Services》(《Oracle Solaris 11.1 管理:安全服务》)。在设置 Kerberos 的 NFS 属性后,在 "Shares"(共享资源)> "Filesystem"(文件系统)> "Protocols"(协议)屏幕上将安全模式设置为使用 Kerberos 的模式。
设备将以下端口用于 Kerberos。
Kerberos V 验证:88
Kerberos V 更改和设置密码 SET_CHANGE:464
Kerberos V 更改和设置密码 RPCSEC_GSS:749