Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren von NFS-Kerberos-zulässigen Verschlüsselungstypen

Beitragende
PDFs

Standardmäßig unterstützt ONTAP die folgenden Verschlüsselungstypen für NFS Kerberos: DES, 3DES, AES-128 und AES-256. Sie können die zulässigen Verschlüsselungstypen für jede SVM mithilfe des vserver nfs modify Befehls mit dem -permitted-enc-types Parameter so konfigurieren, dass sie den Sicherheitsanforderungen Ihrer jeweiligen Umgebung entsprechen.

Über diese Aufgabe

Für eine maximale Client-Kompatibilität unterstützt ONTAP standardmäßig sowohl schwache DES als auch eine starke AES-Verschlüsselung. Wenn Sie beispielsweise die Sicherheit erhöhen und die Umgebung unterstützt, können Sie mit diesem Verfahren DAS und 3DES deaktivieren und benötigen von Clients nur die AES-Verschlüsselung.

Sie sollten die stärkste verfügbare Verschlüsselung verwenden. Für ONTAP, also AES-256. Sie sollten mit Ihrem KDC-Administrator bestätigen, dass diese Verschlüsselungsstufe in Ihrer Umgebung unterstützt wird.

  • Die vollständige Aktivierung oder Deaktivierung von AES (AES-128 und AES-256) auf SVMs führt zu Unterbrechungen, da dies die ursprüngliche DES-Principal/Keytab-Datei zerstört. Dadurch muss die Kerberos-Konfiguration auf allen LIFs für die SVM deaktiviert werden.

    Bevor Sie diese Änderung vornehmen, sollten Sie überprüfen, ob NFS-Clients auf der AES-Verschlüsselung auf der SVM basieren.

  • Das Aktivieren oder Deaktivieren VON DES oder 3DES erfordert keine Änderungen an der Kerberos-Konfiguration auf den LIFs.

Schritt

  1. Aktivieren oder deaktivieren Sie den gewünschten Verschlüsselungstyp:

    Wenn Sie aktivieren oder deaktivieren möchten…​ Führen Sie die folgenden Schritte aus…​

    DES oder 3DES

    1. Konfigurieren Sie die zulässigen NFS-Kerberos-Verschlüsselungstypen der SVM:
      vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types

      Trennen Sie mehrere Verschlüsselungstypen durch ein Komma.

    2. Überprüfen Sie, ob die Änderung erfolgreich war:
      vserver nfs show -vserver vserver_name -fields permitted-enc-types

    AES-128 oder AES-256

    1. Ermitteln, auf welcher SVM und welcher LIF Kerberos aktiviert ist:
      vserver nfs kerberos interface show

    2. Deaktivieren Sie Kerberos auf allen LIFs auf der SVM, deren NFS Kerberos den Verschlüsselungstyp zulässt, den Sie ändern möchten:
      vserver nfs kerberos interface disable -lif lif_name

    3. Konfigurieren Sie die zulässigen NFS-Kerberos-Verschlüsselungstypen der SVM:
      vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types

      Trennen Sie mehrere Verschlüsselungstypen durch ein Komma.

    4. Überprüfen Sie, ob die Änderung erfolgreich war:
      vserver nfs show -vserver vserver_name -fields permitted-enc-types

    5. Aktivieren Sie Kerberos auf allen LIFs auf der SVM:
      vserver nfs kerberos interface enable -lif lif_name -spn service_principal_name

    6. Überprüfen Sie, ob Kerberos auf allen LIFs aktiviert ist:
      vserver nfs kerberos interface show