Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren Sie die von NFS Kerberos zugelassenen Verschlüsselungstypen für ONTAP SVMs

Beitragende netapp-barbe netapp-aherbin
PDFs

Standardmäßig unterstützt ONTAP die folgenden Verschlüsselungstypen für NFS Kerberos: DES, 3DES, AES-128 und AES-256. Sie können die zulässigen Verschlüsselungstypen für jede SVM mithilfe des vserver nfs modify Befehls mit dem -permitted-enc-types Parameter so konfigurieren, dass sie den Sicherheitsanforderungen Ihrer jeweiligen Umgebung entsprechen.

Über diese Aufgabe

Für eine maximale Client-Kompatibilität unterstützt ONTAP standardmäßig sowohl schwache DES als auch eine starke AES-Verschlüsselung. Wenn Sie beispielsweise die Sicherheit erhöhen und die Umgebung unterstützt, können Sie mit diesem Verfahren DAS und 3DES deaktivieren und benötigen von Clients nur die AES-Verschlüsselung.

Sie sollten die stärkste verfügbare Verschlüsselung verwenden. Für ONTAP, also AES-256. Sie sollten mit Ihrem KDC-Administrator bestätigen, dass diese Verschlüsselungsstufe in Ihrer Umgebung unterstützt wird.

  • Die vollständige Aktivierung oder Deaktivierung von AES (AES-128 und AES-256) auf SVMs führt zu Unterbrechungen, da dies die ursprüngliche DES-Principal/Keytab-Datei zerstört. Dadurch muss die Kerberos-Konfiguration auf allen LIFs für die SVM deaktiviert werden.

    Bevor Sie diese Änderung vornehmen, sollten Sie überprüfen, ob NFS-Clients auf der AES-Verschlüsselung auf der SVM basieren.

  • Das Aktivieren oder Deaktivieren VON DES oder 3DES erfordert keine Änderungen an der Kerberos-Konfiguration auf den LIFs.

Schritt

  1. Aktivieren oder deaktivieren Sie den gewünschten Verschlüsselungstyp:

    Wenn Sie aktivieren oder deaktivieren möchten…​ Führen Sie die folgenden Schritte aus…​

    DES oder 3DES

    1. Konfigurieren Sie die zulässigen NFS-Kerberos-Verschlüsselungstypen der SVM:
      vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types

      Trennen Sie mehrere Verschlüsselungstypen durch ein Komma.

    2. Überprüfen Sie, ob die Änderung erfolgreich war:
      vserver nfs show -vserver vserver_name -fields permitted-enc-types

    AES-128 oder AES-256

    1. Ermitteln, auf welcher SVM und welcher LIF Kerberos aktiviert ist:
      vserver nfs kerberos interface show

    2. Deaktivieren Sie Kerberos auf allen LIFs auf der SVM, deren NFS Kerberos den Verschlüsselungstyp zulässt, den Sie ändern möchten:
      vserver nfs kerberos interface disable -lif lif_name

    3. Konfigurieren Sie die zulässigen NFS-Kerberos-Verschlüsselungstypen der SVM:
      vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types

      Trennen Sie mehrere Verschlüsselungstypen durch ein Komma.

    4. Überprüfen Sie, ob die Änderung erfolgreich war:
      vserver nfs show -vserver vserver_name -fields permitted-enc-types

    5. Aktivieren Sie Kerberos auf allen LIFs auf der SVM:
      vserver nfs kerberos interface enable -lif lif_name -spn service_principal_name

    6. Überprüfen Sie, ob Kerberos auf allen LIFs aktiviert ist:
      vserver nfs kerberos interface show