Konfigurieren von NFS-Kerberos-zulässigen Verschlüsselungstypen
-
PDF dieser Dokumentationssite
- ONTAP einrichten, aktualisieren und zurücksetzen
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
- Managen Sie die SnapMirror Volume-Replizierung
Sammlung separater PDF-Dokumente
Creating your file...
Standardmäßig unterstützt ONTAP die folgenden Verschlüsselungstypen für NFS Kerberos: DES, 3DES, AES-128 und AES-256. Sie können die zulässigen Verschlüsselungstypen für jede SVM so konfigurieren, dass sie den Sicherheitsanforderungen für Ihre Umgebung entsprechen, indem Sie den verwenden vserver nfs modify
Befehl mit dem -permitted-enc-types
Parameter.
Für eine maximale Client-Kompatibilität unterstützt ONTAP standardmäßig sowohl schwache DES als auch eine starke AES-Verschlüsselung. Wenn Sie beispielsweise die Sicherheit erhöhen und die Umgebung unterstützt, können Sie mit diesem Verfahren DAS und 3DES deaktivieren und benötigen von Clients nur die AES-Verschlüsselung.
Sie sollten die stärkste verfügbare Verschlüsselung verwenden. Für ONTAP, also AES-256. Sie sollten mit Ihrem KDC-Administrator bestätigen, dass diese Verschlüsselungsstufe in Ihrer Umgebung unterstützt wird.
-
Die vollständige Aktivierung oder Deaktivierung von AES (AES-128 und AES-256) auf SVMs führt zu Unterbrechungen, da dies die ursprüngliche DES-Principal/Keytab-Datei zerstört. Dadurch muss die Kerberos-Konfiguration auf allen LIFs für die SVM deaktiviert werden.
Bevor Sie diese Änderung vornehmen, sollten Sie überprüfen, ob NFS-Clients auf der AES-Verschlüsselung auf der SVM basieren.
-
Das Aktivieren oder Deaktivieren VON DES oder 3DES erfordert keine Änderungen an der Kerberos-Konfiguration auf den LIFs.
-
Aktivieren oder deaktivieren Sie den gewünschten Verschlüsselungstyp:
Wenn Sie aktivieren oder deaktivieren möchten… Führen Sie die folgenden Schritte aus… DES oder 3DES
-
Konfigurieren Sie die von NFS Kerberos zulässigen Verschlüsselungstypen der SVM:
vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types
Trennen Sie mehrere Verschlüsselungstypen durch ein Komma.
-
Überprüfen Sie, ob die Änderung erfolgreich war:
vserver nfs show -vserver vserver_name -fields permitted-enc-types
AES-128 oder AES-256
-
Legen Sie fest, auf welcher SVM und LIF Kerberos aktiviert ist:
vserver nfs kerberos interface show
-
Deaktivieren Sie Kerberos auf allen LIFs auf der SVM, deren NFS-Kerberos-Verschlüsselungstyp Sie ändern möchten:
vserver nfs kerberos interface disable -lif lif_name
-
Konfigurieren Sie die von NFS Kerberos zulässigen Verschlüsselungstypen der SVM:
vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types
Trennen Sie mehrere Verschlüsselungstypen durch ein Komma.
-
Überprüfen Sie, ob die Änderung erfolgreich war:
vserver nfs show -vserver vserver_name -fields permitted-enc-types
-
Kerberos auf allen LIFs der SVM erneut aktivieren:
vserver nfs kerberos interface enable -lif lif_name -spn service_principal_name
-
Vergewissern Sie sich, dass Kerberos auf allen LIFs aktiviert ist:
vserver nfs kerberos interface show
-