Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Übersicht über die Verwendung von Kerberos mit NFS für hohe Sicherheit

Beitragende

Wenn Kerberos in Ihrer Umgebung für eine starke Authentifizierung verwendet wird, müssen Sie mit Ihrem Kerberos-Administrator zusammenarbeiten, um die Anforderungen und die entsprechenden Speichersystemkonfigurationen zu ermitteln und die SVM als Kerberos-Client zu aktivieren.

Ihre Umgebung sollte die folgenden Richtlinien erfüllen:

  • Die Bereitstellung Ihres Standorts sollte die Best Practices für Kerberos-Server und die Client-Konfiguration befolgen, bevor Sie Kerberos für ONTAP konfigurieren.

  • Falls möglich, verwenden Sie NFSv4 oder höher, wenn Kerberos-Authentifizierung erforderlich ist.

    NFSv3 kann mit Kerberos verwendet werden. Die vollständigen Sicherheitsvorteile von Kerberos werden jedoch nur in ONTAP-Bereitstellungen von NFSv4 oder höher realisiert.

  • Um den redundanten Serverzugriff zu fördern, sollte Kerberos auf mehreren Daten-LIFs auf mehreren Knoten im Cluster mit demselben SPN aktiviert werden.

  • Wenn Kerberos auf der SVM aktiviert ist, muss je nach der NFS-Client-Konfiguration eine der folgenden Sicherheitsmethoden in Exportregeln für Volumes oder qtrees angegeben werden.

    • krb5 (Kerberos v5-Protokoll)

    • krb5i (Kerberos v5-Protokoll mit Integritätsprüfung mit Prüfsummen)

    • krb5p (Kerberos v5-Protokoll mit Datenschutzservice)

Zusätzlich zum Kerberos-Server und den -Clients müssen die folgenden externen Services für ONTAP konfiguriert werden, damit Kerberos unterstützt wird:

  • Verzeichnisdienst

    Sie sollten einen sicheren Verzeichnisdienst in Ihrer Umgebung verwenden, z. B. Active Directory oder OpenLDAP, der für die Verwendung von LDAP über SSL/TLS konfiguriert ist. Verwenden Sie NIS nicht, deren Anfragen in Klartext gesendet werden und daher nicht sicher sind.

  • NTP

    Sie müssen über einen Arbeitszeitserver verfügen, auf dem NTP ausgeführt wird. Dies ist notwendig, um ein Versagen der Kerberos-Authentifizierung aufgrund von Zeitverzerrung zu verhindern.

  • DNS (Domain Name Resolution)

    Jeder UNIX-Client und jede SVM-LIF müssen über einen entsprechenden Service-Datensatz (SRV) verfügen, der beim KDC unter „Forward and Reverse Lookup Zones“ registriert ist. Alle Teilnehmer müssen über DNS richtig lösbar sein.