Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Aktiviert oder deaktiviert die AES-Verschlüsselung für Kerberos-basierte Kommunikation

Beitragende
PDFs

Um die höchste Sicherheit mit Kerberos-basierter Kommunikation zu nutzen, sollten Sie AES-256- und AES-128-Verschlüsselung auf dem SMB-Server verwenden. Ab ONTAP 9.13.1 ist die AES-Verschlüsselung standardmäßig aktiviert. Wenn Sie nicht möchten, dass der SMB-Server die AES-Verschlüsselungstypen für Kerberos-basierte Kommunikation mit dem Active Directory (AD) KDC wählt, können Sie die AES-Verschlüsselung deaktivieren.

Ob die AES-Verschlüsselung standardmäßig aktiviert ist und ob Sie die Möglichkeit haben, Verschlüsselungstypen anzugeben, hängt von Ihrer ONTAP-Version ab.

ONTAP-Version AES-Verschlüsselung ist aktiviert …​ Sie können Verschlüsselungstypen angeben?

9.13.1 und höher

Standardmäßig

Ja.

9.12.1

Manuell

Ja.

9.11.1 und früher

Manuell

Nein

Ab ONTAP 9.12.1 wird die AES-Verschlüsselung mit dem aktiviert und deaktiviert -advertised-enc-types Option, mit der Sie die Verschlüsselungstypen angeben können, die für das AD KDC angekündigt werden. Die Standardeinstellung ist rc4 Und des, Wenn aber ein AES-Typ angegeben wird, ist AES-Verschlüsselung aktiviert. Sie können auch die Option verwenden, um die schwächeren RC4- und DES-Verschlüsselungstypen explizit zu deaktivieren. In ONTAP 9.11.1 und früheren Versionen müssen Sie den verwenden -is-aes-encryption-enabled Option zum Aktivieren und Deaktivieren von AES-Verschlüsselung, und Verschlüsselungstypen können nicht angegeben werden.

Zur Verbesserung der Sicherheit ändert die Storage Virtual Machine (SVM) bei jeder Änderung der AES-Sicherheitsoption ihr Passwort für das Computerkonto in der AD. Wenn Sie das Passwort ändern, sind möglicherweise administrative AD-Anmeldeinformationen für die Organisationseinheit (Organisationseinheit, OU) erforderlich, die das Computerkonto enthält.

Wenn eine SVM als Disaster-Recovery-Ziel konfiguriert ist, wo sie nicht erhalten wird (das -identity-preserve Die Option ist auf festgelegt false In der SnapMirror-Konfiguration) werden die nicht standardmäßigen SMB-Server-Sicherheitseinstellungen nicht auf das Ziel repliziert. Wenn Sie die AES-Verschlüsselung auf der Quell-SVM aktiviert haben, müssen Sie sie manuell aktivieren.

Beispiel 1. Schritte
ONTAP 9.12.1 und höher

  1. Führen Sie eine der folgenden Aktionen aus:

    Wenn Sie möchten, dass die AES-Verschlüsselungstypen für Kerberos Kommunikation…​ Geben Sie den Befehl ein…​

    Aktiviert

    vserver cifs security modify -vserver vserver_name -advertised-enc-types aes-128,aes-256

    Deaktiviert

    vserver cifs security modify -vserver vserver_name -advertised-enc-types des,rc4

    Hinweis: Das -is-aes-encryption-enabled Die Option ist veraltet in ONTAP 9.12.1 und kann in einer späteren Version entfernt werden.

  2. Vergewissern Sie sich, dass die AES-Verschlüsselung nach Bedarf aktiviert oder deaktiviert ist: vserver cifs security show -vserver vserver_name -fields advertised-enc-types

Beispiele

Im folgenden Beispiel werden die AES-Verschlüsselungstypen für den SMB-Server auf SVM vs1 aktiviert:

cluster1::> vserver cifs security modify -vserver vs1 -advertised-enc-types aes-128,aes-256

cluster1::> vserver cifs security show -vserver vs1 -fields advertised-enc-types

vserver  advertised-enc-types
-------- --------------------
vs1      aes-128,aes-256

Im folgenden Beispiel werden die AES-Verschlüsselungstypen für den SMB-Server auf SVM vs2 aktiviert. Der Administrator wird aufgefordert, die Administrator-AD-Anmeldedaten für die Organisationseinheit einzugeben, die den SMB-Server enthält.

cluster1::> vserver cifs security modify -vserver vs2 -advertised-enc-types aes-128,aes-256

Info: In order to enable SMB AES encryption, the password for the SMB server
machine account must be reset. Enter the username and password for the
SMB domain "EXAMPLE.COM".

Enter your user ID: administrator

Enter your password:

cluster1::> vserver cifs security show -vserver vs2 -fields advertised-enc-types

vserver  advertised-enc-types
-------- --------------------
vs2      aes-128,aes-256
ONTAP 9.11.1 und früher

  1. Führen Sie eine der folgenden Aktionen aus:

    Wenn Sie möchten, dass die AES-Verschlüsselungstypen für Kerberos Kommunikation…​ Geben Sie den Befehl ein…​

    Aktiviert

    vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled true

    Deaktiviert

    vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled false

  2. Vergewissern Sie sich, dass die AES-Verschlüsselung nach Bedarf aktiviert oder deaktiviert ist: vserver cifs security show -vserver vserver_name -fields is-aes-encryption-enabled

    Der is-aes-encryption-enabled Feld wird angezeigt true Bei Aktivierung der AES-Verschlüsselung und false Wenn sie deaktiviert ist.

Beispiele

Im folgenden Beispiel werden die AES-Verschlüsselungstypen für den SMB-Server auf SVM vs1 aktiviert:

cluster1::> vserver cifs security modify -vserver vs1 -is-aes-encryption-enabled true

cluster1::> vserver cifs security show -vserver vs1 -fields is-aes-encryption-enabled

vserver  is-aes-encryption-enabled
-------- -------------------------
vs1      true

Im folgenden Beispiel werden die AES-Verschlüsselungstypen für den SMB-Server auf SVM vs2 aktiviert. Der Administrator wird aufgefordert, die Administrator-AD-Anmeldedaten für die Organisationseinheit einzugeben, die den SMB-Server enthält.

cluster1::> vserver cifs security modify -vserver vs2 -is-aes-encryption-enabled true

Info: In order to enable SMB AES encryption, the password for the CIFS server
machine account must be reset. Enter the username and password for the
SMB domain "EXAMPLE.COM".

Enter your user ID: administrator

Enter your password:

cluster1::> vserver cifs security show -vserver vs2 -fields is-aes-encryption-enabled

vserver  is-aes-encryption-enabled
-------- -------------------------
vs2      true