Aktiviert oder deaktiviert die AES-Verschlüsselung für Kerberos-basierte Kommunikation
Änderungen vorschlagen
PDFs
Um die höchste Sicherheit mit Kerberos-basierter Kommunikation zu nutzen, sollten Sie AES-256- und AES-128-Verschlüsselung auf dem SMB-Server verwenden. Ab ONTAP 9.13.1 ist die AES-Verschlüsselung standardmäßig aktiviert. Wenn Sie nicht möchten, dass der SMB-Server die AES-Verschlüsselungstypen für Kerberos-basierte Kommunikation mit dem Active Directory (AD) KDC wählt, können Sie die AES-Verschlüsselung deaktivieren.
Ob die AES-Verschlüsselung standardmäßig aktiviert ist und ob Sie die Möglichkeit haben, Verschlüsselungstypen anzugeben, hängt von Ihrer ONTAP-Version ab.
| ONTAP-Version | AES-Verschlüsselung ist aktiviert … | Sie können Verschlüsselungstypen angeben? |
|---|---|---|
9.13.1 und höher |
Standardmäßig |
Ja. |
9.12.1 |
Manuell |
Ja. |
9.11.1 und früher |
Manuell |
Nein |
Ab ONTAP 9.12.1 wird die AES-Verschlüsselung mit der -advertised-enc-types Option aktiviert und deaktiviert, mit der Sie die dem AD-KDC angekündigten Verschlüsselungstypen angeben können. Die Standardeinstellung ist rc4 und des, aber wenn ein AES-Typ angegeben wird, ist die AES-Verschlüsselung aktiviert. Sie können auch die Option verwenden, um die schwächeren RC4- und DES-Verschlüsselungstypen explizit zu deaktivieren. In ONTAP 9.11.1 und früheren Versionen müssen Sie die -is-aes-encryption-enabled Option zum Aktivieren und Deaktivieren der AES-Verschlüsselung verwenden. Verschlüsselungstypen können nicht angegeben werden.
Zur Verbesserung der Sicherheit ändert die Storage Virtual Machine (SVM) bei jeder Änderung der AES-Sicherheitsoption ihr Passwort für das Computerkonto in der AD. Wenn Sie das Passwort ändern, sind möglicherweise administrative AD-Anmeldeinformationen für die Organisationseinheit (Organisationseinheit, OU) erforderlich, die das Computerkonto enthält.
Wenn eine SVM als Disaster-Recovery-Ziel konfiguriert ist, bei dem die Identität nicht erhalten bleibt ( -identity-preserve `false`in der SnapMirror-Konfiguration ist die Option auf festgelegt), werden die nicht standardmäßigen Sicherheitseinstellungen des SMB-Servers nicht auf das Ziel repliziert. Wenn Sie die AES-Verschlüsselung auf der Quell-SVM aktiviert haben, müssen Sie sie manuell aktivieren.
-
Führen Sie eine der folgenden Aktionen aus:
Wenn Sie möchten, dass die AES-Verschlüsselungstypen für Kerberos Kommunikation… Geben Sie den Befehl ein… Aktiviert
vserver cifs security modify -vserver vserver_name -advertised-enc-types aes-128,aes-256Deaktiviert
vserver cifs security modify -vserver vserver_name -advertised-enc-types des,rc4Hinweis: die
-is-aes-encryption-enabledOption ist in ONTAP 9.12.1 veraltet und könnte in einem späteren Release entfernt werden. -
Vergewissern Sie sich, dass die AES-Verschlüsselung wie gewünscht aktiviert oder deaktiviert ist:
vserver cifs security show -vserver vserver_name -fields advertised-enc-types
Im folgenden Beispiel werden die AES-Verschlüsselungstypen für den SMB-Server auf SVM vs1 aktiviert:
cluster1::> vserver cifs security modify -vserver vs1 -advertised-enc-types aes-128,aes-256 cluster1::> vserver cifs security show -vserver vs1 -fields advertised-enc-types vserver advertised-enc-types -------- -------------------- vs1 aes-128,aes-256
Im folgenden Beispiel werden die AES-Verschlüsselungstypen für den SMB-Server auf SVM vs2 aktiviert. Der Administrator wird aufgefordert, die Administrator-AD-Anmeldedaten für die Organisationseinheit einzugeben, die den SMB-Server enthält.
cluster1::> vserver cifs security modify -vserver vs2 -advertised-enc-types aes-128,aes-256 Info: In order to enable SMB AES encryption, the password for the SMB server machine account must be reset. Enter the username and password for the SMB domain "EXAMPLE.COM". Enter your user ID: administrator Enter your password: cluster1::> vserver cifs security show -vserver vs2 -fields advertised-enc-types vserver advertised-enc-types -------- -------------------- vs2 aes-128,aes-256
-
Führen Sie eine der folgenden Aktionen aus:
Wenn Sie möchten, dass die AES-Verschlüsselungstypen für Kerberos Kommunikation… Geben Sie den Befehl ein… Aktiviert
vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled trueDeaktiviert
vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled false -
Vergewissern Sie sich, dass die AES-Verschlüsselung wie gewünscht aktiviert oder deaktiviert ist:
vserver cifs security show -vserver vserver_name -fields is-aes-encryption-enabledDas
is-aes-encryption-enabledFeld zeigttruean, ob die AES-Verschlüsselung aktiviert ist undfalseob sie deaktiviert ist.
Im folgenden Beispiel werden die AES-Verschlüsselungstypen für den SMB-Server auf SVM vs1 aktiviert:
cluster1::> vserver cifs security modify -vserver vs1 -is-aes-encryption-enabled true cluster1::> vserver cifs security show -vserver vs1 -fields is-aes-encryption-enabled vserver is-aes-encryption-enabled -------- ------------------------- vs1 true
Im folgenden Beispiel werden die AES-Verschlüsselungstypen für den SMB-Server auf SVM vs2 aktiviert. Der Administrator wird aufgefordert, die Administrator-AD-Anmeldedaten für die Organisationseinheit einzugeben, die den SMB-Server enthält.
cluster1::> vserver cifs security modify -vserver vs2 -is-aes-encryption-enabled true Info: In order to enable SMB AES encryption, the password for the CIFS server machine account must be reset. Enter the username and password for the SMB domain "EXAMPLE.COM". Enter your user ID: administrator Enter your password: cluster1::> vserver cifs security show -vserver vs2 -fields is-aes-encryption-enabled vserver is-aes-encryption-enabled -------- ------------------------- vs2 true
"Domänenbenutzer meldet sich nicht mit Domain-Tunnel im Cluster an"