Notas de la versión
Requisitos para configurar Kerberos con NFS
Sugerir cambios
-
PDF de este sitio de documentos
-
Administración de clústeres
-
Administración de volúmenes
-
Gestión de almacenamiento lógico con CLI
-
Utilice cuotas para restringir o realizar un seguimiento del uso de los recursos
-
-
-
Gestión del almacenamiento nas
-
Configure NFS con la CLI
-
Gestione NFS con la interfaz de línea de comandos
-
Gestione SMB con la interfaz de línea de comandos
-
Gestione servidores SMB
-
Gestione el acceso a archivos mediante SMB
-
-
-
Gestión del almacenamiento san
-
Autenticación y control de acceso
-
Seguridad y cifrado de datos
-
Protección de datos y recuperación ante desastres
-
Recopilación de documentos PDF independientes
Creating your file...
Antes de configurar Kerberos con NFS en el sistema, debe comprobar que determinados elementos de la red y el entorno de almacenamiento están configurados correctamente.
|
Los pasos para configurar su entorno dependen de qué versión y tipo del sistema operativo cliente, controlador de dominio, Kerberos, DNS, etc., que usted está usando. La documentación de todas estas variables está fuera del alcance de este documento. Para obtener más información, consulte la documentación correspondiente de cada componente. Para obtener un ejemplo detallado de cómo configurar ONTAP y Kerberos 5 con NFSv3 y NFSv4 en un entorno mediante hosts de Windows Server 2008 R2 Active Directory y Linux, consulte el informe técnico 4073. |
Primero deben configurarse los siguientes elementos:
Requisitos del entorno de red
-
Kerberos
Debe tener una configuración Kerberos en funcionamiento con un centro de distribución de claves (KDC), como Kerberos basado en Windows Active Directory o MIT Kerberos.
Los servidores NFS deben utilizar
nfscomo el principal componente de su máquina principal. -
Servicio de directorio
Debe utilizar un servicio de directorio seguro en su entorno, como Active Directory u OpenLDAP, que esté configurado para usar LDAP sobre SSL/TLS.
-
NTP
Debe tener un servidor de tiempo de trabajo que ejecute NTP. Esto es necesario para evitar errores de autenticación de Kerberos debido a una desviación de tiempo.
-
Resolución de nombres de dominio (DNS)
Cada cliente UNIX y cada LIF de SVM deben tener un registro de servicio (SRV) adecuado registrado con el KDC en zonas de búsqueda inversa y de reenvío. Todos los participantes deben poder resolverse correctamente a través de DNS.
-
Cuentas de usuario
Cada cliente debe tener una cuenta de usuario en el dominio Kerberos. Los servidores NFS deberán utilizar «'nfs» como componente principal de su principal equipo.
Requisitos del cliente NFS
-
NFS
Cada cliente debe estar configurado correctamente para comunicarse a través de la red mediante NFSv3 o NFSv4.
Los clientes deben admitir RFC1964 y RFC2203.
-
Kerberos
Cada cliente debe estar configurado correctamente para utilizar la autenticación Kerberos, incluidos los siguientes detalles:
-
El cifrado para la comunicación TGS está activado.
AES-256 para obtener la máxima seguridad.
-
El tipo de cifrado más seguro para la comunicación TGT está activado.
-
El dominio y el dominio de Kerberos están configurados correctamente.
-
GSS está activado.
Al utilizar las credenciales de la máquina:
-
No correr
gssdcon la-nparámetro. -
No correr
kinitcomo usuario raíz.
-
-
Cada cliente debe utilizar la versión más reciente y actualizada del sistema operativo.
Esto proporciona la mejor compatibilidad y fiabilidad para el cifrado AES con Kerberos.
-
DNS
Cada cliente debe estar configurado correctamente para utilizar DNS con la resolución de nombres correcta.
-
NTP
Cada cliente debe sincronizarse con el servidor NTP.
-
Información sobre el host y el dominio
El de cada cliente
/etc/hostsy../etc/resolv.confLos archivos deben contener el nombre de host y la información de DNS correctos, respectivamente. -
Archivos keytab
Cada cliente debe tener un archivo keytab del KDC. El Reino debe estar en letras mayúsculas. El tipo de cifrado debe ser AES-256 para obtener una seguridad más potente.
-
Opcional: Para obtener el mejor rendimiento, los clientes se benefician de tener al menos dos interfaces de red: Una para comunicarse con la red de área local y otra para comunicarse con la red de almacenamiento.
Requisitos del sistema de almacenamiento
-
Licencia de NFS
El sistema de almacenamiento debe tener instalada una licencia NFS válida.
-
Licencia CIFS
La licencia CIFS es opcional. Sólo es necesario comprobar las credenciales de Windows cuando se utiliza la asignación de nombres multiprotocolo. No es necesario en entornos estrictos sólo UNIX.
-
SVM
Debe tener al menos una SVM configurada en el sistema.
-
DNS en la SVM
Debe haber configurado DNS en cada SVM.
-
Servidor NFS
Debe haber configurado NFS en la SVM.
-
Cifrado AES
Para obtener la mayor seguridad, debe configurar el servidor NFS para permitir solo el cifrado AES-256 para Kerberos.
-
Servidor SMB
Si ejecuta un entorno multiprotocolo, debe haber configurado SMB en la SVM. Se requiere el servidor SMB para la asignación de nombres multiprotocolo.
-
Volúmenes
Debe tener un volumen raíz y, al menos, un volumen de datos configurado para que lo utilice la SVM.
-
Volumen raíz
El volumen raíz de la SVM debe tener la siguiente configuración:
Nombre Ajuste Estilo de seguridad
UNIX
UID
Raíz o ID 0
GID
Raíz o ID 0
Permisos UNIX
777
A diferencia del volumen raíz, los volúmenes de datos pueden tener cualquier estilo de seguridad.
-
Grupos UNIX
La SVM debe tener configurados los siguientes grupos UNIX:
Nombre del grupo ID de grupo daemon
1
raíz
0
pcuser
65534 (creado automáticamente por ONTAP cuando se crea la SVM)
-
Usuarios de UNIX
La SVM debe tener configurados los siguientes usuarios de UNIX:
Nombre de usuario ID de usuario ID del grupo principal Comentar nfs
500
0
Necesario para la fase de INICIO DE GSS
El primer componente del SPN de usuario del cliente NFS se utiliza como usuario.
pcuser
65534
65534
Necesario para el uso multiprotocolo de NFS y CIFS
ONTAP lo crea y añade automáticamente al grupo pcuser cuando crea la SVM.
raíz
0
0
Necesario para el montaje
El usuario nfs no es necesario si existe una asignación de nombre Kerberos-UNIX para el SPN del usuario cliente NFS.
-
Reglas y políticas de exportación
Debe haber configurado políticas de exportación con las reglas de exportación necesarias para los volúmenes raíz y de datos y qtrees. Si se accede a todos los volúmenes del SVM a través de Kerberos, puede configurar las opciones de regla de exportación
-rorule,-rwrule, y.-superuserpara el volumen raíz a.krb5,krb5i, o.krb5p. -
Asignación de nombres Kerberos-UNIX
Si desea que el usuario identificado por el SPN de usuario del cliente NFS tenga permisos raíz, debe crear una asignación de nombre a root.
"Informe técnico de NetApp 4073: Autenticación unificada segura"