Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar los tipos de cifrado permitidos por NFS Kerberos para las SVM de ONTAP

Colaboradores netapp-barbe netapp-aherbin
PDF

De forma predeterminada, ONTAP admite los siguientes tipos de cifrado para NFS Kerberos: DES, 3DES, AES-128 y AES-256. Puede configurar los tipos de cifrado permitidos para cada SVM de modo que se adapten a los requisitos de seguridad de su entorno en particular mediante vserver nfs modify el comando con el -permitted-enc-types parámetro.

Acerca de esta tarea

Para obtener la mayor compatibilidad del cliente, ONTAP admite de forma predeterminada tanto el cifrado des débil como el AES sólido. Esto significa, por ejemplo, que si desea aumentar la seguridad y su entorno lo admite, puede utilizar este procedimiento para deshabilitar DES y 3DES y requerir que los clientes utilicen sólo el cifrado AES.

Debería utilizar el cifrado más potente disponible. Para ONTAP, esto es AES-256. Debe confirmar con el administrador de KDC que este nivel de cifrado es compatible con su entorno.

  • Habilitar o deshabilitar completamente AES (tanto AES-128 como AES-256) en las SVM es disruptivo porque destruye el archivo ORIGINAL DE DES principal/keytab, lo que requiere que se deshabilite la configuración de Kerberos en todos los LIF para la SVM.

    Antes de realizar este cambio, debe comprobar que los clientes NFS no utilizan el cifrado AES en la SVM.

  • La habilitación o deshabilitación DE DES o 3DES no requiere ningún cambio en la configuración de Kerberos en las LIF.

Paso

  1. Habilite o deshabilite el tipo de cifrado permitido que desee:

    Si desea habilitar o deshabilitar…​ Siga estos pasos…​

    DES o 3DES

    1. Configure los tipos de cifrado permitidos por Kerberos NFS de la SVM:
      vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types

      Separe varios tipos de cifrado con una coma.

    2. Compruebe que el cambio se ha realizado correctamente:
      vserver nfs show -vserver vserver_name -fields permitted-enc-types

    AES-128 o AES-256

    1. Identifique en qué SVM y LIF Kerberos se han habilitado:
      vserver nfs kerberos interface show

    2. Deshabilite Kerberos en todas las LIF de la SVM cuyo Kerberos NFS permitió el tipo de cifrado que desee modificar:
      vserver nfs kerberos interface disable -lif lif_name

    3. Configure los tipos de cifrado permitidos por Kerberos NFS de la SVM:
      vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types

      Separe varios tipos de cifrado con una coma.

    4. Compruebe que el cambio se ha realizado correctamente:
      vserver nfs show -vserver vserver_name -fields permitted-enc-types

    5. Vuelva a habilitar Kerberos en todas las LIF en la SVM:
      vserver nfs kerberos interface enable -lif lif_name -spn service_principal_name

    6. Compruebe que Kerberos está habilitado en todas las LIF:
      vserver nfs kerberos interface show