Configure una seguridad segura para la comunicación basada en Kerberos mediante el cifrado AES
Para obtener la mayor seguridad con la comunicación basada en Kerberos, puede habilitar el cifrado AES-256 y AES-128 en el servidor SMB. De manera predeterminada, cuando crea un servidor SMB en la SVM, el cifrado Advanced Encryption Standard (AES) está deshabilitado. Debe habilitarla para aprovechar la seguridad robusta proporcionada por el cifrado AES.
La comunicación relacionada con Kerberos para SMB se utiliza durante la creación del servidor SMB en la SVM, así como durante la fase de configuración de la sesión SMB. El servidor SMB es compatible con los siguientes tipos de cifrado para la comunicación de Kerberos:
-
AES 256
-
AES 128
-
DES
-
RC4-HMAC
Si desea utilizar el tipo de cifrado de seguridad más alto para la comunicación de Kerberos, debe habilitar el cifrado AES para la comunicación de Kerberos en la SVM.
Cuando se crea el servidor SMB, el controlador de dominio crea una cuenta de equipo en Active Directory. En este momento, el KDC se da cuenta de las capacidades de cifrado de la cuenta de equipo en particular. Posteriormente, se selecciona un tipo de cifrado concreto para cifrar el ticket de servicio que el cliente presenta al servidor durante la autenticación.
A partir de ONTAP 9.12.1, puede especificar los tipos de cifrado que desea anunciar en el KDC de Active Directory (AD). Puede utilizar el -advertised-enc-types
opción para activar los tipos de cifrado recomendados y puede utilizarlo para desactivar los tipos de cifrado más débiles. Aprenda cómo "Habilite y deshabilite tipos de cifrado para la comunicación basada en Kerberos".
Las nuevas instrucciones de AES (Intel AES ni) están disponibles en SMB 3.0, mejorando el algoritmo AES y acelerando el cifrado de datos con las familias de procesadores compatibles.a partir de SMB 3.1.1, AES-128-GCM reemplaza a AES-128-CCM como el algoritmo hash utilizado por el cifrado SMB. |
Modificar la configuración de seguridad Kerberos del servidor CIFS