Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configure el cifrado AES para la comunicación basada en Kerberos SMB de ONTAP

Colaboradores
PDF

Para aprovechar la seguridad más fuerte con la comunicación basada en Kerberos, debe utilizar el cifrado AES-256 y AES-128 en el servidor SMB. A partir de ONTAP 9.13.1, el cifrado AES está habilitado de forma predeterminada. Si no desea que el servidor SMB seleccione los tipos de cifrado AES para la comunicación basada en Kerberos con el KDC de Active Directory (AD), puede deshabilitar el cifrado AES.

Si el cifrado AES está habilitado de forma predeterminada y si tiene la opción de especificar tipos de cifrado depende de su versión de ONTAP.

Versión de ONTAP El cifrado AES está activado…​ ¿Puede especificar tipos de cifrado?

9.13.1 y posterior

De forma predeterminada

9.12.1

Manualmente

9.11.1 y anteriores

Manualmente

No

A partir de ONTAP 9.12,1, el cifrado AES se habilita y se deshabilita mediante la -advertised-enc-types opción, que le permite especificar los tipos de cifrado anunciados al KDC de AD. La configuración predeterminada es rc4 AND des, pero cuando se especifica un tipo AES, se activa el cifrado AES. También puede utilizar la opción para desactivar explícitamente los tipos de cifrado RC4 y DES más débiles. En ONTAP 9.11,1 y versiones anteriores, debe usar -is-aes-encryption-enabled la opción para habilitar y deshabilitar el cifrado AES, y no se pueden especificar los tipos de cifrado.

Para mejorar la seguridad, la máquina virtual de almacenamiento (SVM) cambia su contraseña de cuenta de máquina en AD cada vez que se modifica la opción de seguridad AES. El cambio de la contraseña podría requerir credenciales AD administrativas para la unidad organizativa (OU) que contiene la cuenta del equipo.

Si una SVM se configura como un destino de recuperación ante desastres en el que la identidad no se conserva ( -identity-preserve`la opción se establece en en `false en la configuración de SnapMirror), los ajustes de seguridad del servidor SMB no predeterminados no se replican en el destino. Si habilitó el cifrado AES en la SVM de origen, debe habilitarla manualmente.

Ejemplo 1. Pasos
ONTAP 9.12.1 y versiones posteriores

  1. Ejecute una de las siguientes acciones:

    Si desea que los tipos de cifrado AES para la comunicación Kerberos sean…​ Introduzca el comando…​

    Activado

    vserver cifs security modify -vserver vserver_name -advertised-enc-types aes-128,aes-256

    Deshabilitado

    vserver cifs security modify -vserver vserver_name -advertised-enc-types des,rc4

    Nota: La -is-aes-encryption-enabled opción está en desuso en ONTAP 9.12,1 y podría ser eliminada en una versión posterior.

  2. Compruebe que el cifrado AES está activado o desactivado como desee: vserver cifs security show -vserver vserver_name -fields advertised-enc-types

Ejemplos

En el siguiente ejemplo, se habilitan los tipos de cifrado AES para el servidor SMB en la SVM vs1:

cluster1::> vserver cifs security modify -vserver vs1 -advertised-enc-types aes-128,aes-256

cluster1::> vserver cifs security show -vserver vs1 -fields advertised-enc-types

vserver  advertised-enc-types
-------- --------------------
vs1      aes-128,aes-256

En el ejemplo siguiente se habilitan los tipos de cifrado AES para el servidor SMB en la SVM vs2. Se solicita al administrador que introduzca las credenciales AD administrativas para la unidad organizativa que contiene el servidor SMB.

cluster1::> vserver cifs security modify -vserver vs2 -advertised-enc-types aes-128,aes-256

Info: In order to enable SMB AES encryption, the password for the SMB server
machine account must be reset. Enter the username and password for the
SMB domain "EXAMPLE.COM".

Enter your user ID: administrator

Enter your password:

cluster1::> vserver cifs security show -vserver vs2 -fields advertised-enc-types

vserver  advertised-enc-types
-------- --------------------
vs2      aes-128,aes-256
ONTAP 9.11.1 y anteriores

  1. Ejecute una de las siguientes acciones:

    Si desea que los tipos de cifrado AES para la comunicación Kerberos sean…​ Introduzca el comando…​

    Activado

    vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled true

    Deshabilitado

    vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled false

  2. Compruebe que el cifrado AES está activado o desactivado como desee: vserver cifs security show -vserver vserver_name -fields is-aes-encryption-enabled

    `is-aes-encryption-enabled`El campo muestra `true` si el cifrado AES está activado y `false` si está desactivado.
Ejemplos

En el siguiente ejemplo, se habilitan los tipos de cifrado AES para el servidor SMB en la SVM vs1:

cluster1::> vserver cifs security modify -vserver vs1 -is-aes-encryption-enabled true

cluster1::> vserver cifs security show -vserver vs1 -fields is-aes-encryption-enabled

vserver  is-aes-encryption-enabled
-------- -------------------------
vs1      true

En el ejemplo siguiente se habilitan los tipos de cifrado AES para el servidor SMB en la SVM vs2. Se solicita al administrador que introduzca las credenciales AD administrativas para la unidad organizativa que contiene el servidor SMB.

cluster1::> vserver cifs security modify -vserver vs2 -is-aes-encryption-enabled true

Info: In order to enable SMB AES encryption, the password for the CIFS server
machine account must be reset. Enter the username and password for the
SMB domain "EXAMPLE.COM".

Enter your user ID: administrator

Enter your password:

cluster1::> vserver cifs security show -vserver vs2 -fields is-aes-encryption-enabled

vserver  is-aes-encryption-enabled
-------- -------------------------
vs2      true
Información relacionada

"El usuario de dominio no puede iniciar sesión en el clúster con el túnel de dominio"