Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Habilite o deshabilite el cifrado AES para la comunicación basada en Kerberos

Colaboradores
PDF

Para aprovechar la seguridad más fuerte con la comunicación basada en Kerberos, debe utilizar el cifrado AES-256 y AES-128 en el servidor SMB. A partir de ONTAP 9.13.1, el cifrado AES está habilitado de forma predeterminada. Si no desea que el servidor SMB seleccione los tipos de cifrado AES para la comunicación basada en Kerberos con el KDC de Active Directory (AD), puede deshabilitar el cifrado AES.

Si el cifrado AES está habilitado de forma predeterminada y si tiene la opción de especificar tipos de cifrado depende de su versión de ONTAP.

Versión de ONTAP El cifrado AES está activado…​ ¿Puede especificar tipos de cifrado?

9.13.1 y posterior

De forma predeterminada

9.12.1

Manualmente

9.11.1 y anteriores

Manualmente

No

A partir de ONTAP 9.12.1, el cifrado AES está habilitado y deshabilitado mediante el -advertised-enc-types Opción, que permite especificar los tipos de cifrado anunciados en AD KDC. El valor predeterminado es rc4 y.. des, Pero cuando se especifica un tipo AES, el cifrado AES está activado. También puede utilizar la opción para desactivar explícitamente los tipos de cifrado RC4 y DES más débiles. En ONTAP 9.11.1 y versiones anteriores, debe utilizar el -is-aes-encryption-enabled Opción para habilitar y deshabilitar el cifrado AES, y no se pueden especificar los tipos de cifrado.

Para mejorar la seguridad, la máquina virtual de almacenamiento (SVM) cambia su contraseña de cuenta de máquina en AD cada vez que se modifica la opción de seguridad AES. El cambio de la contraseña podría requerir credenciales AD administrativas para la unidad organizativa (OU) que contiene la cuenta del equipo.

Si una SVM se configura como un destino de recuperación ante desastres donde no se conserva la identidad (la -identity-preserve opción establecida en false En la configuración SnapMirror), las opciones de seguridad del servidor SMB no predeterminadas no se replican en el destino. Si habilitó el cifrado AES en la SVM de origen, debe habilitarla manualmente.

Ejemplo 1. Pasos
ONTAP 9.12.1 y versiones posteriores

  1. Ejecute una de las siguientes acciones:

    Si desea que los tipos de cifrado AES para la comunicación Kerberos sean…​ Introduzca el comando…​

    Activado

    vserver cifs security modify -vserver vserver_name -advertised-enc-types aes-128,aes-256

    Deshabilitado

    vserver cifs security modify -vserver vserver_name -advertised-enc-types des,rc4

    Nota: la -is-aes-encryption-enabled La opción quedó obsoleta en ONTAP 9.12.1 y se puede quitar en una versión posterior.

  2. Compruebe que el cifrado AES está habilitado o deshabilitado como desee: vserver cifs security show -vserver vserver_name -fields advertised-enc-types

Ejemplos

En el siguiente ejemplo, se habilitan los tipos de cifrado AES para el servidor SMB en la SVM vs1:

cluster1::> vserver cifs security modify -vserver vs1 -advertised-enc-types aes-128,aes-256

cluster1::> vserver cifs security show -vserver vs1 -fields advertised-enc-types

vserver  advertised-enc-types
-------- --------------------
vs1      aes-128,aes-256

En el ejemplo siguiente se habilitan los tipos de cifrado AES para el servidor SMB en la SVM vs2. Se solicita al administrador que introduzca las credenciales AD administrativas para la unidad organizativa que contiene el servidor SMB.

cluster1::> vserver cifs security modify -vserver vs2 -advertised-enc-types aes-128,aes-256

Info: In order to enable SMB AES encryption, the password for the SMB server
machine account must be reset. Enter the username and password for the
SMB domain "EXAMPLE.COM".

Enter your user ID: administrator

Enter your password:

cluster1::> vserver cifs security show -vserver vs2 -fields advertised-enc-types

vserver  advertised-enc-types
-------- --------------------
vs2      aes-128,aes-256
ONTAP 9.11.1 y anteriores

  1. Ejecute una de las siguientes acciones:

    Si desea que los tipos de cifrado AES para la comunicación Kerberos sean…​ Introduzca el comando…​

    Activado

    vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled true

    Deshabilitado

    vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled false

  2. Compruebe que el cifrado AES está habilitado o deshabilitado como desee: vserver cifs security show -vserver vserver_name -fields is-aes-encryption-enabled

    La is-aes-encryption-enabled se muestra el campo true Si el cifrado AES está habilitado y. false si está desactivada.

Ejemplos

En el siguiente ejemplo, se habilitan los tipos de cifrado AES para el servidor SMB en la SVM vs1:

cluster1::> vserver cifs security modify -vserver vs1 -is-aes-encryption-enabled true

cluster1::> vserver cifs security show -vserver vs1 -fields is-aes-encryption-enabled

vserver  is-aes-encryption-enabled
-------- -------------------------
vs1      true

En el ejemplo siguiente se habilitan los tipos de cifrado AES para el servidor SMB en la SVM vs2. Se solicita al administrador que introduzca las credenciales AD administrativas para la unidad organizativa que contiene el servidor SMB.

cluster1::> vserver cifs security modify -vserver vs2 -is-aes-encryption-enabled true

Info: In order to enable SMB AES encryption, the password for the CIFS server
machine account must be reset. Enter the username and password for the
SMB domain "EXAMPLE.COM".

Enter your user ID: administrator

Enter your password:

cluster1::> vserver cifs security show -vserver vs2 -fields is-aes-encryption-enabled

vserver  is-aes-encryption-enabled
-------- -------------------------
vs2      true
Información relacionada

"El usuario de dominio no puede iniciar sesión en el clúster con el túnel de dominio"