Notas de la versión
Habilite o deshabilite el cifrado AES para la comunicación basada en Kerberos
Sugerir cambios
-
PDF de este sitio de documentos
-
Administración de clústeres
-
Administración de volúmenes
-
Gestión de almacenamiento lógico con CLI
-
Utilice cuotas para restringir o realizar un seguimiento del uso de los recursos
-
-
-
Gestión del almacenamiento nas
-
Configure NFS con la CLI
-
Gestione NFS con la interfaz de línea de comandos
-
Gestione SMB con la interfaz de línea de comandos
-
Gestione servidores SMB
-
Gestione el acceso a archivos mediante SMB
-
-
-
Gestión del almacenamiento san
-
Autenticación y control de acceso
-
Seguridad y cifrado de datos
-
Protección de datos y recuperación ante desastres
-
Recopilación de documentos PDF independientes
Creating your file...
Para aprovechar la seguridad más fuerte con la comunicación basada en Kerberos, debe utilizar el cifrado AES-256 y AES-128 en el servidor SMB. A partir de ONTAP 9.13.1, el cifrado AES está habilitado de forma predeterminada. Si no desea que el servidor SMB seleccione los tipos de cifrado AES para la comunicación basada en Kerberos con el KDC de Active Directory (AD), puede deshabilitar el cifrado AES.
Si el cifrado AES está habilitado de forma predeterminada y si tiene la opción de especificar tipos de cifrado depende de su versión de ONTAP.
| Versión de ONTAP | El cifrado AES está activado… | ¿Puede especificar tipos de cifrado? |
|---|---|---|
9.13.1 y posterior |
De forma predeterminada |
Sí |
9.12.1 |
Manualmente |
Sí |
9.11.1 y anteriores |
Manualmente |
No |
A partir de ONTAP 9.12.1, el cifrado AES está habilitado y deshabilitado mediante el -advertised-enc-types Opción, que permite especificar los tipos de cifrado anunciados en AD KDC. El valor predeterminado es rc4 y.. des, Pero cuando se especifica un tipo AES, el cifrado AES está activado. También puede utilizar la opción para desactivar explícitamente los tipos de cifrado RC4 y DES más débiles. En ONTAP 9.11.1 y versiones anteriores, debe utilizar el -is-aes-encryption-enabled Opción para habilitar y deshabilitar el cifrado AES, y no se pueden especificar los tipos de cifrado.
Para mejorar la seguridad, la máquina virtual de almacenamiento (SVM) cambia su contraseña de cuenta de máquina en AD cada vez que se modifica la opción de seguridad AES. El cambio de la contraseña podría requerir credenciales AD administrativas para la unidad organizativa (OU) que contiene la cuenta del equipo.
Si una SVM se configura como un destino de recuperación ante desastres donde no se conserva la identidad (la -identity-preserve opción establecida en false En la configuración SnapMirror), las opciones de seguridad del servidor SMB no predeterminadas no se replican en el destino. Si habilitó el cifrado AES en la SVM de origen, debe habilitarla manualmente.
-
Ejecute una de las siguientes acciones:
Si desea que los tipos de cifrado AES para la comunicación Kerberos sean… Introduzca el comando… Activado
vserver cifs security modify -vserver vserver_name -advertised-enc-types aes-128,aes-256Deshabilitado
vserver cifs security modify -vserver vserver_name -advertised-enc-types des,rc4Nota: la
-is-aes-encryption-enabledLa opción quedó obsoleta en ONTAP 9.12.1 y se puede quitar en una versión posterior. -
Compruebe que el cifrado AES está habilitado o deshabilitado como desee:
vserver cifs security show -vserver vserver_name -fields advertised-enc-types
En el siguiente ejemplo, se habilitan los tipos de cifrado AES para el servidor SMB en la SVM vs1:
cluster1::> vserver cifs security modify -vserver vs1 -advertised-enc-types aes-128,aes-256 cluster1::> vserver cifs security show -vserver vs1 -fields advertised-enc-types vserver advertised-enc-types -------- -------------------- vs1 aes-128,aes-256
En el ejemplo siguiente se habilitan los tipos de cifrado AES para el servidor SMB en la SVM vs2. Se solicita al administrador que introduzca las credenciales AD administrativas para la unidad organizativa que contiene el servidor SMB.
cluster1::> vserver cifs security modify -vserver vs2 -advertised-enc-types aes-128,aes-256 Info: In order to enable SMB AES encryption, the password for the SMB server machine account must be reset. Enter the username and password for the SMB domain "EXAMPLE.COM". Enter your user ID: administrator Enter your password: cluster1::> vserver cifs security show -vserver vs2 -fields advertised-enc-types vserver advertised-enc-types -------- -------------------- vs2 aes-128,aes-256
-
Ejecute una de las siguientes acciones:
Si desea que los tipos de cifrado AES para la comunicación Kerberos sean… Introduzca el comando… Activado
vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled trueDeshabilitado
vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled false -
Compruebe que el cifrado AES está habilitado o deshabilitado como desee:
vserver cifs security show -vserver vserver_name -fields is-aes-encryption-enabledLa
is-aes-encryption-enabledse muestra el campotrueSi el cifrado AES está habilitado y.falsesi está desactivada.
En el siguiente ejemplo, se habilitan los tipos de cifrado AES para el servidor SMB en la SVM vs1:
cluster1::> vserver cifs security modify -vserver vs1 -is-aes-encryption-enabled true cluster1::> vserver cifs security show -vserver vs1 -fields is-aes-encryption-enabled vserver is-aes-encryption-enabled -------- ------------------------- vs1 true
En el ejemplo siguiente se habilitan los tipos de cifrado AES para el servidor SMB en la SVM vs2. Se solicita al administrador que introduzca las credenciales AD administrativas para la unidad organizativa que contiene el servidor SMB.
cluster1::> vserver cifs security modify -vserver vs2 -is-aes-encryption-enabled true Info: In order to enable SMB AES encryption, the password for the CIFS server machine account must be reset. Enter the username and password for the SMB domain "EXAMPLE.COM". Enter your user ID: administrator Enter your password: cluster1::> vserver cifs security show -vserver vs2 -fields is-aes-encryption-enabled vserver is-aes-encryption-enabled -------- ------------------------- vs2 true