Configurez les types de chiffrement Kerberos NFS autorisés
-
Un fichier PDF de toute la documentation
- Administration du cluster
-
L'administration des volumes
-
Gestion du stockage logique avec l'interface de ligne de commandes
- Utilisez des quotas pour limiter ou suivre l'utilisation des ressources
-
Gestion du stockage logique avec l'interface de ligne de commandes
-
Gestion du stockage NAS
- Configurez NFS avec l'interface de ligne de commande
- Gérez NFS avec l'interface de ligne de commande
-
Gestion de SMB avec l'interface de ligne de commandes
- Gérer les serveurs SMB
- Gérer l'accès aux fichiers via SMB
- Gestion du stockage SAN
- Authentification et contrôle d'accès
-
Sécurité et chiffrement des données
- Utilisez FPolicy pour le contrôle et la gestion des fichiers sur SVM
-
Protection des données et reprise d'activité
- Protection des données via l'interface de ligne de commandes
Plusieurs fichiers PDF
Creating your file...
Par défaut, ONTAP prend en charge les types de cryptage suivants pour Kerberos NFS : DES, 3DES, AES-128 et AES-256. Vous pouvez configurer les types de cryptage autorisés pour chaque SVM en fonction des exigences de sécurité de votre environnement en utilisant le vserver nfs modify
commande avec -permitted-enc-types
paramètre.
Pour une compatibilité client optimale, ONTAP prend en charge à la fois le chiffrement DES faible et le chiffrement AES fort par défaut. Cela signifie, par exemple, que si vous voulez augmenter la sécurité et que votre environnement le prend en charge, vous pouvez utiliser cette procédure pour désactiver DES et 3DES et demander aux clients d'utiliser uniquement le cryptage AES.
Vous devez utiliser le chiffrement le plus fort disponible. Pour ONTAP, c'est AES-256. Vous devez confirmer auprès de votre administrateur KDC que ce niveau de cryptage est pris en charge dans votre environnement.
-
L'activation ou la désactivation totale d'AES (AES-128 et AES-256) sur les SVM provoque des perturbations, car elle détruit le fichier principal/keytab d'origine, ce qui requiert la désactivation de la configuration Kerberos sur toutes les LIFs du SVM.
Avant d'effectuer ces modifications, vérifiez que les clients NFS ne reposent pas sur le chiffrement AES du SVM.
-
L'activation ou la désactivation DES ou 3DES ne nécessite aucune modification de la configuration Kerberos sur les LIF.
-
Activez ou désactivez le type de cryptage autorisé que vous souhaitez :
Pour activer ou désactiver… Suivez ces étapes… DES ou 3DES
-
Configurer les types de cryptage NFS Kerberos autorisés du SVM :
vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types
Séparez les différents types de cryptage par une virgule.
-
Vérifiez que la modification a réussi :
vserver nfs show -vserver vserver_name -fields permitted-enc-types
AES-128 ou AES-256
-
Identifier sur quel SVM et LIF Kerberos sont activés :
vserver nfs kerberos interface show
-
Désactiver Kerberos sur toutes les LIFs sur le SVM dont NFS Kerberos autorisé type de cryptage que vous souhaitez modifier :
vserver nfs kerberos interface disable -lif lif_name
-
Configurer les types de cryptage NFS Kerberos autorisés du SVM :
vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types
Séparez les différents types de cryptage par une virgule.
-
Vérifiez que la modification a réussi :
vserver nfs show -vserver vserver_name -fields permitted-enc-types
-
Réactiver Kerberos sur toutes les LIFs sur le SVM :
vserver nfs kerberos interface enable -lif lif_name -spn service_principal_name
-
Vérifier que Kerberos est activé sur toutes les LIFs :
vserver nfs kerberos interface show
-