Configurez les types de chiffrement Kerberos NFS autorisés
Par défaut, ONTAP prend en charge les types de cryptage suivants pour Kerberos NFS : DES, 3DES, AES-128 et AES-256. Vous pouvez configurer les types de cryptage autorisés pour chaque SVM en fonction des exigences de sécurité de votre environnement en utilisant le vserver nfs modify
commande avec -permitted-enc-types
paramètre.
Pour une compatibilité client optimale, ONTAP prend en charge à la fois le chiffrement DES faible et le chiffrement AES fort par défaut. Cela signifie, par exemple, que si vous voulez augmenter la sécurité et que votre environnement le prend en charge, vous pouvez utiliser cette procédure pour désactiver DES et 3DES et demander aux clients d'utiliser uniquement le cryptage AES.
Vous devez utiliser le chiffrement le plus fort disponible. Pour ONTAP, c'est AES-256. Vous devez confirmer auprès de votre administrateur KDC que ce niveau de cryptage est pris en charge dans votre environnement.
-
L'activation ou la désactivation totale d'AES (AES-128 et AES-256) sur les SVM provoque des perturbations, car elle détruit le fichier principal/keytab d'origine, ce qui requiert la désactivation de la configuration Kerberos sur toutes les LIFs du SVM.
Avant d'effectuer ces modifications, vérifiez que les clients NFS ne reposent pas sur le chiffrement AES du SVM.
-
L'activation ou la désactivation DES ou 3DES ne nécessite aucune modification de la configuration Kerberos sur les LIF.
-
Activez ou désactivez le type de cryptage autorisé que vous souhaitez :
Pour activer ou désactiver… Suivez ces étapes… DES ou 3DES
-
Configurer les types de cryptage NFS Kerberos autorisés du SVM :
vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types
Séparez les différents types de cryptage par une virgule.
-
Vérifiez que la modification a réussi :
vserver nfs show -vserver vserver_name -fields permitted-enc-types
AES-128 ou AES-256
-
Identifier sur quel SVM et LIF Kerberos sont activés :
vserver nfs kerberos interface show
-
Désactiver Kerberos sur toutes les LIFs sur le SVM dont NFS Kerberos autorisé type de cryptage que vous souhaitez modifier :
vserver nfs kerberos interface disable -lif lif_name
-
Configurer les types de cryptage NFS Kerberos autorisés du SVM :
vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types
Séparez les différents types de cryptage par une virgule.
-
Vérifiez que la modification a réussi :
vserver nfs show -vserver vserver_name -fields permitted-enc-types
-
Réactiver Kerberos sur toutes les LIFs sur le SVM :
vserver nfs kerberos interface enable -lif lif_name -spn service_principal_name
-
Vérifier que Kerberos est activé sur toutes les LIFs :
vserver nfs kerberos interface show
-