Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Activez ou désactivez le chiffrement AES pour les communications basées sur Kerberos

Contributeurs
PDF

Pour bénéficier de la sécurité la plus forte des communications basées sur Kerberos, vous devez utiliser le chiffrement AES-256 et AES-128 sur le serveur SMB. À partir de ONTAP 9.13.1, le chiffrement AES est activé par défaut. Si vous ne souhaitez pas que le serveur SMB sélectionne les types de cryptage AES pour les communications basées sur Kerberos avec le KDC Active Directory (AD), vous pouvez désactiver le cryptage AES.

Le fait que le cryptage AES soit activé par défaut et que vous puissiez spécifier des types de cryptage dépend de votre version de ONTAP.

Version ONTAP Le cryptage AES est activé …​ Vous pouvez spécifier des types de cryptage ?

9.13.1 et versions ultérieures

Par défaut

Oui.

9.12.1

Manuellement

Oui.

9.11.1 et versions antérieures

Manuellement

Non

Depuis ONTAP 9.12.1, le chiffrement AES est activé et désactivé à l'aide du -advertised-enc-types Cette option permet de spécifier les types de cryptage annoncés dans AD KDC. Le paramètre par défaut est rc4 et des, Mais lorsqu'un type AES est spécifié, le cryptage AES est activé. Vous pouvez également utiliser l'option pour désactiver explicitement les types de cryptage RC4 et DES les plus faibles. Dans ONTAP 9.11.1 et les versions antérieures, vous devez utiliser le -is-aes-encryption-enabled Option permettant d'activer et de désactiver le cryptage AES, et les types de cryptage ne peuvent pas être spécifiés.

Pour renforcer la sécurité, la machine virtuelle de stockage (SVM) modifie le mot de passe de son compte machine dans l'AD à chaque modification de l'option de sécurité AES. La modification du mot de passe peut nécessiter des informations d'identification AD administratives pour l'unité organisationnelle qui contient le compte de la machine.

Si un SVM est configuré en tant que destination de reprise sur incident où l'identité n'est pas conservée (le -identity-preserve l'option est définie sur false Dans la configuration SnapMirror), les paramètres de sécurité du serveur SMB non par défaut ne sont pas répliqués sur la destination. Si vous avez activé le chiffrement AES sur la SVM source, vous devez l'activer manuellement.

Exemple 1. Étapes
ONTAP 9.12.1 et versions ultérieures

  1. Effectuez l'une des opérations suivantes :

    Si vous souhaitez que les types de cryptage AES soient utilisés pour les communications Kerberos…​ Entrez la commande…​

    Activé

    vserver cifs security modify -vserver vserver_name -advertised-enc-types aes-128,aes-256

    Désactivé

    vserver cifs security modify -vserver vserver_name -advertised-enc-types des,rc4

    Remarque : le -is-aes-encryption-enabled Cette option est obsolète dans ONTAP 9.12.1 et peut être supprimée dans une version ultérieure.

  2. Vérifiez que le chiffrement AES est activé ou désactivé selon les besoins : vserver cifs security show -vserver vserver_name -fields advertised-enc-types

Exemples

L'exemple suivant active les types de chiffrement AES pour le serveur SMB sur SVM vs1 :

cluster1::> vserver cifs security modify -vserver vs1 -advertised-enc-types aes-128,aes-256

cluster1::> vserver cifs security show -vserver vs1 -fields advertised-enc-types

vserver  advertised-enc-types
-------- --------------------
vs1      aes-128,aes-256

L'exemple suivant active les types de cryptage AES pour le serveur SMB sur le SVM vs2. L'administrateur est invité à saisir les informations d'identification AD d'administration pour l'UO contenant le serveur SMB.

cluster1::> vserver cifs security modify -vserver vs2 -advertised-enc-types aes-128,aes-256

Info: In order to enable SMB AES encryption, the password for the SMB server
machine account must be reset. Enter the username and password for the
SMB domain "EXAMPLE.COM".

Enter your user ID: administrator

Enter your password:

cluster1::> vserver cifs security show -vserver vs2 -fields advertised-enc-types

vserver  advertised-enc-types
-------- --------------------
vs2      aes-128,aes-256
ONTAP 9.11.1 et versions antérieures

  1. Effectuez l'une des opérations suivantes :

    Si vous souhaitez que les types de cryptage AES soient utilisés pour les communications Kerberos…​ Entrez la commande…​

    Activé

    vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled true

    Désactivé

    vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled false

  2. Vérifiez que le chiffrement AES est activé ou désactivé selon les besoins : vserver cifs security show -vserver vserver_name -fields is-aes-encryption-enabled

    Le is-aes-encryption-enabled s'affiche true Si le cryptage AES est activé et false s'il est désactivé.

Exemples

L'exemple suivant active les types de chiffrement AES pour le serveur SMB sur SVM vs1 :

cluster1::> vserver cifs security modify -vserver vs1 -is-aes-encryption-enabled true

cluster1::> vserver cifs security show -vserver vs1 -fields is-aes-encryption-enabled

vserver  is-aes-encryption-enabled
-------- -------------------------
vs1      true

L'exemple suivant active les types de cryptage AES pour le serveur SMB sur le SVM vs2. L'administrateur est invité à saisir les informations d'identification AD d'administration pour l'UO contenant le serveur SMB.

cluster1::> vserver cifs security modify -vserver vs2 -is-aes-encryption-enabled true

Info: In order to enable SMB AES encryption, the password for the CIFS server
machine account must be reset. Enter the username and password for the
SMB domain "EXAMPLE.COM".

Enter your user ID: administrator

Enter your password:

cluster1::> vserver cifs security show -vserver vs2 -fields is-aes-encryption-enabled

vserver  is-aes-encryption-enabled
-------- -------------------------
vs2      true
Informations associées

"L'utilisateur du domaine ne parvient pas à se connecter au cluster avec Domain-tunnel"