Note di rilascio
Configurare i tipi di crittografia consentiti per NFS Kerberos
Suggerisci modifiche
-
PDF del sito di questa documentazione
-
Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
-
Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
-
-
Gestione dello storage NAS
-
Configurare NFS con la CLI
-
Gestisci NFS con la CLI
-
Gestire SMB con la CLI
-
Gestire i server SMB
-
Gestire l'accesso ai file utilizzando SMB
-
-
-
Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
-
Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
-
-
Protezione dei dati e disaster recovery
-
Raccolta di documenti PDF separati
Creating your file...
Per impostazione predefinita, ONTAP supporta i seguenti tipi di crittografia per NFS Kerberos: DES, 3DES, AES-128 e AES-256. È possibile configurare i tipi di crittografia consentiti per ogni SVM in modo che si adatti ai requisiti di sicurezza per il proprio ambiente specifico utilizzando vserver nfs modify con il -permitted-enc-types parametro.
Per una maggiore compatibilità con i client, ONTAP supporta sia la crittografia DES debole che la crittografia AES avanzata per impostazione predefinita. Ciò significa, ad esempio, che se si desidera aumentare la protezione e l'ambiente lo supporta, è possibile utilizzare questa procedura per disattivare DES e 3DES e richiedere ai client di utilizzare solo la crittografia AES.
Si consiglia di utilizzare la crittografia più efficace disponibile. Per ONTAP, cioè AES-256. Verificare con l'amministratore di KDC che questo livello di crittografia sia supportato nell'ambiente in uso.
-
L'attivazione o la disattivazione completa di AES (sia AES-128 che AES-256) su SVM è un'interruzione perché distrugge il file DES principal/keytab originale, richiedendo quindi la disattivazione della configurazione Kerberos su tutti i LIF per SVM.
Prima di apportare questa modifica, verificare che i client NFS non si basino sulla crittografia AES su SVM.
-
L'attivazione o la disattivazione DI DES o 3DES non richiede modifiche alla configurazione Kerberos sui LIF.
-
Attivare o disattivare il tipo di crittografia consentito:
Se si desidera attivare o disattivare… Attenersi alla procedura descritta di seguito… DES o 3DES
-
Configurare i tipi di crittografia Kerberos NFS consentiti per SVM:
vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_typesSeparare più tipi di crittografia con una virgola.
-
Verificare che la modifica sia stata eseguita correttamente:
vserver nfs show -vserver vserver_name -fields permitted-enc-types
AES-128 o AES-256
-
Identificare su quali SVM e LIF Kerberos sono attivati:
vserver nfs kerberos interface show -
Disattiva Kerberos su tutti i LIF della SVM il cui tipo di crittografia Kerberos NFS consentiva di modificare:
vserver nfs kerberos interface disable -lif lif_name -
Configurare i tipi di crittografia Kerberos NFS consentiti per SVM:
vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_typesSeparare più tipi di crittografia con una virgola.
-
Verificare che la modifica sia stata eseguita correttamente:
vserver nfs show -vserver vserver_name -fields permitted-enc-types -
Riabilitare Kerberos su tutti i LIF su SVM:
vserver nfs kerberos interface enable -lif lif_name -spn service_principal_name -
Verificare che Kerberos sia attivato su tutti i LIF:
vserver nfs kerberos interface show
-