Attiva o disattiva la crittografia AES per le comunicazioni basate su Kerberos
Suggerisci modifiche
PDF
Per sfruttare al massimo la protezione della comunicazione basata su Kerberos, è necessario utilizzare la crittografia AES-256 e AES-128 sul server SMB. A partire da ONTAP 9.13.1, la crittografia AES è attivata per impostazione predefinita. Se non si desidera che il server SMB selezioni i tipi di crittografia AES per la comunicazione basata su Kerberos con Active Directory (ad) KDC, è possibile disattivare la crittografia AES.
Se la crittografia AES è attivata per impostazione predefinita e se si dispone dell'opzione per specificare i tipi di crittografia, dipende dalla versione di ONTAP in uso.
| Versione di ONTAP | La crittografia AES è abilitata … | È possibile specificare i tipi di crittografia? |
|---|---|---|
9.13.1 e versioni successive |
Per impostazione predefinita |
Sì |
9.12.1 |
Manualmente |
Sì |
9.11.1 e precedenti |
Manualmente |
No |
A partire da ONTAP 9.12.1, la crittografia AES viene attivata e disattivata tramite -advertised-enc-types Che consente di specificare i tipi di crittografia annunciati a ad KDC. L'impostazione predefinita è rc4 e. des, Ma quando viene specificato un tipo AES, viene attivata la crittografia AES. È inoltre possibile utilizzare l'opzione per disattivare esplicitamente i tipi di crittografia RC4 e DES più deboli. In ONTAP 9.11.1 e versioni precedenti, è necessario utilizzare -is-aes-encryption-enabled Opzione per attivare e disattivare la crittografia AES e i tipi di crittografia non possono essere specificati.
Per migliorare la sicurezza, la macchina virtuale di storage (SVM) modifica la password dell'account della macchina in ad ogni volta che viene modificata l'opzione di sicurezza AES. La modifica della password potrebbe richiedere credenziali amministrative ad per l'unità organizzativa (OU) che contiene l'account del computer.
Se una SVM è configurata come destinazione di disaster recovery in cui l'identità non viene preservata (la -identity-preserve l'opzione è impostata su false Nella configurazione di SnapMirror), le impostazioni di sicurezza del server SMB non predefinite non vengono replicate nella destinazione. Se è stata attivata la crittografia AES sulla SVM di origine, è necessario abilitarla manualmente.
-
Eseguire una delle seguenti operazioni:
Se si desidera che i tipi di crittografia AES per la comunicazione Kerberos siano… Immettere il comando… Attivato
vserver cifs security modify -vserver vserver_name -advertised-enc-types aes-128,aes-256Disattivato
vserver cifs security modify -vserver vserver_name -advertised-enc-types des,rc4Nota: la
-is-aes-encryption-enabledL'opzione è obsoleta in ONTAP 9.12.1 e potrebbe essere rimossa in una release successiva. -
Verificare che la crittografia AES sia attivata o disattivata come desiderato:
vserver cifs security show -vserver vserver_name -fields advertised-enc-types
Nell'esempio seguente vengono utilizzati i tipi di crittografia AES per il server SMB su SVM vs1:
cluster1::> vserver cifs security modify -vserver vs1 -advertised-enc-types aes-128,aes-256 cluster1::> vserver cifs security show -vserver vs1 -fields advertised-enc-types vserver advertised-enc-types -------- -------------------- vs1 aes-128,aes-256
Nell'esempio seguente vengono utilizzati i tipi di crittografia AES per il server SMB su SVM vs2. All'amministratore viene richiesto di inserire le credenziali amministrative ad per l'unità organizzativa contenente il server SMB.
cluster1::> vserver cifs security modify -vserver vs2 -advertised-enc-types aes-128,aes-256 Info: In order to enable SMB AES encryption, the password for the SMB server machine account must be reset. Enter the username and password for the SMB domain "EXAMPLE.COM". Enter your user ID: administrator Enter your password: cluster1::> vserver cifs security show -vserver vs2 -fields advertised-enc-types vserver advertised-enc-types -------- -------------------- vs2 aes-128,aes-256
-
Eseguire una delle seguenti operazioni:
Se si desidera che i tipi di crittografia AES per la comunicazione Kerberos siano… Immettere il comando… Attivato
vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled trueDisattivato
vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled false -
Verificare che la crittografia AES sia attivata o disattivata come desiderato:
vserver cifs security show -vserver vserver_name -fields is-aes-encryption-enabledIl
is-aes-encryption-enabledviene visualizzato il campotrueSe la crittografia AES è attivata e.falsese è disattivato.
Nell'esempio seguente vengono utilizzati i tipi di crittografia AES per il server SMB su SVM vs1:
cluster1::> vserver cifs security modify -vserver vs1 -is-aes-encryption-enabled true cluster1::> vserver cifs security show -vserver vs1 -fields is-aes-encryption-enabled vserver is-aes-encryption-enabled -------- ------------------------- vs1 true
Nell'esempio seguente vengono utilizzati i tipi di crittografia AES per il server SMB su SVM vs2. All'amministratore viene richiesto di inserire le credenziali amministrative ad per l'unità organizzativa contenente il server SMB.
cluster1::> vserver cifs security modify -vserver vs2 -is-aes-encryption-enabled true Info: In order to enable SMB AES encryption, the password for the CIFS server machine account must be reset. Enter the username and password for the SMB domain "EXAMPLE.COM". Enter your user ID: administrator Enter your password: cluster1::> vserver cifs security show -vserver vs2 -fields is-aes-encryption-enabled vserver is-aes-encryption-enabled -------- ------------------------- vs2 true
"L'utente del dominio non riesce ad accedere al cluster con Domain-Tunnel"