ONTAP の Kerberos に対する NFS サポート
変更を提案
PDF
Kerberosは、クライアント / サーバ アプリケーションに対して強力でセキュアな認証を提供し、サーバに対してユーザおよびプロセスのIDの検証機能を提供します。ONTAP環境では、Storage Virtual Machine(SVM)とNFSクライアント間の認証をKerberosで実行できます。
ONTAP 9では、次のKerberos機能がサポートされます。
-
整合性チェック機能を備えたKerberos 5認証(krb5i)
Krb5iでは、チェックサムを使用して、クライアントとサーバとの間で転送される各NFSメッセージの整合性を検証します。これは、セキュリティ上の理由(データが改ざんされていないことの保証など)とデータ整合性に関する理由(信頼性の低いネットワークでNFSを使用する場合のデータ破損の防止など)の両方で有用です。
-
プライバシー チェック機能を備えたKerberos 5認証(krb5p)
krb5pでは、クライアントとサーバ間のすべてのトラフィックがチェックサムで暗号化されます。これによって安全性は高まりますが、負荷も高くなります。
-
128ビットおよび256ビットのAES暗号化
Advanced Encryption Standard(AES)は電子データを保護するための暗号化アルゴリズムです。ONTAPでは、セキュリティ強化のために、128ビット キーによるAES(AES-128)と256ビット キーによるAES(AES-256)がKerberosでサポートされています。
-
SVMレベルのKerberos Realm設定
SVM管理者は、Kerberos Realm設定をSVMレベルで作成できるようになりました。つまり、SVM管理者は、Kerberos Realm設定に関してクラスタ管理者に頼る必要がなくなり、個別のKerberos Realm設定をマルチテナンシー環境で作成することができます。