日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NFS Kerberos で許可されている暗号化タイプを設定する

寄稿者

デフォルトでは、 ONTAP は、 DES 、 3DES 、 AES-128 、および AES-256 の暗号化タイプをサポートします。「 vserver nfs modify 」コマンドと「 -permitted-enc-types 」パラメータを使用することにより、特定の環境のセキュリティ要件に適合するように、許可される暗号化タイプを SVM ごとに設定できます。

クライアントの互換性を最大にするために、 ONTAP はデフォルトで弱い DES 暗号化と強い AES 暗号化の両方をサポートしています。つまり、たとえば、セキュリティの向上を必要としていて環境でこの機能がサポートされている場合は、この手順を使用して、 DES と 3DES を無効にしてクライアントに AES 暗号化のみの使用を要求できます。

使用可能な最も強力な暗号化を使用する必要があります。ONTAP の場合は AES-256 です。この暗号化レベルが環境でサポートされていることを、 KDC 管理者に確認する必要があります。

  • SVM 上で AES 全体( AES-128 と AES-256 の両方)を有効または無効にすると、システムが停止します。元の DES プリンシパル / keytab ファイルが削除され、 SVM のすべての LIF 上で Kerberos 構成を無効にすることが必要になるからです。

    この変更を行う前に、 SVM 上で NFS クライアントが AES 暗号化に依存していないことを確認する必要があります。

  • DES や 3DES の有効化または無効化は、 LIF での Kerberos 設定の変更を一切必要としません。

ステップ
  1. 許可されている必要な暗号化タイプを有効または無効にします。

    有効または無効にする対象 実行する手順

    DES または 3DES

    1. SVM の NFS Kerberos で許可される暗号化タイプを設定します。 +vserver nfs modify -vserver vserver_name _ permitted-enc-types _encryption_types _

      暗号化タイプが複数ある場合はカンマで区切ります。

    2. 変更が正常に行われたことを確認します。 +`vserver nfs show -vserver vserver_name _ -fields permitted-enc-types]

    AES-128 または AES-256

    1. Kerberos が有効になっている SVM と LIF を特定します。 +vserver nfs kerberos interface show

    2. 変更対象となる NFS Kerberos で許可される暗号化タイプが設定されている SVM 上のすべての LIF で Kerberos を無効にします。 +vserver nfs kerberos interface disable -lif lif_name _

    3. SVM の NFS Kerberos で許可される暗号化タイプを設定します。 +vserver nfs modify -vserver vserver_name _ permitted-enc-types _encryption_types _

      暗号化タイプが複数ある場合はカンマで区切ります。

    4. 変更が正常に行われたことを確認します。 +`vserver nfs show -vserver vserver_name _ -fields permitted-enc-types]

    5. SVM 上のすべての LIF で Kerberos を再度有効にします。 +vserver nfs kerberos interface enable -lif lif_name -spN_service_principal_name_

    6. すべての LIF で Kerberos が有効になっていることを確認します。 +vserver nfs kerberos interface show