NFS Kerberos で許可されている暗号化タイプを設定する
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
デフォルトでは、 ONTAP は、 DES 、 3DES 、 AES-128 、および AES-256 の暗号化タイプをサポートします。を使用して、SVMごとに許可される暗号化タイプを、特定の環境のセキュリティ要件に合わせて設定できます vserver nfs modify
コマンドにを指定します -permitted-enc-types
パラメータ
クライアントの互換性を最大にするために、 ONTAP はデフォルトで弱い DES 暗号化と強い AES 暗号化の両方をサポートしています。つまり、たとえば、セキュリティの向上を必要としていて環境でこの機能がサポートされている場合は、この手順を使用して、 DES と 3DES を無効にしてクライアントに AES 暗号化のみの使用を要求できます。
使用可能な最も強力な暗号化を使用する必要があります。ONTAP の場合は AES-256 です。この暗号化レベルが環境でサポートされていることを、 KDC 管理者に確認する必要があります。
-
SVM 上で AES 全体( AES-128 と AES-256 の両方)を有効または無効にすると、システムが停止します。元の DES プリンシパル / keytab ファイルが削除され、 SVM のすべての LIF 上で Kerberos 構成を無効にすることが必要になるからです。
この変更を行う前に、 SVM 上で NFS クライアントが AES 暗号化に依存していないことを確認する必要があります。
-
DES や 3DES の有効化または無効化は、 LIF での Kerberos 設定の変更を一切必要としません。
-
許可されている必要な暗号化タイプを有効または無効にします。
有効または無効にする対象 実行する手順 DES または 3DES
-
SVMのNFS Kerberosで許可される暗号化タイプを設定します。 [+]
vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types
暗号化タイプが複数ある場合はカンマで区切ります。
-
変更が成功したことを確認します。 [+]
vserver nfs show -vserver vserver_name -fields permitted-enc-types
AES-128またはAES-256
-
Kerberosが有効になっているSVMとLIFを特定します。 [+]
vserver nfs kerberos interface show
-
変更対象のNFS Kerberosで許可されている暗号化タイプが設定されているSVM上のすべてのLIFでKerberosを無効にします。 [+]
vserver nfs kerberos interface disable -lif lif_name
-
SVMのNFS Kerberosで許可される暗号化タイプを設定します。 [+]
vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types
暗号化タイプが複数ある場合はカンマで区切ります。
-
変更が成功したことを確認します。 [+]
vserver nfs show -vserver vserver_name -fields permitted-enc-types
-
SVM上のすべてのLIFでKerberosを再度有効にします。 [+]
vserver nfs kerberos interface enable -lif lif_name -spn service_principal_name
-
すべてのLIFでKerberosが有効になっていることを確認します。 [+]
vserver nfs kerberos interface show
-