NFS Kerberosで許可される暗号化タイプの設定
変更を提案
PDF
デフォルトでは、 ONTAP は、 DES 、 3DES 、 AES-128 、および AES-256 の暗号化タイプをサポートします。コマンドでパラメータを指定する -permitted-enc-types`と、SVMごとに許可される暗号化タイプを、特定の環境のセキュリティ要件に合わせて設定できます `vserver nfs modify。
クライアントの互換性を最大限に高めるために、ONTAPはデフォルトで弱いDES暗号化と強いAES暗号化の両方をサポートしています。つまり、たとえば、セキュリティを強化する必要があり、環境でサポートされている場合は、この手順を使用してDESと3DESを無効にし、クライアントにAES暗号化のみの使用を要求できます。
使用可能な最も強力な暗号化を使用する必要があります。ONTAP の場合は AES-256 です。この暗号化レベルが環境でサポートされていることを、 KDC 管理者に確認する必要があります。
-
SVMでAES全体(AES-128とAES-256の両方)を有効または無効にすると、システムが停止します。元のDESプリンシパル/ keytabファイルが削除され、SVMのすべてのLIFでKerberos設定を無効にする必要があるためです。
この変更を行う前に、SVMでNFSクライアントがAES暗号化を使用していないことを確認する必要があります。
-
DES や 3DES の有効化または無効化は、 LIF での Kerberos 設定の変更を一切必要としません。
-
許可されている暗号化タイプを有効または無効にします。
有効または無効にする対象 実行する手順 DES または 3DES
-
SVMのNFS Kerberosで許可されている暗号化タイプを設定します。+
vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types暗号化タイプが複数ある場合はカンマで区切ります。
-
変更が成功したことを確認します。+
vserver nfs show -vserver vserver_name -fields permitted-enc-types
AES-128またはAES-256
-
Kerberosが有効になっているSVMとLIFを特定します。+
vserver nfs kerberos interface show -
変更対象のNFS Kerberosで許可されている暗号化タイプが設定されているSVM上のすべてのLIFでKerberosを無効にします。+
vserver nfs kerberos interface disable -lif lif_name -
SVMのNFS Kerberosで許可されている暗号化タイプを設定します。+
vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types暗号化タイプが複数ある場合はカンマで区切ります。
-
変更が成功したことを確認します。+
vserver nfs show -vserver vserver_name -fields permitted-enc-types -
SVM上のすべてのLIFでKerberosを再度有効にします。+
vserver nfs kerberos interface enable -lif lif_name -spn service_principal_name -
すべてのLIFでKerberosが有効になっていることを確認します。+
vserver nfs kerberos interface show
-