ONTAP SVMのNFS Kerberos許可暗号化タイプを設定する
変更を提案
PDF
デフォルトでは、ONTAPはNFS Kerberosの以下の暗号化タイプをサポートしています:DES、3DES、AES-128、AES-256。 `vserver nfs modify`コマンドに `-permitted-enc-types`パラメータを指定することで、各SVMで許可される暗号化タイプを、特定の環境のセキュリティ要件に合わせて設定できます。
クライアントの互換性を最大にするために、ONTAPでは弱い暗号化のDESと強い暗号化のAESの両方をデフォルトでサポートしています。たとえば、セキュリティの強化が必要な環境でAES暗号化がサポートされている場合、ここに記載する手順を使用してDESと3DESを無効にし、クライアントにAES暗号化の使用を必須にすることができます。
利用可能な最も強力な暗号化を使用する必要があります。ONTAP の場合、これは AES-256 です。この暗号化レベルがお使いの環境でサポートされているかどうかは、KDC 管理者にご確認ください。
-
SVM上でAES全体(AES-128とAES-256の両方)を有効または無効にする操作では、元のDESプリンシパル / keytabファイルが破棄され、SVMのすべてのLIF上でKerberos構成を無効にすることが必要になるため、システムの停止を伴います。
この変更を行う前に、NFSクライアントがSVMのAES暗号化に依存しないことを確認しておく必要があります。
-
DES または 3DES を有効化または無効化する場合、LIF 上の Kerberos 設定を変更する必要はありません。
-
許可される暗号化タイプを有効または無効にします。
有効または無効にする場合は… 次の手順に従ってください。 DESまたは3DES
-
SVMのNFS Kerberos許可暗号化タイプを設定します:+
vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types複数の暗号化タイプはカンマで区切ります。
-
変更が成功したことを確認します:+
vserver nfs show -vserver vserver_name -fields permitted-enc-types
AES-128またはAES-256
-
どの SVM および LIF で Kerberos が有効になっているかを特定します:+
vserver nfs kerberos interface show -
変更する NFS Kerberos 許可暗号化タイプの SVM 上のすべての LIF で Kerberos を無効にします:+
vserver nfs kerberos interface disable -lif lif_name -
SVMのNFS Kerberos許可暗号化タイプを設定します:+
vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types複数の暗号化タイプはカンマで区切ります。
-
変更が成功したことを確認します:+
vserver nfs show -vserver vserver_name -fields permitted-enc-types -
SVM 上のすべての LIF で Kerberos を再度有効にします:+
vserver nfs kerberos interface enable -lif lif_name -spn service_principal_name -
すべてのLIFでKerberosが有効になっていることを確認します:+
vserver nfs kerberos interface show
-