Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NFS Kerberos で許可されている暗号化タイプを設定する

共同作成者
PDF

デフォルトでは、 ONTAP は、 DES 、 3DES 、 AES-128 、および AES-256 の暗号化タイプをサポートします。を使用して、SVMごとに許可される暗号化タイプを、特定の環境のセキュリティ要件に合わせて設定できます vserver nfs modify コマンドにを指定します -permitted-enc-types パラメータ

このタスクについて

クライアントの互換性を最大にするために、 ONTAP はデフォルトで弱い DES 暗号化と強い AES 暗号化の両方をサポートしています。つまり、たとえば、セキュリティの向上を必要としていて環境でこの機能がサポートされている場合は、この手順を使用して、 DES と 3DES を無効にしてクライアントに AES 暗号化のみの使用を要求できます。

使用可能な最も強力な暗号化を使用する必要があります。ONTAP の場合は AES-256 です。この暗号化レベルが環境でサポートされていることを、 KDC 管理者に確認する必要があります。

  • SVM 上で AES 全体( AES-128 と AES-256 の両方)を有効または無効にすると、システムが停止します。元の DES プリンシパル / keytab ファイルが削除され、 SVM のすべての LIF 上で Kerberos 構成を無効にすることが必要になるからです。

    この変更を行う前に、 SVM 上で NFS クライアントが AES 暗号化に依存していないことを確認する必要があります。

  • DES や 3DES の有効化または無効化は、 LIF での Kerberos 設定の変更を一切必要としません。

ステップ

  1. 許可されている必要な暗号化タイプを有効または無効にします。

    有効または無効にする対象 実行する手順

    DES または 3DES

    1. SVMのNFS Kerberosで許可される暗号化タイプを設定します。 [+] vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types

      暗号化タイプが複数ある場合はカンマで区切ります。

    2. 変更が成功したことを確認します。 [+] vserver nfs show -vserver vserver_name -fields permitted-enc-types

    AES-128またはAES-256

    1. Kerberosが有効になっているSVMとLIFを特定します。 [+] vserver nfs kerberos interface show

    2. 変更対象のNFS Kerberosで許可されている暗号化タイプが設定されているSVM上のすべてのLIFでKerberosを無効にします。 [+] vserver nfs kerberos interface disable -lif lif_name

    3. SVMのNFS Kerberosで許可される暗号化タイプを設定します。 [+] vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types

      暗号化タイプが複数ある場合はカンマで区切ります。

    4. 変更が成功したことを確認します。 [+] vserver nfs show -vserver vserver_name -fields permitted-enc-types

    5. SVM上のすべてのLIFでKerberosを再度有効にします。 [+] vserver nfs kerberos interface enable -lif lif_name -spn service_principal_name

    6. すべてのLIFでKerberosが有効になっていることを確認します。 [+] vserver nfs kerberos interface show