NFSでのKerberos使用によるセキュリティ強化の概要
変更を提案
PDF
ご使用の環境でKerberosが強力な認証に使用されている場合は、Kerberos管理者と協力して要件および適切なストレージシステム構成を決定し、SVMをKerberosクライアントとして有効にする必要があります。
環境が次のガイドラインを満たしている必要があります。
-
ONTAP で Kerberos を設定するには、 Kerberos のサーバとクライアントの設定に適したベストプラクティスに従ってサイトが導入されている必要があります。
-
Kerberos 認証を必須とする場合は、可能であれば NFSv4 以降を使用します。
NFSv3 でも Kerberos を使用できますが、Kerberos の高度なセキュリティ機能をフルに活用するには、 ONTAP を NFSv4 以降に導入する必要があります。
-
サーバアクセスの冗長化を促すため、同じ SPN を使ってクラスタ内の複数のノードのデータ LIF で Kerberos を有効にする必要があります。
-
Kerberos を SVM で有効にする場合は、 NFS クライアントの設定に応じて、次のいずれかのセキュリティ方式をボリュームまたは qtree のエクスポートルールに指定する必要があります。
-
krb5(Kerberos v5プロトコル) -
krb5i(Kerberos v5プロトコルとチェックサムによる整合性チェック) -
krb5p(Kerberos v5プロトコルとプライバシーサービス)
-
Kerberos のサーバとクライアントのほかに、次の外部サービスを Kerberos を使用する ONTAP 用に設定する必要があります。
-
ディレクトリサービス
Active Directory や OpenLDAP などのセキュアなディレクトリサービスを環境に導入し、 SSL / TLS 経由の LDAP を使用するように設定してください。NIS を使用すると、要求がクリアテキストで送信されセキュアではないため、 NIS は使用しないでください。
-
NTP
NTPを実行している稼働中のタイムサーバが必要です。これは、時間のずれによるKerberos認証の失敗を防ぐために必要です。
-
ドメイン名解決(DNS)
各UNIXクライアントおよび各SVM LIFについて、KDCのフォワードルックアップゾーンとリバースルックアップゾーンに適切なサービスレコード(SRV)が登録されている必要があります。すべての参加者は、DNSを介して適切に解決できる必要があります。