セキュリティ認証のためにONTAP NFSでKerberosを使用する方法について学習します
変更を提案
PDF
Kerberosを使用して強力な認証が実装されている環境では、Kerberos管理者と協力して要件および適切なストレージ システム構成を決定したうえで、SVMをKerberosクライアントとして有効にする必要があります。
次のガイドラインに従う必要があります。
-
ONTAP の Kerberos を設定する前に、サイト展開は Kerberos サーバーとクライアント設定のベストプラクティスに従う必要があります。
-
可能であれば、Kerberos 認証が必要な場合は NFSv4 以降を使用してください。
NFSv3はKerberosと併用できます。ただし、Kerberosのセキュリティ上の利点を完全に享受できるのは、ONTAPでNFSv4以降を導入している環境でのみです。
-
冗長サーバ アクセスを促進するには、同じ SPN を使用してクラスタ内の複数のノード上の複数のデータ LIF で Kerberos を有効にする必要があります。
-
SVM で Kerberos が有効になっている場合、NFS クライアント設定に応じて、ボリュームまたは qtree のエクスポートルールに次のいずれかのセキュリティメソッドを指定する必要があります。
-
krb5(Kerberos v5 プロトコル) -
krb5i(チェックサムを使用した整合性チェックを備えた Kerberos v5 プロトコル) -
krb5p(プライバシーサービスを備えた Kerberos v5 プロトコル)
-
Kerberos サーバとクライアントに加えて、 ONTAP が Kerberos をサポートするには、次の外部サービスを設定する必要があります。
-
ディレクトリ サービス
お使いの環境では、Active DirectoryやOpenLDAPなど、SSL/TLS経由でLDAPを使用するように構成された安全なディレクトリサービスを使用する必要があります。NISはリクエストがクリアテキストで送信されるため安全ではないので、使用しないでください。
-
NTP
タイム サーバでNTPを実行している必要があります。これは、時刻のずれによるKerberos認証の失敗を回避するために必要です。
-
ドメイン名解決(DNS)
それぞれのUNIXクライアントおよびSVM LIFについて、KDCの前方参照ゾーンと逆引き参照ゾーンに適切なサービス レコード(SRV)が登録されている必要があります。すべてのコンポーネントは、DNSで正しく解決できる必要があります。