リリースノート
AES 暗号化を使用して Kerberos ベースの通信のセキュリティを強化できます
変更を提案
-
このドキュメント ページのPDF
-
ボリューム管理
-
CLI を使用した論理ストレージ管理
-
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
-
SMB を使用したファイルアクセスの管理
-
-
-
PDF版ドキュメントのセット
Creating your file...
Kerberos ベースの通信による最も強固なセキュリティを実現するために、 AES-256 暗号化と AES-128 暗号化を SMB サーバで有効にすることができます。デフォルトでは、SVMでのSMBサーバの作成時にAdvanced Encryption Standard(AES)暗号化は無効になっています。AES暗号化が提供する強固なセキュリティを活用するには、AES暗号化を有効にする必要があります。
SMB の Kerberos 関連の通信は、 SVM で SMB サーバを作成する際や、 SMB セッションの設定フェーズで使用されます。SMB サーバでは、 Kerberos 通信で次の暗号化タイプがサポートされます。
-
AES 256
-
AES 128
-
DES (デス
-
RC4-HMAC
Kerberos 通信で最高のセキュリティを持つ暗号化タイプを使用する場合は、 SVM の Kerberos 通信で AES 暗号化を有効にする必要があります。
SMB サーバを作成すると、ドメインコントローラによって Active Directory にコンピュータマシンアカウントが作成されます。この時点で、 KDC は特定のマシンアカウントの暗号化機能を認識するようになります。その後、認証時にクライアントがサーバに提示するサービスチケットを暗号化するために、特定の暗号化タイプが選択されます。
ONTAP 9.12.1以降では、Active Directory(AD)KDCにアドバタイズする暗号化タイプを指定できます。を使用できます -advertised-enc-types 推奨される暗号化タイプを有効にするオプション。また、弱い暗号化タイプを無効にする場合にも使用できます。方法をご確認ください "Kerberosベースの通信の暗号化タイプを有効または無効にします"。
|
SMB 3.0 で利用可能な Intel AES New Instructions ( Intel AES NI )は AES アルゴリズムの改良版で、サポート対象のプロセッサファミリーでのデータ暗号化処理を高速化します。 SMB 3.1.1 以降では、 SMB 暗号化で使用されるハッシュアルゴリズムとして AES-128-CCM に代わって AES-128-GCM が使用されます。 |