ONTAP SMB Kerberosベースの通信にAES暗号化を設定する
変更を提案
PDF
Kerberosベースの通信で最大限のセキュリティを確保するには、SMBサーバでAES-256およびAES-128暗号化を使用する必要があります。ONTAP 9.13.1以降では、AES暗号化がデフォルトで有効になります。SMBサーバでActive Directory(AD)KDCとのKerberosベースの通信にAES暗号化タイプを選択したくない場合は、AES暗号化を無効にすることができます。
AES暗号化がデフォルトで有効になっているかどうかと、暗号化タイプを指定できるかどうかは、ONTAPのバージョンによって異なります。
| ONTAPのバージョン | AES暗号化を有効にする方法 | 暗号化タイプ指定の可否 |
|---|---|---|
9.13.1以降 |
デフォルト |
はい |
9.12.1 |
手動 |
はい |
9.11.1以前 |
手動 |
いいえ |
ONTAP 9.12.1以降では、 `-advertised-enc-types`オプションを使用してAES暗号化を有効化または無効化できます。このオプションでは、AD KDCにアドバタイズされる暗号化タイプを指定できます。デフォルト設定は `rc4`と `des`ですが、AESタイプを指定するとAES暗号化が有効になります。また、オプションを使用して、より弱いRC4およびDES暗号化タイプを明示的に無効にすることもできます。ONTAP 9.11.1以前では、 `-is-aes-encryption-enabled`オプションを使用してAES暗号化を有効化または無効化する必要があり、暗号化タイプを指定することはできません。
セキュリティを強化するため、Storage Virtual Machine(SVM)はAESセキュリティ オプションが変更されるたびに、AD内のマシン アカウントのパスワードを変更します。パスワードの変更には、マシン アカウントが所属する組織単位(OU)の管理ADクレデンシャルが必要になることがあります。
SVMが、IDが保持されないディザスタリカバリ先として設定されている場合(SnapMirror設定で `-identity-preserve`オプションが `false`に設定されている場合)、デフォルト以外のSMBサーバセキュリティ設定はレプリケート先に複製されません。ソースSVMでAES暗号化を有効にしている場合は、手動で有効にする必要があります。
-
次のいずれかを実行します。
Kerberos 通信に AES 暗号化タイプを使用する場合… コマンドを入力してください… 有効
vserver cifs security modify -vserver vserver_name -advertised-enc-types aes-128,aes-256無効
vserver cifs security modify -vserver vserver_name -advertised-enc-types des,rc4注: `-is-aes-encryption-enabled`オプションはONTAP 9.12.1では廃止予定であり、今後のリリースで削除される可能性があります。
-
AES暗号化が必要に応じて有効または無効になっていることを確認します:
vserver cifs security show -vserver vserver_name -fields advertised-enc-types
次の例は、SVM vs1のSMBサーバでAES暗号化タイプを有効にします。
cluster1::> vserver cifs security modify -vserver vs1 -advertised-enc-types aes-128,aes-256 cluster1::> vserver cifs security show -vserver vs1 -fields advertised-enc-types vserver advertised-enc-types -------- -------------------- vs1 aes-128,aes-256
次の例は、SVM vs2のSMBサーバでAES暗号化タイプを有効にします。管理者は、SMBサーバが所属するOUの管理ADクレデンシャルを入力するように求められます。
cluster1::> vserver cifs security modify -vserver vs2 -advertised-enc-types aes-128,aes-256 Info: In order to enable SMB AES encryption, the password for the SMB server machine account must be reset. Enter the username and password for the SMB domain "EXAMPLE.COM". Enter your user ID: administrator Enter your password: cluster1::> vserver cifs security show -vserver vs2 -fields advertised-enc-types vserver advertised-enc-types -------- -------------------- vs2 aes-128,aes-256
-
次のいずれかを実行します。
Kerberos 通信に AES 暗号化タイプを使用する場合… コマンドを入力してください… 有効
vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled true無効
vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled false -
AES 暗号化が必要に応じて有効または無効になっていることを確認します:
vserver cifs security show -vserver vserver_name -fields is-aes-encryption-enabled`is-aes-encryption-enabled`フィールドには、AES 暗号化が有効になっている場合は `true`、無効になっている場合は `false`が表示されます。
次の例は、SVM vs1のSMBサーバでAES暗号化タイプを有効にします。
cluster1::> vserver cifs security modify -vserver vs1 -is-aes-encryption-enabled true cluster1::> vserver cifs security show -vserver vs1 -fields is-aes-encryption-enabled vserver is-aes-encryption-enabled -------- ------------------------- vs1 true
次の例は、SVM vs2のSMBサーバでAES暗号化タイプを有効にします。管理者は、SMBサーバが所属するOUの管理ADクレデンシャルを入力するように求められます。
cluster1::> vserver cifs security modify -vserver vs2 -is-aes-encryption-enabled true Info: In order to enable SMB AES encryption, the password for the CIFS server machine account must be reset. Enter the username and password for the SMB domain "EXAMPLE.COM". Enter your user ID: administrator Enter your password: cluster1::> vserver cifs security show -vserver vs2 -fields is-aes-encryption-enabled vserver is-aes-encryption-enabled -------- ------------------------- vs2 true