日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Kerberos ベースの通信用の AES 暗号化を有効または無効にします

寄稿者 netapp-ahibbard

Kerberos ベースの通信で最大限のセキュリティを確保するには、 SMB サーバで AES-256 および AES-128 暗号化を有効にします。Active Directory ( AD ) KDC との Kerberos ベースの通信に AES 暗号化タイプを SMB サーバで選択したくない場合は、 AES 暗号化を無効にすることができます。デフォルトでは、 AES 暗号化は無効になっています。

セキュリティを強化するため、 Storage Virtual Machine ( SVM )は AES セキュリティオプションが変更されるたびに、 AD 内のマシンアカウントのパスワードを変更します。パスワードの変更には、マシンアカウントが含まれる組織単位( OU )の管理 AD クレデンシャルが必要になることがあります。

ID が保持されないディザスタリカバリデスティネーションとして SVM が設定されている場合( SnapMirror 構成で「 -identity-preserve 」オプションが false に設定されている場合)、デフォルト以外の SMB サーバセキュリティ設定はデスティネーションにレプリケートされません。ソース SVM で AES 暗号化を有効にしている場合は、デスティネーションが読み取り / 書き込み可能になったあとで( SnapMirror 関係が解除されたあとで)、デスティネーション SVM で AES 暗号化を手動で有効にする必要があります。

手順
  1. 次のいずれかを実行します。

    Kerberos 通信の AES 暗号化タイプの設定 入力するコマンド

    有効

    vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled true

    無効

    vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled false

  2. AES 暗号化が必要に応じて有効または無効になっていることを確認します。 vserver cifs security show -vserver vserver_name -fields is-aes-encryption-enabled

    [is-aes-encryption-enabled] フィールドには、 AES 暗号化が有効になっている場合は「 true 」が、無効になっている場合は「 false 」が表示されます。

次の例は、 SVM vs1 の CIFS サーバで AES 暗号化タイプを有効にします。

cluster1::> vserver cifs security modify -vserver vs1 -is-aes-encryption-enabled true

cluster1::> vserver cifs security show -vserver vs1 -fields is-aes-encryption-enabled
vserver  is-aes-encryption-enabled
-------- -------------------------
vs1      true

次の例は、 SVM vs2 の SMB サーバで AES 暗号化タイプを有効にします。管理者は、 SMB サーバを含む OU の管理 AD クレデンシャルを入力するように求められます。

cluster1::> vserver cifs security modify -vserver vs2 -is-aes-encryption-enabled true

Info: In order to enable SMB AES encryption, the password for the SMB server
machine account must be reset. Enter the username and password for the
SMB domain "EXAMPLE.COM".

Enter your user ID: administrator

Enter your password:


cluster1::> vserver cifs security show -vserver vs2 -fields is-aes-encryption-enabled
vserver  is-aes-encryption-enabled
-------- -------------------------
vs2      true