Kerberosベースの通信用のAES暗号化の有効化または無効化
変更を提案
PDF
Kerberosベースの通信で最も強力なセキュリティを活用するには、SMBサーバでAES-256暗号化とAES-128暗号化を使用する必要があります。ONTAP 9.13.1以降では、AES暗号化がデフォルトで有効になります。SMBサーバでActive Directory(AD)KDCとのKerberosベースの通信にAES暗号化タイプを選択したくない場合は、AES暗号化を無効にすることができます。
AES暗号化がデフォルトで有効になっているかどうかと、暗号化タイプを指定できるかどうかは、ONTAPのバージョンによって異なります。
| ONTAPのバージョン | AES暗号化が有効になっている… | 暗号化タイプを指定できますか。 |
|---|---|---|
9.13.1以降 |
デフォルト |
〇 |
9.12.1 |
シユトウ |
〇 |
9.11.1以前 |
シユトウ |
いいえ |
ONTAP 9 .12.1以降では、AES暗号化はオプションを使用して有効または無効にでき -advertised-enc-types`ます。このオプションを使用すると、AD KDCにアドバタイズされる暗号化タイプを指定できます。デフォルトの設定はと `des`です `rc4`が、AESタイプを指定するとAES暗号化が有効になります。オプションを使用して、弱いRC4およびDES暗号化タイプを明示的に無効にすることもできます。AES.11.1以前でONTAP 9は、オプションを使用してAES暗号化を有効または無効にする必要があります `-is-aes-encryption-enabled。暗号化タイプを指定することはできません。
セキュリティを強化するために、Storage Virtual Machine(SVM)はAESセキュリティオプションが変更されるたびにAD内のマシンアカウントのパスワードを変更します。パスワードを変更するには、マシンアカウントを含む組織単位(OU)の管理ADクレデンシャルが必要になる場合があります。
IDが保持されないディザスタリカバリデスティネーションとしてSVMが設定されている場合(SnapMirrorの設定でオプションがに設定されている false`場合 `-identity-preserve)、デフォルト以外のSMBサーバセキュリティ設定はデスティネーションにレプリケートされません。ソースSVMでAES暗号化を有効にした場合は、AES暗号化を手動で有効にする必要があります。
-
次のいずれかを実行します。
Kerberos 通信の AES 暗号化タイプの設定 入力するコマンド 有効
vserver cifs security modify -vserver vserver_name -advertised-enc-types aes-128,aes-256無効にする
vserver cifs security modify -vserver vserver_name -advertised-enc-types des,rc4*注:*この `-is-aes-encryption-enabled`オプションはONTAP 9 12.1では廃止されており、今後のリリースで削除される可能性があります。
-
AES暗号化が必要に応じて有効または無効になっていることを確認します。
vserver cifs security show -vserver vserver_name -fields advertised-enc-types
次の例は、SVM vs1のSMBサーバでAES暗号化タイプを有効にします。
cluster1::> vserver cifs security modify -vserver vs1 -advertised-enc-types aes-128,aes-256 cluster1::> vserver cifs security show -vserver vs1 -fields advertised-enc-types vserver advertised-enc-types -------- -------------------- vs1 aes-128,aes-256
次の例は、SVM vs2のSMBサーバでAES暗号化タイプを有効にします。管理者は、SMBサーバが所属するOUの管理ADクレデンシャルを入力するように求められます。
cluster1::> vserver cifs security modify -vserver vs2 -advertised-enc-types aes-128,aes-256 Info: In order to enable SMB AES encryption, the password for the SMB server machine account must be reset. Enter the username and password for the SMB domain "EXAMPLE.COM". Enter your user ID: administrator Enter your password: cluster1::> vserver cifs security show -vserver vs2 -fields advertised-enc-types vserver advertised-enc-types -------- -------------------- vs2 aes-128,aes-256
-
次のいずれかを実行します。
Kerberos 通信の AES 暗号化タイプの設定 入力するコマンド 有効
vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled true無効にする
vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled false -
AES暗号化が必要に応じて有効または無効になっていることを確認します。
vserver cifs security show -vserver vserver_name -fields is-aes-encryption-enabled`is-aes-encryption-enabled`フィールドには、AES暗号化が有効になっているかどうかと `false`無効になっているかが表示されます `true`。
次の例は、SVM vs1のSMBサーバでAES暗号化タイプを有効にします。
cluster1::> vserver cifs security modify -vserver vs1 -is-aes-encryption-enabled true cluster1::> vserver cifs security show -vserver vs1 -fields is-aes-encryption-enabled vserver is-aes-encryption-enabled -------- ------------------------- vs1 true
次の例は、SVM vs2のSMBサーバでAES暗号化タイプを有効にします。管理者は、SMBサーバが所属するOUの管理ADクレデンシャルを入力するように求められます。
cluster1::> vserver cifs security modify -vserver vs2 -is-aes-encryption-enabled true Info: In order to enable SMB AES encryption, the password for the CIFS server machine account must be reset. Enter the username and password for the SMB domain "EXAMPLE.COM". Enter your user ID: administrator Enter your password: cluster1::> vserver cifs security show -vserver vs2 -fields is-aes-encryption-enabled vserver is-aes-encryption-enabled -------- ------------------------- vs2 true