リリースノート
Kerberos ベースの通信用の AES 暗号化を有効または無効にします
変更を提案
-
このドキュメント ページのPDF
-
ボリューム管理
-
CLI を使用した論理ストレージ管理
-
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
-
SMB を使用したファイルアクセスの管理
-
-
-
PDF版ドキュメントのセット
Creating your file...
Kerberosベースの通信で最も強力なセキュリティを活用するには、SMBサーバでAES-256暗号化とAES-128暗号化を使用する必要があります。ONTAP 9.13.1以降では、AES暗号化がデフォルトで有効になります。 Active Directory ( AD ) KDC との Kerberos ベースの通信に AES 暗号化タイプを SMB サーバで選択したくない場合は、 AES 暗号化を無効にすることができます。
AES暗号化がデフォルトで有効になっているかどうか、および暗号化タイプを指定できるかどうかは、ONTAPのバージョンによって異なります。
| ONTAPバージョン | AES暗号化が有効になっている… | 暗号化タイプを指定できますか。 |
|---|---|---|
9.13.1以降 |
デフォルトでは |
はい。 |
9.12.1: |
手動で実行する |
はい。 |
9.11.1以前 |
手動で実行する |
いいえ |
ONTAP 9.12.1以降では、を使用してAES暗号化を有効または無効にします -advertised-enc-types オプション。AD KDCにアドバタイズする暗号化タイプを指定できます。デフォルト設定はです rc4 および des`ただし、AESタイプを指定すると、AES暗号化が有効になります。オプションを使用して、弱いRC4暗号化タイプとDES暗号化タイプを明示的に無効にすることもできます。ONTAP 9.11.1以前では、 `-is-aes-encryption-enabled AES暗号化を有効または無効にするオプションを指定できません。また、暗号化タイプは指定できません。
セキュリティを強化するため、 Storage Virtual Machine ( SVM )は AES セキュリティオプションが変更されるたびに、 AD 内のマシンアカウントのパスワードを変更します。パスワードの変更には、マシンアカウントが含まれる組織単位( OU )の管理 AD クレデンシャルが必要になることがあります。
IDが保持されないディザスタリカバリデスティネーションとしてSVMが設定されている場合( -identity-preserve オプションはに設定されています false SnapMirrorの設定では、デフォルト以外のSMBサーバセキュリティ設定はデスティネーションにレプリケートされません。ソースSVMでAES暗号化を有効にした場合は、AES暗号化を手動で有効にする必要があります。
-
次のいずれかを実行します。
Kerberos 通信の AES 暗号化タイプの設定 入力するコマンド 有効
vserver cifs security modify -vserver vserver_name -advertised-enc-types aes-128,aes-256無効
vserver cifs security modify -vserver vserver_name -advertised-enc-types des,rc4注:
-is-aes-encryption-enabledオプションはONTAP 9.12.1では廃止され、以降のリリースでは削除される可能性があります。 -
AES暗号化が設定どおり有効または無効になっていることを確認します。
vserver cifs security show -vserver vserver_name -fields advertised-enc-types
次の例は、SVM vs1のSMBサーバでAES暗号化タイプを有効にします。
cluster1::> vserver cifs security modify -vserver vs1 -advertised-enc-types aes-128,aes-256 cluster1::> vserver cifs security show -vserver vs1 -fields advertised-enc-types vserver advertised-enc-types -------- -------------------- vs1 aes-128,aes-256
次の例は、SVM vs2のSMBサーバでAES暗号化タイプを有効にします。管理者は、 SMB サーバを含む OU の管理 AD クレデンシャルを入力するように求められます。
cluster1::> vserver cifs security modify -vserver vs2 -advertised-enc-types aes-128,aes-256 Info: In order to enable SMB AES encryption, the password for the SMB server machine account must be reset. Enter the username and password for the SMB domain "EXAMPLE.COM". Enter your user ID: administrator Enter your password: cluster1::> vserver cifs security show -vserver vs2 -fields advertised-enc-types vserver advertised-enc-types -------- -------------------- vs2 aes-128,aes-256
-
次のいずれかを実行します。
Kerberos 通信の AES 暗号化タイプの設定 入力するコマンド 有効
vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled true無効
vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled false -
AES暗号化が設定どおり有効または無効になっていることを確認します。
vserver cifs security show -vserver vserver_name -fields is-aes-encryption-enabled。
is-aes-encryption-enabledフィールドが表示されますtrueAES暗号化が有効になっている場合とfalse無効になっている場合。
次の例は、SVM vs1のSMBサーバでAES暗号化タイプを有効にします。
cluster1::> vserver cifs security modify -vserver vs1 -is-aes-encryption-enabled true cluster1::> vserver cifs security show -vserver vs1 -fields is-aes-encryption-enabled vserver is-aes-encryption-enabled -------- ------------------------- vs1 true
次の例は、SVM vs2のSMBサーバでAES暗号化タイプを有効にします。管理者は、 SMB サーバを含む OU の管理 AD クレデンシャルを入力するように求められます。
cluster1::> vserver cifs security modify -vserver vs2 -is-aes-encryption-enabled true Info: In order to enable SMB AES encryption, the password for the CIFS server machine account must be reset. Enter the username and password for the SMB domain "EXAMPLE.COM". Enter your user ID: administrator Enter your password: cluster1::> vserver cifs security show -vserver vs2 -fields is-aes-encryption-enabled vserver is-aes-encryption-enabled -------- ------------------------- vs2 true