为基于 Kerberos 的通信启用或禁用 AES 加密

利用基于 Kerberos 的通信的最强安全性,可以在 CIFS 服务器上启用 AES-256 和 AES-128 加密。如果不需要 CIFS 服务器为与 Active Directory (AD) KDC 进行的基于 Kerberos 的通信选择 AES 加密类型,您可以禁用 AES 加密。默认情况下,AES 加密处于禁用状态。

关于本任务

为了增强安全性,每次修改 AES 安全选项时,Storage Virtual Machine (SVM) 都会更改 AD 中的计算机帐户密码。更改密码可能需要包含计算机帐户的组织单位 (OU) 的管理 AD 凭据。

如果 SVM 配置为不保留身份(在 SnapMirror 配置中,-identity-preserve 选项设置为 false)的灾难恢复目标,则系统不会将非默认 CIFS 服务器安全设置复制到目标。如果已在源 SVM 上启用 AES 加密,在目标变为读-写(SnapMirror 关系中断)后,必须在目标 SVM 上手动启用它。

步骤

  1. 请执行以下操作之一:
    Kerberos 通信的 AES 加密类型 命令
    已启用 vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled true
    已禁用 vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled false
  2. 验证是否已根据需要启用或禁用 AES 加密:vserver cifs security show -vserver vserver_name -fields is-aes-encryption-enabled
    如果已启用 AES 加密,则 is-aes-encryption-enabled 字段显示为 true,如果已禁用 AES 加密,则上述字段显示为 false

示例

以下示例为 SVM vs1 上的 CIFS 服务器启用 AES 加密类型:

cluster1::> vserver cifs security modify -vserver vs1 -is-aes-encryption-enabled true

cluster1::> vserver cifs security show -vserver vs1 -fields is-aes-encryption-enabled
vserver  is-aes-encryption-enabled
-------- -------------------------
vs1      true

以下示例为 SVM vs2 上的 CIFS 服务器启用 AES 加密类型。系统将提示管理员输入包含 CIFS 服务器的 OU 的管理 AD 凭据。

cluster1::> vserver cifs security modify -vserver vs2 -is-aes-encryption-enabled true

Info: In order to enable CIFS AES encryption, the password for the CIFS server 
machine account must be reset. Enter the username and password for the 
CIFS domain "EXAMPLE.COM". 

Enter your user ID: administrator 

Enter your password: 


cluster1::> vserver cifs security show -vserver vs2 -fields is-aes-encryption-enabled
vserver  is-aes-encryption-enabled
-------- -------------------------
vs2      true