Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar os tipos de criptografia permitidos do NFS Kerberos

Colaboradores

Por padrão, o ONTAP oferece suporte aos seguintes tipos de criptografia para o Kerberos NFS: DES, 3DES, AES-128 e AES-256. Você pode configurar os tipos de criptografia permitidos para cada SVM de acordo com os requisitos de segurança do seu ambiente específico usando o vserver nfs modify comando com o -permitted-enc-types parâmetro.

Sobre esta tarefa

Para maior compatibilidade com clientes, o ONTAP suporta criptografia DES fraca e AES forte por padrão. Isso significa, por exemplo, que se você quiser aumentar a segurança e seu ambiente a suportar, você pode usar este procedimento para desativar DES e 3DES e exigir que os clientes usem apenas criptografia AES.

Você deve usar a criptografia mais forte disponível. Para ONTAP, isso é AES-256. Deve confirmar com o administrador do KDC que este nível de encriptação é suportado no seu ambiente.

  • Ativar ou desativar totalmente AES (AES-128 e AES-256) em SVMs é disruptivo porque destrói o arquivo DES principal/keytab original, exigindo assim que a configuração Kerberos seja desativada em todos os LIFs para o SVM.

    Antes de fazer essa alteração, você deve verificar se os clientes NFS não dependem da criptografia AES no SVM.

  • Ativar ou desativar DES ou 3DES não requer alterações na configuração Kerberos em LIFs.

Passo
  1. Ative ou desative o tipo de encriptação permitido que pretende:

    Se quiser ativar ou desativar…​ Siga estes passos…​

    DES ou 3DES

    1. Configure os tipos de criptografia permitidos do NFS Kerberos da SVM vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types

      Separe vários tipos de criptografia com uma vírgula.

    2. Verifique se a alteração foi bem-sucedida vserver nfs show -vserver vserver_name -fields permitted-enc-types

    AES-128 ou AES-256

    1. Identifique em que SVM e LIF Kerberos estão ativados vserver nfs kerberos interface show

    2. Desative o Kerberos em todos os LIFs no SVM cujo tipo de criptografia NFS Kerberos permitido você deseja modificar vserver nfs kerberos interface disable -lif lif_name

    3. Configure os tipos de criptografia permitidos do NFS Kerberos da SVM vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types

      Separe vários tipos de criptografia com uma vírgula.

    4. Verifique se a alteração foi bem-sucedida vserver nfs show -vserver vserver_name -fields permitted-enc-types

    5. Reative o Kerberos em todos os LIFs na SVM vserver nfs kerberos interface enable -lif lif_name -spn service_principal_name

    6. Verifique se o Kerberos está ativado em todos os LIFs vserver nfs kerberos interface show