为 ONTAP SVM 配置 NFS Kerberos 允许的加密类型
建议更改
PDF
默认情况下, ONTAP 支持以下 NFS Kerberos 加密类型: DES , 3DES , AES-128 和 AES-256 。您可以使用为每个SVM配置允许的加密类型、以满足特定环境的安全要求 vserver nfs modify 命令 -permitted-enc-types 参数。
为了最大程度地实现客户端兼容性, ONTAP 默认同时支持弱 DES 和强 AES 加密。例如,这意味着,如果您要提高安全性,并且您的环境支持此安全性,则可以使用此操作步骤禁用 DES 和 3DES ,并要求客户端仅使用 AES 加密。
您应使用可用的最强加密。对于 ONTAP ,即 AES-256 。您应向 KDC 管理员确认您的环境支持此加密级别。
-
在 SVM 上完全启用或禁用 AES ( AES-128 和 AES-256 )会造成中断,因为它会销毁原始 DES 主体 /keytab 文件,从而要求在 SVM 的所有 LIF 上禁用 Kerberos 配置。
在进行此更改之前,您应验证 NFS 客户端是否不依赖于 SVM 上的 AES 加密。
-
启用或禁用 DES 或 3DES 不需要对 LIF 上的 Kerberos 配置进行任何更改。
-
启用或禁用所需的允许加密类型:
要启用或禁用的项 请按照以下步骤操作 … DES 或 3DES
-
配置SVM的NFS Kerberos允许的加密类型:
vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types使用逗号分隔多种加密类型。
-
验证更改是否成功:
vserver nfs show -vserver vserver_name -fields permitted-enc-types
AES-128或AES-256
-
确定启用了Kerberos的SVM和LIF:
vserver nfs kerberos interface show -
在要修改NFS Kerberos允许的加密类型的SVM上的所有SVM上禁用Kerberos:
vserver nfs kerberos interface disable -lif lif_name -
配置SVM的NFS Kerberos允许的加密类型:
vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types使用逗号分隔多种加密类型。
-
验证更改是否成功:
vserver nfs show -vserver vserver_name -fields permitted-enc-types -
在SVM上的所有SVM上重新启用Kerberos:
vserver nfs kerberos interface enable -lif lif_name -spn service_principal_name -
验证是否已在所有生命周期管理器上启用Kerberos:
vserver nfs kerberos interface show
-