简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置 NFS Kerberos 允许的加密类型

提供者

默认情况下, ONTAP 支持以下 NFS Kerberos 加密类型: DES , 3DES , AES-128 和 AES-256 。您可以使用 vserver nfs modify 命令和 ` perfed-enc-types` 参数为每个 SVM 配置允许的加密类型,以满足特定环境的安全要求。

为了最大程度地实现客户端兼容性, ONTAP 默认同时支持弱 DES 和强 AES 加密。例如,这意味着,如果您要提高安全性,并且您的环境支持此安全性,则可以使用此操作步骤禁用 DES 和 3DES ,并要求客户端仅使用 AES 加密。

您应使用可用的最强加密。对于 ONTAP ,即 AES-256 。您应向 KDC 管理员确认您的环境支持此加密级别。

  • 在 SVM 上完全启用或禁用 AES ( AES-128 和 AES-256 )会造成中断,因为它会销毁原始 DES 主体 /keytab 文件,从而要求在 SVM 的所有 LIF 上禁用 Kerberos 配置。

    在进行此更改之前,您应验证 NFS 客户端是否不依赖于 SVM 上的 AES 加密。

  • 启用或禁用 DES 或 3DES 不需要对 LIF 上的 Kerberos 配置进行任何更改。

步骤
  1. 启用或禁用所需的允许加密类型:

    要启用或禁用的项 请按照以下步骤操作 …​

    DES 或 3DES

    1. 配置 SVM 的 NFS Kerberos 允许的加密类型: + vserver nfs modify -vserver vserver_name -perfened-enc-types encryption_types

      使用逗号分隔多种加密类型。

    2. 验证更改是否成功: + vserver nfs show -vserver vserver_name -fields permitted-enc-types

    AES-128 或 AES-256

    1. 确定启用了哪个 SVM 和 LIF Kerberos : + vserver nfs kerberos interface show

    2. 在要修改其 NFS Kerberos 允许的加密类型的 SVM 上的所有 LIF 上禁用 Kerberos : + vserver nfs kerberos interface disable -lif lif_name

    3. 配置 SVM 的 NFS Kerberos 允许的加密类型: + vserver nfs modify -vserver vserver_name -perfened-enc-types encryption_types

      使用逗号分隔多种加密类型。

    4. 验证更改是否成功: + vserver nfs show -vserver vserver_name -fields permitted-enc-types

    5. 在 SVM 上的所有 LIF 上重新启用 Kerberos : + vserver nfs kerberos interface enable -lif lif_name -SPN _service_principal 名称 _

    6. 验证是否已在所有 LIF 上启用 Kerberos : + vserver nfs kerberos interface show