Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置 NFS Kerberos 允许的加密类型

贡献者
PDF

默认情况下, ONTAP 支持以下 NFS Kerberos 加密类型: DES , 3DES , AES-128 和 AES-256 。您可以使用为每个SVM配置允许的加密类型、以满足特定环境的安全要求 vserver nfs modify 命令 -permitted-enc-types 参数。

关于此任务

为了最大程度地实现客户端兼容性, ONTAP 默认同时支持弱 DES 和强 AES 加密。例如,这意味着,如果您要提高安全性,并且您的环境支持此安全性,则可以使用此操作步骤禁用 DES 和 3DES ,并要求客户端仅使用 AES 加密。

您应使用可用的最强加密。对于 ONTAP ,即 AES-256 。您应向 KDC 管理员确认您的环境支持此加密级别。

  • 在 SVM 上完全启用或禁用 AES ( AES-128 和 AES-256 )会造成中断,因为它会销毁原始 DES 主体 /keytab 文件,从而要求在 SVM 的所有 LIF 上禁用 Kerberos 配置。

    在进行此更改之前,您应验证 NFS 客户端是否不依赖于 SVM 上的 AES 加密。

  • 启用或禁用 DES 或 3DES 不需要对 LIF 上的 Kerberos 配置进行任何更改。

步骤

  1. 启用或禁用所需的允许加密类型:

    要启用或禁用的项 请按照以下步骤操作 …​

    DES 或 3DES

    1. 配置SVM的NFS Kerberos允许的加密类型:
      vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types

      使用逗号分隔多种加密类型。

    2. 验证更改是否成功:
      vserver nfs show -vserver vserver_name -fields permitted-enc-types

    AES-128或AES-256

    1. 确定启用了Kerberos的SVM和LIF:
      vserver nfs kerberos interface show

    2. 在要修改NFS Kerberos允许的加密类型的SVM上的所有SVM上禁用Kerberos:
      vserver nfs kerberos interface disable -lif lif_name

    3. 配置SVM的NFS Kerberos允许的加密类型:
      vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types

      使用逗号分隔多种加密类型。

    4. 验证更改是否成功:
      vserver nfs show -vserver vserver_name -fields permitted-enc-types

    5. 在SVM上的所有SVM上重新启用Kerberos:
      vserver nfs kerberos interface enable -lif lif_name -spn service_principal_name

    6. 验证是否已在所有生命周期管理器上启用Kerberos:
      vserver nfs kerberos interface show