Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

为基于 Kerberos 的通信启用或禁用 AES 加密

贡献者
PDF

要利用基于Kerberos的通信的最强安全性、您应在SMB服务器上使用AES-256和AES-128加密。从ONTAP 9.131开始、默认情况下会启用AES加密。 如果不希望SMB服务器为与Active Directory (AD) KDC进行基于Kerberos的通信选择AES加密类型、则可以禁用AES加密。

默认情况下是否启用AES加密以及是否可以指定加密类型取决于您的ONTAP版本。

ONTAP 版本 AES加密已启用…​ 是否可以指定加密类型?

9.13.1及更高版本

默认情况下。

是的。

9.12.1.

手动

是的。

9.11.1及更早版本

手动

从ONTAP 9.12.1开始、使用启用和禁用AES加密 -advertised-enc-types 选项、用于指定向AD KDC公布的加密类型。默认设置为 rc4des、但如果指定了AES类型、则会启用AES加密。您还可以使用选项显式禁用较弱的RC4和DES加密类型。在ONTAP 9.11.1及更早版本中、必须使用 -is-aes-encryption-enabled 用于启用和禁用AES加密的选项、并且无法指定加密类型。

为了增强安全性, Storage Virtual Machine ( SVM )会在每次修改 AES 安全选项时更改 AD 中的计算机帐户密码。更改密码可能需要包含计算机帐户的组织单位( OU )的管理 AD 凭据。

如果将SVM配置为不保留身份的灾难恢复目标( -identity-preserve 选项设置为 false 在SnapMirror配置中)、非默认SMB服务器安全设置不会复制到目标。如果已在源SVM上启用AES加密、则必须手动启用它。

示例 1. 步骤
ONTAP 9.12.1及更高版本

  1. 执行以下操作之一:

    Kerberos 通信的 AES 加密类型 输入命令 …​

    enabled

    vserver cifs security modify -vserver vserver_name -advertised-enc-types aes-128,aes-256

    已禁用

    vserver cifs security modify -vserver vserver_name -advertised-enc-types des,rc4

    注意: -is-aes-encryption-enabled 选项在ONTAP 9.12.1中已弃用、可能会在更高版本中删除。

  2. 验证是否已根据需要启用或禁用AES加密: vserver cifs security show -vserver vserver_name -fields advertised-enc-types

示例

以下示例将为SVM vs1上的SMB服务器启用AES加密类型:

cluster1::> vserver cifs security modify -vserver vs1 -advertised-enc-types aes-128,aes-256

cluster1::> vserver cifs security show -vserver vs1 -fields advertised-enc-types

vserver  advertised-enc-types
-------- --------------------
vs1      aes-128,aes-256

以下示例为SVM VS2上的SMB服务器启用AES加密类型。系统会提示管理员输入包含SMB服务器的OU的管理AD凭据。

cluster1::> vserver cifs security modify -vserver vs2 -advertised-enc-types aes-128,aes-256

Info: In order to enable SMB AES encryption, the password for the SMB server
machine account must be reset. Enter the username and password for the
SMB domain "EXAMPLE.COM".

Enter your user ID: administrator

Enter your password:

cluster1::> vserver cifs security show -vserver vs2 -fields advertised-enc-types

vserver  advertised-enc-types
-------- --------------------
vs2      aes-128,aes-256
ONTAP 9.11.1及更早版本

  1. 执行以下操作之一:

    Kerberos 通信的 AES 加密类型 输入命令 …​

    enabled

    vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled true

    已禁用

    vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled false

  2. 验证是否已根据需要启用或禁用AES加密: vserver cifs security show -vserver vserver_name -fields is-aes-encryption-enabled

    is-aes-encryption-enabled 字段 true 如果启用了AES加密、则为和 false 如果已禁用。

示例

以下示例将为SVM vs1上的SMB服务器启用AES加密类型:

cluster1::> vserver cifs security modify -vserver vs1 -is-aes-encryption-enabled true

cluster1::> vserver cifs security show -vserver vs1 -fields is-aes-encryption-enabled

vserver  is-aes-encryption-enabled
-------- -------------------------
vs1      true

以下示例为SVM VS2上的SMB服务器启用AES加密类型。系统会提示管理员输入包含SMB服务器的OU的管理AD凭据。

cluster1::> vserver cifs security modify -vserver vs2 -is-aes-encryption-enabled true

Info: In order to enable SMB AES encryption, the password for the CIFS server
machine account must be reset. Enter the username and password for the
SMB domain "EXAMPLE.COM".

Enter your user ID: administrator

Enter your password:

cluster1::> vserver cifs security show -vserver vs2 -fields is-aes-encryption-enabled

vserver  is-aes-encryption-enabled
-------- -------------------------
vs2      true
相关信息

"域用户无法使用域通道登录集群"