設定NFS Kerberos允許的加密類型
建議變更
PDF
根據預設ONTAP 、支援下列NFS Kerberos加密類型:DE、3DES、AES-128和AES-256。您可以使用設定每個 SVM 的允許加密類型、以符合特定環境的安全需求 vserver nfs modify 命令 -permitted-enc-types 參數。
為了達到最大的用戶端相容性、ONTAP 根據預設、支援弱的Des和強式AES加密。例如、如果您想要提高安全性、而且環境支援、可以使用此程序來停用Des和3DES、並要求用戶端僅使用AES加密。
您應該使用目前最強大的加密功能。對於支援支援、也就是AES-256。ONTAP您應該向您的kdc管理員確認您的環境支援此加密層級。
-
在SVM上完全啟用或停用AES(AES-128和AES-256)會造成中斷、因為它會破壞原始的Des主體/索引標籤檔案、因此需要在SVM的所有生命體上停用Kerberos組態。
在進行此變更之前、您應該確認NFS用戶端不依賴SVM上的AES加密。
-
啟用或停用Des或3DES不需要變更lifs上的Kerberos組態。
-
啟用或停用所需的允許加密類型:
如果您要啟用或停用… 請遵循下列步驟… DE或3DES
-
設定 SVM 的 NFS Kerberos 允許加密類型:
vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types以逗號分隔多種加密類型。
-
確認變更成功:
vserver nfs show -vserver vserver_name -fields permitted-enc-types
AES-128 或 AES-256
-
識別啟用哪個 SVM 和 LIF Kerberos :
vserver nfs kerberos interface show -
在要修改其 NFS Kerberos 允許加密類型的 SVM 上、停用所有生命負載上的 Kerberos :
vserver nfs kerberos interface disable -lif lif_name -
設定 SVM 的 NFS Kerberos 允許加密類型:
vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types以逗號分隔多種加密類型。
-
確認變更成功:
vserver nfs show -vserver vserver_name -fields permitted-enc-types -
在 SVM 上的所有生命上重新啟用 Kerberos :
vserver nfs kerberos interface enable -lif lif_name -spn service_principal_name -
驗證是否已在所有生命中啓用 Kerberos :
vserver nfs kerberos interface show
-