Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

啟用或停用Kerberos型通訊的AES加密

貢獻者
PDF

若要利用以 Kerberos 為基礎的通訊所提供的最強大安全性、您應該在 SMB 伺服器上使用 AES-256 和 AES-128 加密。從 ONTAP 9.13.1 開始、預設會啟用 AES 加密。 如果您不希望SMB伺服器選取AES加密類型、以便與Active Directory(AD)kdc進行Kerberos型通訊、您可以停用AES加密。

是否預設啟用 AES 加密、以及您是否可以選擇指定加密類型、取決於您的 ONTAP 版本。

版本ONTAP AES 加密已啟用 …​ 您可以指定加密類型嗎?

9.13.1 及更新版本

依預設

是的

9.12.1

手動

是的

9.11.1 及更早版本

手動

從ONTAP 功能支援的9.12.1開始、AES加密會使用啟用和停用 -advertised-enc-types 選項、可讓您指定通告給AD Kdc的加密類型。預設設定為 rc4des,但當指定AES類型時,將會啟用AES加密。您也可以使用選項來明確停用較弱的RC4和DES加密類型。在 ONTAP 9.11.1 及更早版本中、您必須使用 -is-aes-encryption-enabled 啟用和停用AES加密的選項、無法指定加密類型。

為了增強安全性、儲存虛擬機器(SVM)會在每次修改AES安全性選項時、變更AD中的機器帳戶密碼。變更密碼可能需要包含機器帳戶的組織單位(OU)的系統管理AD認證。

如果 SVM 設定為災難恢復目的地、而該目的地不會保留身分識別( -identity-preserve 選項設定為 false 在 SnapMirror 組態中)、非預設 SMB 伺服器安全性設定不會複寫到目的地。如果您已在來源 SVM 上啟用 AES 加密、則必須手動啟用。

範例 1. 步驟
更新版本ONTAP

  1. 執行下列其中一項動作:

    如果您希望Kerberos通訊的AES加密類型…​ 輸入命令…​

    已啟用

    vserver cifs security modify -vserver vserver_name -advertised-enc-types aes-128,aes-256

    已停用

    vserver cifs security modify -vserver vserver_name -advertised-enc-types des,rc4

    附註: The -is-aes-encryption-enabled 選項在ONTAP 更新版本中已過時、可能會在更新版本中移除。

  2. 確認已視需要啟用或停用AES加密: vserver cifs security show -vserver vserver_name -fields advertised-enc-types

範例

以下範例可為 SVM VS1 上的 SMB 伺服器啟用 AES 加密類型:

cluster1::> vserver cifs security modify -vserver vs1 -advertised-enc-types aes-128,aes-256

cluster1::> vserver cifs security show -vserver vs1 -fields advertised-enc-types

vserver  advertised-enc-types
-------- --------------------
vs1      aes-128,aes-256

下列範例可為SVM VS2上的SMB伺服器啟用AES加密類型。系統會提示系統管理員輸入包含SMB伺服器之OU的管理AD認證。

cluster1::> vserver cifs security modify -vserver vs2 -advertised-enc-types aes-128,aes-256

Info: In order to enable SMB AES encryption, the password for the SMB server
machine account must be reset. Enter the username and password for the
SMB domain "EXAMPLE.COM".

Enter your user ID: administrator

Enter your password:

cluster1::> vserver cifs security show -vserver vs2 -fields advertised-enc-types

vserver  advertised-enc-types
-------- --------------------
vs2      aes-128,aes-256
更新版本ONTAP

  1. 執行下列其中一項動作:

    如果您希望Kerberos通訊的AES加密類型…​ 輸入命令…​

    已啟用

    vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled true

    已停用

    vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled false

  2. 確認已視需要啟用或停用AES加密: vserver cifs security show -vserver vserver_name -fields is-aes-encryption-enabled

    is-aes-encryption-enabled 欄位隨即顯示 true 如果已啟用 AES 加密、且 false 如果已停用。

範例

以下範例可為 SVM VS1 上的 SMB 伺服器啟用 AES 加密類型:

cluster1::> vserver cifs security modify -vserver vs1 -is-aes-encryption-enabled true

cluster1::> vserver cifs security show -vserver vs1 -fields is-aes-encryption-enabled

vserver  is-aes-encryption-enabled
-------- -------------------------
vs1      true

下列範例可為SVM VS2上的SMB伺服器啟用AES加密類型。系統會提示系統管理員輸入包含SMB伺服器之OU的管理AD認證。

cluster1::> vserver cifs security modify -vserver vs2 -is-aes-encryption-enabled true

Info: In order to enable SMB AES encryption, the password for the CIFS server
machine account must be reset. Enter the username and password for the
SMB domain "EXAMPLE.COM".

Enter your user ID: administrator

Enter your password:

cluster1::> vserver cifs security show -vserver vs2 -fields is-aes-encryption-enabled

vserver  is-aes-encryption-enabled
-------- -------------------------
vs2      true
相關資訊

"網域使用者無法使用網域通道登入叢集"