版本資訊
啟用或停用Kerberos型通訊的AES加密
建議變更
-
此文件 PDF 的網站
-
NAS儲存管理
-
個別的 PDF 文件集合
Creating your file...
若要利用以 Kerberos 為基礎的通訊所提供的最強大安全性、您應該在 SMB 伺服器上使用 AES-256 和 AES-128 加密。從 ONTAP 9.13.1 開始、預設會啟用 AES 加密。 如果您不希望SMB伺服器選取AES加密類型、以便與Active Directory(AD)kdc進行Kerberos型通訊、您可以停用AES加密。
是否預設啟用 AES 加密、以及您是否可以選擇指定加密類型、取決於您的 ONTAP 版本。
| 版本ONTAP | AES 加密已啟用 … | 您可以指定加密類型嗎? |
|---|---|---|
9.13.1 及更新版本 |
依預設 |
是的 |
9.12.1 |
手動 |
是的 |
9.11.1 及更早版本 |
手動 |
否 |
從ONTAP 功能支援的9.12.1開始、AES加密會使用啟用和停用 -advertised-enc-types 選項、可讓您指定通告給AD Kdc的加密類型。預設設定為 rc4 和 des,但當指定AES類型時,將會啟用AES加密。您也可以使用選項來明確停用較弱的RC4和DES加密類型。在 ONTAP 9.11.1 及更早版本中、您必須使用 -is-aes-encryption-enabled 啟用和停用AES加密的選項、無法指定加密類型。
為了增強安全性、儲存虛擬機器(SVM)會在每次修改AES安全性選項時、變更AD中的機器帳戶密碼。變更密碼可能需要包含機器帳戶的組織單位(OU)的系統管理AD認證。
如果 SVM 設定為災難恢復目的地、而該目的地不會保留身分識別( -identity-preserve 選項設定為 false 在 SnapMirror 組態中)、非預設 SMB 伺服器安全性設定不會複寫到目的地。如果您已在來源 SVM 上啟用 AES 加密、則必須手動啟用。
-
執行下列其中一項動作:
如果您希望Kerberos通訊的AES加密類型… 輸入命令… 已啟用
vserver cifs security modify -vserver vserver_name -advertised-enc-types aes-128,aes-256已停用
vserver cifs security modify -vserver vserver_name -advertised-enc-types des,rc4附註: The
-is-aes-encryption-enabled選項在ONTAP 更新版本中已過時、可能會在更新版本中移除。 -
確認已視需要啟用或停用AES加密:
vserver cifs security show -vserver vserver_name -fields advertised-enc-types
以下範例可為 SVM VS1 上的 SMB 伺服器啟用 AES 加密類型:
cluster1::> vserver cifs security modify -vserver vs1 -advertised-enc-types aes-128,aes-256 cluster1::> vserver cifs security show -vserver vs1 -fields advertised-enc-types vserver advertised-enc-types -------- -------------------- vs1 aes-128,aes-256
下列範例可為SVM VS2上的SMB伺服器啟用AES加密類型。系統會提示系統管理員輸入包含SMB伺服器之OU的管理AD認證。
cluster1::> vserver cifs security modify -vserver vs2 -advertised-enc-types aes-128,aes-256 Info: In order to enable SMB AES encryption, the password for the SMB server machine account must be reset. Enter the username and password for the SMB domain "EXAMPLE.COM". Enter your user ID: administrator Enter your password: cluster1::> vserver cifs security show -vserver vs2 -fields advertised-enc-types vserver advertised-enc-types -------- -------------------- vs2 aes-128,aes-256
-
執行下列其中一項動作:
如果您希望Kerberos通訊的AES加密類型… 輸入命令… 已啟用
vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled true已停用
vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled false -
確認已視需要啟用或停用AES加密:
vserver cifs security show -vserver vserver_name -fields is-aes-encryption-enabled。
is-aes-encryption-enabled欄位隨即顯示true如果已啟用 AES 加密、且false如果已停用。
以下範例可為 SVM VS1 上的 SMB 伺服器啟用 AES 加密類型:
cluster1::> vserver cifs security modify -vserver vs1 -is-aes-encryption-enabled true cluster1::> vserver cifs security show -vserver vs1 -fields is-aes-encryption-enabled vserver is-aes-encryption-enabled -------- ------------------------- vs1 true
下列範例可為SVM VS2上的SMB伺服器啟用AES加密類型。系統會提示系統管理員輸入包含SMB伺服器之OU的管理AD認證。
cluster1::> vserver cifs security modify -vserver vs2 -is-aes-encryption-enabled true Info: In order to enable SMB AES encryption, the password for the CIFS server machine account must be reset. Enter the username and password for the SMB domain "EXAMPLE.COM". Enter your user ID: administrator Enter your password: cluster1::> vserver cifs security show -vserver vs2 -fields is-aes-encryption-enabled vserver is-aes-encryption-enabled -------- ------------------------- vs2 true