تكوين تشفير NFSv4.1 Kerberos لملفات Azure NetApp

مقالة
06/24/2024

تدعم Azure NetApp Files تشفير عميل NFS في أوضاع Kerberos (krb5 وkrb5i وkrb5p) مع تشفير AES-256. توضح هذه المقالة التكوينات المطلوبة لاستخدام وحدة تخزين NFSv4.1 مع تشفير Kerberos.

المتطلبات

تنطبق المتطلبات التالية على تشفير عميل NFSv4.1:

خدمات مجال Active Directory (AD DS) أو اتصال Microsoft Entra Domain Services لتسهيل إصدار تذاكر Kerberos
إنشاء سجل DNS A/PTR لكل من العميل وعناوين IP لخادم Azure NetApp Files NFS
عميل Linux: توفر هذه المقالة إرشادات لعملاء RHEL وUbuntu. سيعمل العملاء الآخرون مع خطوات تكوين مماثلة.
الوصول إلى خادم NTP: يمكنك استخدام إحدى وحدات تحكم مجال Active Directory (AD DC) شائعة الاستخدام.
للاستفادة من مصادقة مستخدم المجال أو LDAP، تأكد من تمكين وحدات تخزين NFSv4.1 ل LDAP. راجع تكوين ADDS LDAP مع المجموعات الموسعة.
تأكد من أن أسماء المستخدمين الأساسية لحسابات المستخدمين لا تنتهي برمز $ (على سبيل المثال، user$@REALM.COM).
بالنسبة لحسابات الخدمة المدارة للمجموعة (gMSA)، تحتاج إلى إزالة اللاحقة $ من اسم المستخدم الأساسي قبل أن يمكن استخدام الحساب مع ميزة Azure NetApp Files Kerberos.

إنشاء وحدة تخزين NFS Kerberos

اتبع الخطوات في إنشاء وحدة تخزين NFS لملفات Azure NetApp لإنشاء وحدة تخزين NFSv4.1.

في صفحة إنشاء وحدة تخزين، قم بتعيين إصدار NFS إلى NFSv4.1، ثم قم بتعيين Kerberos إلى Enabled.

هام

لا يمكنك تعديل تحديد تمكين Kerberos بعد إنشاء وحدة التخزين.
حدد نهج التصدير لمطابقة المستوى المطلوب من الوصول وخيار الأمان (Kerberos 5 أو Kerberos 5i أو Kerberos 5p) لوحدات التخزين.

للحصول على تأثير أداء Kerberos، راجع تأثير أداء Kerberos على NFSv4.1.

يمكنك أيضا تعديل أساليب أمان Kerberos وحدة التخزين بالنقر فوق نهج التصدير في جزء التنقل Azure NetApp Files.
انقر فوق Review + Create لإنشاء وحدة تخزين NFSv4.1.

تكوين مدخل Microsoft Azure

اتبع الإرشادات الواردة في إنشاء اتصال Active Directory.

يتطلب Kerberos إنشاء حساب كمبيوتر واحد على الأقل في Active Directory. يتم استخدام معلومات الحساب التي تقدمها لإنشاء الحسابات لكل من وحدات تخزين SMB وNFSv4.1 Kerberos. يتم إنشاء هذا الجهاز تلقائيا أثناء إنشاء وحدة التخزين.
ضمن Kerberos Realm، أدخل اسم خادم AD وعنوان IP KDC.

يمكن أن يكون AD Server وKDC IP نفس الخادم. يتم استخدام هذه المعلومات لإنشاء حساب كمبيوتر SPN المستخدم بواسطة Azure NetApp Files. بعد إنشاء حساب الكمبيوتر، ستستخدم Azure NetApp Files سجلات خادم DNS لتحديد موقع خوادم KDC إضافية حسب الحاجة.
انقر فوق الانضمام لحفظ التكوين.

تكوين اتصال Active Directory

ينشئ تكوين NFSv4.1 Kerberos حسابين للكمبيوتر في Active Directory:

حساب كمبيوتر لمشاركات SMB
حساب كمبيوتر ل NFSv4.1-- يمكنك تحديد هذا الحساب عن طريق البادئة NFS-.

بعد إنشاء وحدة التخزين NFSv4.1 Kerberos الأولى، قم بتعيين نوع التشفير لحساب الكمبيوتر باستخدام أمر PowerShell التالي:

Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256

تكوين عميل NFS

اتبع الإرشادات في تكوين عميل NFS لملفات Azure NetApp لتكوين عميل NFS.

تحميل وحدة تخزين NFS Kerberos

من صفحة وحدات التخزين، حدد وحدة تخزين NFS التي تريد تحميلها.
حدد تحميل الإرشادات من وحدة التخزين لعرض الإرشادات.

على سبيل المثال:
إنشاء الدليل (نقطة التحميل) لوحدات التخزين الجديدة.
تعيين نوع التشفير الافتراضي إلى AES 256 لحساب الكمبيوتر:
Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT
- تحتاج إلى تشغيل هذا الأمر مرة واحدة فقط لكل حساب كمبيوتر.
- يمكنك تشغيل هذا الأمر من وحدة تحكم مجال أو من كمبيوتر شخصي مثبت عليه RSAT .
- $NFSCOMPUTERACCOUNT المتغير هو حساب الكمبيوتر الذي تم إنشاؤه في Active Directory عند نشر وحدة تخزين Kerberos. هذا هو الحساب مسبوقا ب NFS-.
- $ANFSERVICEACCOUNT المتغير هو حساب مستخدم Active Directory غير مميز مع عناصر تحكم مفوضة على الوحدة التنظيمية حيث تم إنشاء حساب الكمبيوتر.
تحميل وحدة التخزين على المضيف:

sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT
- $ANFEXPORT المتغير هو المسار الموجود host:/export في إرشادات التحميل.
- $ANFMOUNTPOINT المتغير هو المجلد الذي أنشأه المستخدم على مضيف Linux.

تأثير أداء Kerberos على NFSv4.1

يجب أن تفهم خيارات الأمان المتوفرة لوحدات تخزين NFSv4.1، ومتجهات الأداء المختبرة، وتأثير الأداء المتوقع ل kerberos. راجع تأثير أداء Kerberos على وحدات تخزين NFSv4.1 للحصول على التفاصيل.

مشاركة عبر