Sdílet prostřednictvím


Konfigurace šifrování Kerberos NFSv4.1 pro Azure NetApp Files

Azure NetApp Files podporuje šifrování klienta NFS v režimech Kerberos (krb5, krb5i a krb5p) s šifrováním AES-256. Tento článek popisuje požadované konfigurace pro použití svazku NFSv4.1 s šifrováním Kerberos.

Požadavky

Pro šifrování klienta NFSv4.1 platí následující požadavky:

  • Doména služby Active Directory Services (AD DS) nebo připojení služby Microsoft Entra Domain Services za účelem usnadnění lístků protokolu Kerberos
  • Vytvoření záznamu DNS A/PTR pro IP adresy serveru NFS klienta i služby Azure NetApp Files
  • Klient Pro Linux: Tento článek obsahuje pokyny pro klienty RHEL a Ubuntu. Ostatní klienti budou pracovat s podobnými kroky konfigurace.
  • Přístup k serveru NTP: Můžete použít jeden z běžně používaných řadičů domény Doména služby Active Directory Řadič domény (AD DC).
  • Pokud chcete využít ověřování uživatelů domény nebo LDAP, ujistěte se, že jsou pro LDAP povolené svazky NFSv4.1. Viz Konfigurace modulu ADDS LDAP s rozšířenými skupinami.
  • Ujistěte se, že hlavní názvy uživatelů pro uživatelské účty nekončí $ symbolem (například user$@REALM.COM).
    U skupinových účtů spravovaných služeb (gMSA) je nutné odebrat koncové jméno $ hlavního názvu uživatele, aby bylo možné účet použít s funkcí Kerberos služby Azure NetApp Files.

Vytvoření svazku Kerberos nfs

  1. Postupujte podle kroků v části Vytvoření svazku NFS pro Azure NetApp Files a vytvořte svazek NFSv4.1.

    Na stránce Vytvořit svazek nastavte verzi systému souborů NFS na NFSv4.1 a nastavte Protokol Kerberos na Povoleno.

    Důležité

    Po vytvoření svazku nelze změnit výběr povolení protokolu Kerberos.

    Create NFSv4.1 Kerberos volume

  2. Vyberte Exportovat zásadu , aby odpovídala požadované úrovni přístupu a zabezpečení svazku (Kerberos 5, Kerberos 5i nebo Kerberos 5p).

    Vliv protokolu Kerberos na výkon najdete v tématu Dopad protokolu Kerberos na protokol Kerberos na NFSv4.1.

    Metody zabezpečení protokolu Kerberos pro svazek můžete také upravit kliknutím na Exportovat zásady v navigačním podokně Azure NetApp Files.

  3. Kliknutím na Zkontrolovat a vytvořit vytvořte svazek NFSv4.1.

Konfigurace webu Azure Portal

  1. Postupujte podle pokynů v tématu Vytvoření připojení ke službě Active Directory.

    Protokol Kerberos vyžaduje, abyste ve službě Active Directory vytvořili aspoň jeden účet počítače. Informace o účtu, které zadáte, slouží k vytvoření účtů pro svazky Kerberos SMB i NFSv4.1. Tento počítač se vytvoří automaticky během vytváření svazku.

  2. V části Sféra protokolu Kerberos zadejte název serveru AD a IP adresu služby KDC.

    IP adresa serveru AD a služby KDC můžou být stejný server. Tyto informace slouží k vytvoření účtu počítače SPN používaného službou Azure NetApp Files. Po vytvoření účtu počítače azure NetApp Files použije záznamy serveru DNS k vyhledání dalších serverů KDC podle potřeby.

    Kerberos Realm

  3. Kliknutím na Připojit uložte konfiguraci.

Konfigurace připojení ke službě Active Directory

Konfigurace protokolu Kerberos NFSv4.1 vytvoří ve službě Active Directory dva účty počítače:

  • Účet počítače pro sdílené složky SMB
  • Účet počítače pro NFSv4.1 --Tento účet můžete identifikovat pomocí předpony NFS-.

Po vytvoření prvního svazku Kerberos NFSv4.1 nastavte typ šifrování pro účet počítače pomocí následujícího příkazu PowerShellu:

Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256

Konfigurace klienta NFS

Postupujte podle pokynů v tématu Konfigurace klienta NFS pro Azure NetApp Files a nakonfigurujte klienta NFS.

Připojení svazku Kerberos nfs

  1. Na stránce Svazky vyberte svazek NFS, který chcete připojit.

  2. Pokud chcete zobrazit pokyny, vyberte na svazku pokyny k připojení.

    Příklad:

    Mount instructions for Kerberos volumes

  3. Vytvořte adresář (přípojný bod) pro nový svazek.

  4. Nastavte výchozí typ šifrování na AES 256 pro účet počítače:
    Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

    • Tento příkaz musíte spustit jenom jednou pro každý účet počítače.
    • Tento příkaz můžete spustit z řadiče domény nebo z počítače s nainstalovaným nástrojem RSAT .
    • Proměnná $NFSCOMPUTERACCOUNT je účet počítače vytvořený ve službě Active Directory při nasazení svazku Kerberos. Toto je účet, který má předponu NFS-.
    • Proměnná $ANFSERVICEACCOUNT je neprivilegovaný uživatelský účet služby Active Directory s delegovanými ovládacími prvky v organizační jednotce, ve které byl účet počítače vytvořen.
  5. Připojte svazek k hostiteli:

    sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

    • Proměnná $ANFEXPORT je cesta, která host:/export se nachází v pokynech pro připojení.
    • Proměnná $ANFMOUNTPOINT je složka vytvořená uživatelem na hostiteli s Linuxem.

Dopad protokolu Kerberos na protokol NFSv4.1

Měli byste pochopit možnosti zabezpečení dostupné pro svazky NFSv4.1, testované vektory výkonu a očekávaný dopad protokolu Kerberos na výkon. Podrobnosti najdete v tématu Dopad protokolu Kerberos na svazky NFSv4.1.

Další kroky