Teilen über

Konfigurieren der NFSv4.1 Kerberos-Verschlüsselung für Azure NetApp-Dateien

Azure NetApp Files unterstützt die NFS-Clientverschlüsselung in Kerberos-Modi (krb5, krb5i und krb5p) mit AES-256-Verschlüsselung. In diesem Artikel werden die erforderlichen Konfigurationen für die Verwendung eines NFSv4.1-Volumes mit Kerberos-Verschlüsselung beschrieben.

Anforderungen

Die folgenden Anforderungen gelten für die NFSv4.1-Clientverschlüsselung:

  • Verbindung mit Active Directory Domain Services (AD DS) oder Azure Active Directory Domain Services (AADDS) zur Vereinfachung der Kerberos-Ticketausstellung
  • Erstellung von DNS-A/PTR-Einträgen für die IP-Adressen des Clients und des Azure NetApp Files NFS-Servers
  • Ein Linux-Client: Dieser Artikel enthält Anleitungen für RHEL- und Ubuntu-Clients. Andere Clients funktionieren auch mit ähnlichen Konfigurationsschritten.
  • NTP-Serverzugriff: Sie können einen der häufig verwendeten Active Directory-Domänencontroller (AD DC) verwenden.
  • Um die Domänen- oder LDAP-Benutzerauthentifizierung zu nutzen, stellen Sie sicher, dass NFSv4.1-Volumes für LDAP aktiviert sind. Siehe Konfigurieren von ADDS LDAP mit erweiterten Gruppen.
  • Stellen Sie sicher, dass Benutzerprinzipalnamen für Benutzerkonten nicht mit einem $ Symbol enden (z. B. user$@REALM.COM).
    Bei von Gruppen verwalteten Dienstkonten (gMSA) müssen Sie das nachstehende $ vom Benutzerprinzipalnamen entfernen, bevor das Konto mit dem Azure NetApp Files-Kerberos-Feature genutzt werden kann.

Erstellen Sie ein NFS-Kerberos-Volume

  1. Führen Sie die Schritte unter Erstellen eines NFS-Volumes für Azure NetApp Files aus, um das NFSv4.1-Volume zu erstellen.

    Legen Sie auf der Seite "Volume erstellen" die NFS-Version auf NFSv4.1 fest, und legen Sie Kerberos auf "Aktiviert" fest.

    Von Bedeutung

    Nachdem das Volume erstellt wurde, können Sie die Auswahl der Kerberos-Aktivierung nicht mehr ändern.

    Erstellen eines NFSv4.1 Kerberos-Volumes

  2. Wählen Sie "Exportrichtlinie" aus, um die gewünschte Zugriffs- und Sicherheitsoption (Kerberos 5, Kerberos 5i oder Kerberos 5p) für das Volume abzugleichen.

    Für Leistungsauswirkungen von Kerberos siehe Leistungsauswirkungen von Kerberos auf NFSv4.1.

    Sie können auch die Kerberos-Sicherheitsmethoden für das Volume ändern, indem Sie im Navigationsbereich "Azure NetApp-Dateien" auf "Exportrichtlinie" klicken.

  3. Wählen Sie "Überprüfen " + Erstellen " aus, um das NFSv4.1-Volume zu erstellen.

Konfigurieren des Azure-Portals

  1. Folgen Sie den Anweisungen unter Erstellen einer Active Directory-Verbindung.

    Kerberos erfordert, dass Sie mindestens ein Computerkonto in Active Directory erstellen. Die von Ihnen bereitgestellten Kontoinformationen werden zum Erstellen der Konten für SMB - und NFSv4.1-Kerberos-Volumes verwendet. Dieses Computerkonto wird bei der Volumeerstellung automatisch erstellt.

  2. Geben Sie unter "Kerberos-Bereich" den AD-Servernamen und die KDC-IP-Adresse ein.

    AD Server und KDC-IP können derselbe Server sein. Diese Informationen werden verwendet, um das SPN-Computerkonto zu erstellen, das von Azure NetApp Files verwendet wird. Nachdem das Computerkonto erstellt wurde, verwendet Azure NetApp Files DNS-Servereinträge, um nach Bedarf weitere KDC-Server zu finden. Geben Sie im AD-Servernamen den Hostnamen des Computers an, ohne die Domäne anzufügen.

    Kerberos-Bereich

  3. Wählen Sie "Beitreten" aus, um die Konfiguration zu speichern.

Konfigurieren der Active Directory-Verbindung

Die Konfiguration von NFSv4.1 Kerberos erstellt zwei Computerkonten in Active Directory:

  • Ein Computerkonto für SMB-Freigaben
  • Ein Computerkonto für NFSv4.1--Sie können dieses Konto mithilfe des Präfixes NFS-identifizieren.

Legen Sie nach dem Erstellen des ersten NFSv4.1 Kerberos-Volumes den Verschlüsselungstyp für das Computerkonto mit dem PowerShell-Befehl Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256fest.

Konfigurieren des NFS-Clients

Befolgen Sie die Anweisungen unter Konfigurieren eines NFS-Clients für Azure NetApp Files, um den NFS-Client zu konfigurieren.

Einbinden des NFS-Kerberos-Volumes

  1. Wählen Sie auf der Seite " Volumes " das NFS-Volume aus, das Sie bereitstellen möchten.

  2. Wählen Sie Einbindungsanweisungen in dem Volume aus, um die Anweisungen anzuzeigen.

    Beispiel:

    Einstellungsanweisungen für Kerberos-Volumes

  3. Erstellen Sie das Verzeichnis (Bereitstellungspunkt) für das neue Volume.

  4. Legen Sie den Standardverschlüsselungstyp auf AES 256 für das Computerkonto fest:
    Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

    • Sie müssen diesen Befehl nur einmal für jedes Computerkonto ausführen.
    • Sie können diesen Befehl von einem Domänencontroller oder von einem PC ausführen, auf dem RSAT installiert ist.
    • Die $NFSCOMPUTERACCOUNT Variable ist das Computerkonto, das in Active Directory erstellt wurde, wenn Sie das Kerberos-Volume bereitstellen. Dies ist das Konto, das mit NFS- vorangestellt ist.
    • Die $ANFSERVICEACCOUNT Variable ist ein nicht privilegiertes Active Directory-Benutzerkonto mit delegierten Steuerelementen für die Organisationseinheit, auf der das Computerkonto erstellt wurde.

  5. Stellen Sie das Volume auf dem Host ein:

    sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

    • Die $ANFEXPORT-Variable ist der host:/export-Pfad, der in den Bereitstellungsanweisungen bereitgestellt ist.
    • Die $ANFMOUNTPOINT Variable ist der vom Benutzer erstellte Ordner auf dem Linux-Host.

Leistungsauswirkungen von Kerberos auf NFSv4.1

Sie sollten sich mit den Sicherheitsoptionen vertraut machen, die für NFSv4.1-Volumes, die getesteten Leistungsvektoren und die erwarteten Auswirkungen auf die Leistung von Kerberos verfügbar sind. Ausführliche Informationen finden Sie unter Leistungseinbußen von Kerberos auf NFSv4.1-Volumes.

Nächste Schritte

  • Last updated on