Configuración del cifrado Kerberos NFSv4.1 para Azure NetApp Files

Azure NetApp Files admite el cifrado de cliente NFS en modos Kerberos (krb5, krb5i y krb5p) con cifrado AES-256. En este artículo se describen las configuraciones necesarias para usar un volumen NFSv4.1 con cifrado Kerberos.

Requisitos

Los siguientes requisitos se aplican al cifrado de cliente NFSv4.1:

• Conexión con Active Directory Domain Services (AD DS) o Microsoft Entra Domain Services para facilitar la creación de vales de Kerberos
• Creación de registros A/PTR de DNS tanto para el cliente como para las direcciones IP del servidor NFS de Azure NetApp Files
• Un cliente Linux: En este artículo se proporcionan instrucciones para clientes RHEL y Ubuntu. Otros clientes también funcionan con pasos de configuración similares.
• Acceso al servidor NTP: Puede usar uno de los controladores de dominio más usados del Controlador de dominio de Active Directory (AD DC).
• Para aprovechar la autenticación de usuario de Dominio o LDAP, asegúrese de que los volúmenes NFSv4.1 están habilitados para LDAP. Consulte Configuración de LDAP de ADDS con grupos extendidos.
• Asegúrese de que los nombres principales de usuario para las cuentas de usuario no terminan con un $ símbolo (por ejemplo, user$@REALM.COM).
  Para las cuentas de servicio administradas de grupo (gMSA), debe quitar el final $ del nombre principal de usuario para poder usar la cuenta con la característica Kerberos de Azure NetApp Files.

Creación de un volumen Kerberos de NFS

1. Siga los pasos descritos en Creación de un volumen NFS para Azure NetApp Files para crear el volumen NFSv4.1.

   En la página Crear un volumen, establezca la versión NFS en NFSv4.1 y establezca Kerberos en Habilitado.

   Importante

   No se puede modificar la selección de habilitación de Kerberos una vez creado el volumen.

   

2. Seleccione Export Policy para que coincida con el nivel deseado de acceso y opción de seguridad (Kerberos 5, Kerberos 5i o Kerberos 5p) para el volumen.

   Para ver el impacto en el rendimiento de Kerberos, consulte Impacto en el rendimiento de Kerberos en NFSv4.1.

   También puede modificar los métodos de seguridad de Kerberos para el volumen; para ello, haga clic en Directiva de exportación en el panel de navegación de Azure NetApp Files.

3. Seleccione Revisar y crear para crear el volumen de NFSv4.1.

Configuración de Azure Portal

1. Siga las instrucciones de Creación de una conexión de Active Directory.

   Kerberos requiere que cree al menos una cuenta de equipo en Active Directory. La información de la cuenta que proporcione se usa para crear cuentas para los volúmenes SMB y NFSv4.1 Kerberos. Esta máquina se crea automáticamente durante la creación del volumen.

2. En Kerberos Realm, introduzca el nombre del servidor de AD y la dirección IP de KDC.

   El servidor de AD y la dirección IP de KDC pueden ser el mismo servidor. Esta información se utiliza para crear la cuenta informática SPN que emplea Azure NetApp Files. Una vez creada la cuenta de equipo, Azure NetApp Files usa registros del servidor DNS para buscar servidores KDC adicionales según sea necesario.

   

3. Seleccione Unirse para guardar la configuración.

Configuración de la conexión de Active Directory

La configuración de NFSv4.1 Kerberos crea dos cuentas de equipo en Active Directory:

• Una cuenta de equipo para los recursos compartidos SMB.
• Una cuenta de equipo para NFSv4.1: puede identificar esta cuenta mediante el prefijo NFS-.

Después de crear el primer volumen Kerberos NFSv4.1, establezca el tipo de cifrado para la cuenta de equipo con el comando de PowerShell Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256.

Configuración del cliente NFS

Siga las instrucciones de Configuración de un cliente NFS para Azure NetApp Files para configurar el cliente NFS.

Montaje del volumen Kerberos de NFS

1. En la página Volúmenes , seleccione el volumen NFS que desea montar.

2. Seleccione Instrucciones de montaje en el volumen para mostrar las instrucciones.

   Por ejemplo:

   

3. Cree el directorio (punto de montaje) para el nuevo volumen.

4. Establezca el tipo de cifrado predeterminado en AES 256 para la cuenta de equipo:
   Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

   • Debe ejecutar este comando solo una vez para cada cuenta de equipo.
   • Puede ejecutar este comando desde un controlador de dominio o desde un equipo con RSAT instalado.
   • La $NFSCOMPUTERACCOUNT variable es la cuenta de equipo creada en Active Directory al implementar el volumen Kerberos. Esta es la cuenta con el prefijo NFS-.
   • La $ANFSERVICEACCOUNT variable es una cuenta de usuario de Active Directory sin privilegios con controles delegados sobre la unidad organizativa donde se ha creado la cuenta de equipo.

5. Monte el volumen en el host:

   sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

   • La variable $ANFEXPORT es la ruta de acceso host:/export que se encuentra en las instrucciones de montaje.
   • La $ANFMOUNTPOINT variable es la carpeta creada por el usuario en el host de Linux.

Impacto en el rendimiento de Kerberos en NFSv4.1

Debe comprender las opciones de seguridad disponibles para los volúmenes NFSv4.1, los vectores de rendimiento probados y el impacto esperado en el rendimiento de kerberos. Para obtener información detallada, consulte Impacto del rendimiento de Kerberos en volúmenes NFSv4.1.

Pasos siguientes

• Impacto en el rendimiento de Kerberos en los volúmenes NFSv4.1
• Solución de errores de volúmenes de Azure NetApp Files
• Preguntas más frecuentes sobre NFS
• Preguntas más frecuentes sobre rendimiento
• Creación de un volumen de NFS para Azure NetApp Files
• Creación de una conexión de Active Directory
• Configuración de un cliente NFS para Azure NetApp Files
• Configuración de ADDS LDAP con grupos extendidos para el acceso a volúmenes NFS