Az NFSv 4.1 Kerberos-titkosításának konfigurálása az Azure NetApp Fileshoz

Azure NetApp Files támogatja az NFS-ügyféltitkosítást Kerberos módban (krb5, krb5i és krb5p) az AES-256 titkosítással. Ez a cikk az NFSv4.1 kötet Kerberos-titkosítással való használatához szükséges konfigurációkat ismerteti.

Követelmények

Az NFSv4.1 ügyféltitkosításra a következő követelmények vonatkoznak:

• Active Directory tartományi szolgáltatások (AD DS) vagy Azure Active Directory tartományi szolgáltatások (AADDS) kapcsolat a Kerberos-jegykészítés megkönnyítése érdekében
• DNS A/PTR-rekord létrehozása az ügyfélhez és Azure NetApp Files NFS-kiszolgáló IP-címéhez
• Linux-ügyfél: Ez a cikk útmutatást nyújt az RHEL- és Ubuntu-ügyfelekhez. Más ügyfelek hasonló konfigurációs lépésekkel fognak dolgozni.
• NTP-kiszolgálóhoz való hozzáférés: Használhatja az egyik gyakran használt Active Directory-tartomány Vezérlő (AD DC) tartományvezérlőt.
• A tartományi vagy LDAP-alapú felhasználói hitelesítés használatához győződjön meg arról, hogy az NFSv4.1 kötetek engedélyezve vannak az LDAP-hoz. Lásd: ADDS LDAP konfigurálása kiterjesztett csoportokkal.
• Győződjön meg arról, hogy a felhasználói fiókok egyszerű nevei nem végződnek szimbólummal $ (például user$@REALM.COM).
  Csoportosan felügyelt szolgáltatásfiókok (gMSA) esetén el kell távolítania a záró elemet $ a felhasználónévből, mielőtt a fiók használható lenne a Azure NetApp Files Kerberos szolgáltatással.

NFS Kerberos-kötet létrehozása

1. Az NFSv4.1 kötet létrehozásához kövesse az NFS-kötet létrehozása Azure NetApp Files című témakör lépéseit.

   A Kötet létrehozása lapon állítsa az NFS-verziót NFSv4.1 értékre, és állítsa a Kerberos beállítást Engedélyezve értékre.

   Fontos

   A Kerberos-engedélyezés kiválasztása a kötet létrehozása után nem módosítható.

   

2. Válassza a Házirend exportálása lehetőséget a kötet kívánt hozzáférési és biztonsági szintjének (Kerberos 5, Kerberos 5i vagy Kerberos 5p) megfelelő beállításához.

   A Kerberos teljesítményre gyakorolt hatásáról lásd: A Kerberos teljesítményre gyakorolt hatása az NFSv4.1-ra.

   A kötet Kerberos biztonsági módszereit úgy is módosíthatja, hogy a Azure NetApp Files navigációs panelen a Házirend exportálása elemre kattint.

3. Az NFSv4.1 kötet létrehozásához kattintson a Véleményezés + Létrehozás gombra.

A Azure Portal konfigurálása

1. Kövesse az Active Directory-kapcsolat létrehozása című témakör utasításait.

   A Kerberos használatához létre kell hoznia legalább egy számítógépfiókot az Active Directoryban. A megadott fiókadatok az SMB és az NFSv4.1 Kerberos-kötetek fiókjainak létrehozására szolgálnak. Ez a gép automatikusan létrejön a kötet létrehozásakor.

2. A Kerberos-tartomány területen adja meg az AD-kiszolgáló nevét és a KDC IP-címét .

   Az AD-kiszolgáló és a KDC IP-cím lehet ugyanaz a kiszolgáló. Ez az információ a Azure NetApp Files által használt SPN-számítógépfiók létrehozásához használható. A számítógépfiók létrehozása után Azure NetApp Files DNS-kiszolgálói rekordokat használva szükség szerint további KDC-kiszolgálókat keres.

   

3. A konfiguráció mentéséhez kattintson a Csatlakozás gombra.

Active Directory-kapcsolat konfigurálása

Az NFSv4.1 Kerberos konfigurációja két számítógépfiókot hoz létre az Active Directoryban:

• SMB-megosztások számítógépfiókja
• Az NFSv4.1 számítógépfiókja – Ezt a fiókot az előtag NFS-alapján azonosíthatja.

Az első NFSv4.1 Kerberos-kötet létrehozása után állítsa be a számítógépfiók titkosítási típusát a következő PowerShell-paranccsal:

Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256

Az NFS-ügyfél konfigurálása

Kövesse az NFS-ügyfél konfigurálása Azure NetApp Files NFS-ügyfél konfigurálásához című témakör utasításait.

Az NFS Kerberos-kötet csatlakoztatása

1. A Kötetek lapon válassza ki a csatlakoztatni kívánt NFS-kötetet.

2. Az utasítások megjelenítéséhez válassza a Kötet utasításainak csatlakoztatása lehetőséget.

   Például:

   

3. Hozza létre az új kötet könyvtárát (csatlakoztatási pontját).

4. Állítsa az alapértelmezett titkosítási típust AES 256 értékre a számítógépfiókhoz:
   Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

   • Ezt a parancsot minden számítógépfiókhoz csak egyszer kell futtatnia.
   • Ezt a parancsot futtathatja tartományvezérlőről vagy telepített RSAT rendszerű számítógépről.
   • A $NFSCOMPUTERACCOUNT változó az Active Directoryban a Kerberos-kötet telepítésekor létrehozott számítógépfiók. Ez az a fiók, amely előtaggal van ellátva NFS-.
   • A $ANFSERVICEACCOUNT változó egy nem kiemelt Active Directory-felhasználói fiók, amely delegált vezérlőkkel rendelkezik azon szervezeti egység felett, ahol a számítógépfiók létre lett hozva.

5. Csatlakoztassa a kötetet a gazdagéphez:

   sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=1048576,wsize=1048576,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

   • A $ANFEXPORT változó a host:/export csatlakoztatási utasításokban található elérési út.
   • A $ANFMOUNTPOINT változó a Linux-gazdagép felhasználó által létrehozott mappája.

A Kerberos teljesítményre gyakorolt hatása az NFSv4.1-ra

Ismernie kell az NFSv4.1 kötetekhez elérhető biztonsági beállításokat, a tesztelt teljesítményvektorokat és a kerberos várható teljesítményhatását. További információt a Kerberos teljesítményre gyakorolt hatása az NFSv4.1 köteteken című témakörben talál.

Következő lépések

• A Kerberos teljesítményre gyakorolt hatása az NFSv4.1 kötetekre
• Az Azure NetApp Files-kötetek hibaelhárítása
• NFS – gyakori kérdések
• Gyakori kérdések a teljesítményről
• NFS-kötet létrehozása az Azure NetApp Files számára
• Active Directory-kapcsolat létrehozása
• NFS-ügyfél konfigurálása az Azure NetApp Fileshoz
• AZ ADDS LDAP konfigurálása kiterjesztett csoportokkal az NFS-kötethozzáféréshez