Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Azure NetApp Files támogatja az NFS-ügyféltitkosítást Kerberos módban (krb5, krb5i és krb5p) AES-256 titkosítással. Ez a cikk az NFSv4.1-kötetek Kerberos-titkosítással való használatához szükséges konfigurációkat ismerteti.
Követelmények
Az NFSv4.1-es ügyféltitkosításra a következő követelmények vonatkoznak:
- Active Directory tartományi szolgáltatások (AD DS) vagy Microsoft Entra tartományi szolgáltatások kapcsolata a Kerberos-jegykezelés megkönnyítése érdekében
- DNS A/PTR-rekord létrehozása az ügyfél és az Azure NetApp Files NFS-kiszolgáló IP-címeihez
- Linux-ügyfél: Ez a cikk útmutatást nyújt az RHEL- és Ubuntu-ügyfelek számára. Más ügyfelek is hasonló konfigurációs lépésekkel dolgoznak.
- NTP szerver hozzáférés: Használhatja az Active Directory tartományvezérlők egyikét.
- A tartományi vagy LDAP-felhasználói hitelesítés kihasználásához győződjön meg arról, hogy az NFSv4.1-kötetek engedélyezve vannak az LDAP-hoz. Lásd: Az LDAP hozzáadásának konfigurálása kiterjesztett csoportokkal.
- Győződjön meg arról, hogy a felhasználói fiókok egyszerű felhasználónevei nem végződnek szimbólummal
$(például user$@REALM.COM).
Csoportosan felügyelt szolgáltatásfiókok (gMSA) esetén el kell távolítania a záró hivatkozást$az egyszerű felhasználónévből, mielőtt a fiókot a Azure NetApp Files Kerberos funkcióval használhatja.
NFS Kerberos-kötet létrehozása
Az NFSv4.1-kötet létrehozásához kövesse az NFS-kötet létrehozása Azure NetApp Files lépéseit.
A Kötet létrehozása lapon állítsa az NFS-verziót NFSv4.1-re , a Kerberos pedig Engedélyezve értékre.
Fontos
A kötet létrehozása után nem módosíthatja a Kerberos-engedélyezési lehetőséget.
Válassza az Exportálási házirend lehetőséget, hogy megfeleljen a kötet kívánt hozzáférési és biztonsági szintjének (Kerberos 5, Kerberos 5i vagy Kerberos 5p).
A Kerberos teljesítményre gyakorolt hatásával kapcsolatban lásd: A Kerberos teljesítményre gyakorolt hatása az NFSv4.1-en.
A kötet Kerberos biztonsági módszereit a Azure NetApp Files navigációs paneljén a Szabályzat exportálása gombra kattintva is módosíthatja.
Válassza az Áttekintés + létrehozás lehetőséget az NFSv4.1-kötet létrehozásához.
A Azure Portal konfigurálása
Kövesse az Active Directory-kapcsolat létrehozása című témakör utasításait.
A Kerberos használatához legalább egy számítógépfiókot létre kell hoznia az Active Directoryban. A megadott fiókadatok az SMB és az NFSv4.1 Kerberos-kötetek fiókjainak létrehozásához is használhatók. Ez a gépfiók automatikusan létrejön a kötet létrehozása során.
A Kerberos-tartomány alatt adja meg az AD-kiszolgáló nevét és a KDC IP-címét .
Az AD-kiszolgáló és a KDC IP-cím ugyanaz a kiszolgáló lehet. Ezekkel az információkkal hozzuk létre a Azure NetApp Files használt SPN-számítógépfiókot. A számítógépfiók létrehozása után a Azure NetApp Files DNS-kiszolgálórekordok használatával szükség szerint további KDC-kiszolgálókat keres.
Válassza a Csatlakozás lehetőséget a konfiguráció mentéséhez.
Active Directory-kapcsolat konfigurálása
Az NFSv4.1 konfigurálása A Kerberos két számítógépfiókot hoz létre az Active Directoryban:
- Számítógépfiók SMB-megosztásokhoz
- Számítógépfiók az NFSv4.1-hez – Ezt a fiókot az előtag
NFS-használatával azonosíthatja.
Az első NFSv4.1 Kerberos-kötet létrehozása után állítsa be a számítógépfiók titkosítási típusát a PowerShell paranccsal Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256.
Az NFS-ügyfél konfigurálása
Az NFS-ügyfél konfigurálásához kövesse az NFS-ügyfél konfigurálása Azure NetApp Files című témakör utasításait.
Az NFS Kerberos-kötet csatlakoztatása
A Kötetek lapon válassza ki a csatlakoztatni kívánt NFS-kötetet.
Válassza a Csatlakoztatási utasítások lehetőséget a köteten az utasítások megjelenítéséhez.
Például:
Hozza létre az új kötet könyvtárát (csatlakoztatási pontját).
Állítsa a számítógépfiók alapértelmezett titkosítási típusát AES 256-ra:
Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT- Ezt a parancsot csak egyszer kell futtatnia minden számítógépfiókhoz.
- Ezt a parancsot tartományvezérlőről vagy RSAT telepített számítógépről futtathatja.
- A
$NFSCOMPUTERACCOUNTváltozó az Active Directoryban a Kerberos-kötet telepítésekor létrehozott számítógépfiók. Ez az a fiók, amelynek előtagjaNFS-. - A
$ANFSERVICEACCOUNTváltozó egy nem emelt szintű Active Directory felhasználói fiók, amely delegált vezérléssel rendelkezik azon szervezeti egység felett, ahol a számítógépfiókot létrehozták.
Csatlakoztassa a kötetet a gazdagépre:
sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT- A
$ANFEXPORTváltozó a csatlakoztatási utasításokban található elérésihost:/exportút. - A
$ANFMOUNTPOINTváltozó a felhasználó által létrehozott mappa a Linux-gazdagépen.
- A
A Kerberos teljesítményre gyakorolt hatása az NFSv4.1-re
Tisztában kell lennie az NFSv4.1-kötetekhez elérhető biztonsági lehetőségekkel, a tesztelt teljesítményvektorokkal és a kerberos várható teljesítményre gyakorolt hatásával. Részletes információ: A Kerberos teljesítményre gyakorolt hatása az NFSv4.1-kötetekre.
Következő lépések
- A Kerberos teljesítményre gyakorolt hatása az NFSv4.1 kötetekre
- Azure NetApp Files kötet hibák elhárítása
- NFS – gyakori kérdések
- Gyakori kérdések a teljesítményről
- NFS-kötet létrehozása az Azure NetApp Files számára
- Active Directory-kapcsolat létrehozása
- NFS-ügyfél konfigurálása az Azure NetApp Fileshoz
- Az ADDS LDAP konfigurálása kiterjesztett csoportokkal az NFS-kötetekhez való hozzáféréshez