Megosztás a következőn keresztül:


Az NFSv 4.1 Kerberos-titkosításának konfigurálása az Azure NetApp Fileshoz

Az Azure NetApp Files támogatja az NFS-ügyféltitkosítást Kerberos módban (krb5, krb5i és krb5p) AES-256 titkosítással. Ez a cikk az NFSv4.1 kötet Kerberos-titkosítással való használatához szükséges konfigurációkat ismerteti.

Követelmények

Az NFSv4.1 ügyféltitkosításra a következő követelmények vonatkoznak:

  • Active Directory tartományi szolgáltatások (AD DS) vagy Microsoft Entra Domain Services-kapcsolat a Kerberos-jegyküldés megkönnyítése érdekében
  • DNS A/PTR-rekord létrehozása az ügyfélhez és az Azure NetApp Files NFS-kiszolgáló IP-címéhez
  • Linux-ügyfél: Ez a cikk útmutatást nyújt az RHEL- és Ubuntu-ügyfelek számára. Más ügyfelek hasonló konfigurációs lépésekkel fognak dolgozni.
  • NTP-kiszolgálóhozzáférés: Használhatja az egyik gyakran használt Active Directory-tartomány Vezérlő (AD DC) tartományvezérlőt.
  • A tartományi vagy LDAP-alapú felhasználói hitelesítés használatához győződjön meg arról, hogy az NFSv4.1 kötetek engedélyezve vannak az LDAP-hoz. Lásd: AZ ADDS LDAP konfigurálása kiterjesztett csoportokkal.
  • Győződjön meg arról, hogy a felhasználói fiókok felhasználónevei nem végződnek szimbólummal $ (például user$@REALM.COM).
    Csoportosan felügyelt szolgáltatásfiókok (gMSA) esetén el kell távolítania a záró elemet $ a felhasználónévből, mielőtt a fiók használható lenne az Azure NetApp Files Kerberos szolgáltatással.

NFS Kerberos-kötet létrehozása

  1. Az NFSv4.1 kötet létrehozásához kövesse az NFS-kötet létrehozása az Azure NetApp Fileshoz című témakörben leírt lépéseket.

    A Kötet létrehozása lapon állítsa az NFS-verziót NFSv4.1-esre, és állítsa a Kerberost Engedélyezve értékre.

    Fontos

    A kötet létrehozása után nem módosíthatja a Kerberos-engedélyezési kijelölést.

    Create NFSv4.1 Kerberos volume

  2. Válassza az Exportálási szabályzat lehetőséget a kötet kívánt hozzáférési és biztonsági szintjének (Kerberos 5, Kerberos 5i vagy Kerberos 5p) megfelelő beállításához.

    A Kerberos teljesítményre gyakorolt hatásáról lásd a Kerberos NFSv4.1-beli teljesítményre gyakorolt hatását.

    A kötet Kerberos biztonsági módszereit is módosíthatja az Azure NetApp Files navigációs paneljének Exportálási szabályzat parancsára kattintva.

  3. Az NFSv4.1 kötet létrehozásához kattintson a Véleményezés + Létrehozás gombra.

Az Azure Portal konfigurálása

  1. Kövesse az Active Directory-kapcsolat létrehozása című témakör utasításait.

    A Kerberos megköveteli, hogy legalább egy számítógépfiókot hozzon létre az Active Directoryban. A megadott fiókadatok az SMB és az NFSv4.1 Kerberos-kötetek fiókjainak létrehozására szolgálnak. Ez a gép automatikusan létrejön a kötet létrehozása során.

  2. A Kerberos Tartomány területen adja meg az AD-kiszolgáló nevét és a KDC IP-címét.

    Az AD-kiszolgáló és a KDC IP-címe lehet ugyanaz a kiszolgáló. Ezek az információk az Azure NetApp Files által használt SPN-számítógépfiók létrehozásához használhatók. A számítógépfiók létrehozása után az Azure NetApp Files DNS-kiszolgálói rekordokkal fogja megkeresni a további KDC-kiszolgálókat.

    Kerberos Realm

  3. A konfiguráció mentéséhez kattintson a Csatlakozás gombra.

Active Directory-kapcsolat konfigurálása

Az NFSv4.1 Kerberos konfigurációja két számítógépfiókot hoz létre az Active Directoryban:

  • SMB-megosztások számítógépfiókja
  • Az NFSv4.1 számítógépfiókja – Ezt a fiókot az előtag NFS-alapján azonosíthatja.

Az első NFSv4.1 Kerberos-kötet létrehozása után állítsa be a számítógépfiók titkosítási típusát a következő PowerShell-paranccsal:

Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256

Az NFS-ügyfél konfigurálása

Kövesse az NFS-ügyfél Konfigurálása az Azure NetApp Fileshoz című témakör utasításait az NFS-ügyfél konfigurálásához.

Az NFS Kerberos-kötet csatlakoztatása

  1. A Kötetek lapon válassza ki a csatlakoztatni kívánt NFS-kötetet.

  2. Az utasítások megjelenítéséhez válassza a kötet csatlakoztatási utasításait .

    Példa:

    Mount instructions for Kerberos volumes

  3. Hozza létre az új kötet könyvtárát (csatlakoztatási pontját).

  4. Állítsa be az alapértelmezett titkosítási típust AES 256-ra a számítógépfiókhoz:
    Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

    • Ezt a parancsot csak egyszer kell futtatnia minden számítógépfiókhoz.
    • Ezt a parancsot futtathatja tartományvezérlőről vagy pc-ről, amelyen telepítve van az RSAT .
    • A $NFSCOMPUTERACCOUNT változó az Active Directoryban a Kerberos-kötet telepítésekor létrehozott számítógépfiók. Ez az a fiók, amely előtaggal NFS-van elnevezett.
    • A $ANFSERVICEACCOUNT változó egy nem privilegizált Active Directory-felhasználói fiók, amely delegált vezérlőkkel rendelkezik azon szervezeti egység felett, ahol a számítógépfiók létre lett hozva.
  5. Csatlakoztassa a kötetet a gazdagépre:

    sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

    • A $ANFEXPORT változó a host:/export csatlakoztatási utasításokban található elérési út.
    • A $ANFMOUNTPOINT változó a Linux-gazdagépen a felhasználó által létrehozott mappa.

A Kerberos teljesítményre gyakorolt hatása az NFSv4.1-re

Ismernie kell az NFSv4.1 kötetekhez elérhető biztonsági beállításokat, a tesztelt teljesítményvektorokat és a kerberos várható teljesítményhatását. Részletekért tekintse meg a Kerberos NFSv4.1-kötetekre gyakorolt teljesítményét.

Következő lépések