Az NFSv 4.1 Kerberos-titkosításának konfigurálása az Azure NetApp Fileshoz

Az Azure NetApp Files támogatja az NFS-ügyféltitkosítást Kerberos módban (krb5, krb5i és krb5p) AES-256 titkosítással. Ez a cikk az NFSv4.1 kötet Kerberos-titkosítással való használatához szükséges konfigurációkat ismerteti.

Követelmények

Az NFSv4.1 ügyféltitkosításra a következő követelmények vonatkoznak:

• Active Directory tartományi szolgáltatások (AD DS) vagy Microsoft Entra Domain Services-kapcsolat a Kerberos-jegyküldés megkönnyítése érdekében
• DNS A/PTR-rekord létrehozása az ügyfélhez és az Azure NetApp Files NFS-kiszolgáló IP-címéhez
• Linux-ügyfél: Ez a cikk útmutatást nyújt az RHEL- és Ubuntu-ügyfelek számára. Más ügyfelek hasonló konfigurációs lépésekkel fognak dolgozni.
• NTP-kiszolgálóhozzáférés: Használhatja az egyik gyakran használt Active Directory-tartomány Vezérlő (AD DC) tartományvezérlőt.
• A tartományi vagy LDAP-alapú felhasználói hitelesítés használatához győződjön meg arról, hogy az NFSv4.1 kötetek engedélyezve vannak az LDAP-hoz. Lásd: AZ ADDS LDAP konfigurálása kiterjesztett csoportokkal.
• Győződjön meg arról, hogy a felhasználói fiókok felhasználónevei nem végződnek szimbólummal $ (például user$@REALM.COM).
  Csoportosan felügyelt szolgáltatásfiókok (gMSA) esetén el kell távolítania a záró elemet $ a felhasználónévből, mielőtt a fiók használható lenne az Azure NetApp Files Kerberos szolgáltatással.

NFS Kerberos-kötet létrehozása

1. Az NFSv4.1 kötet létrehozásához kövesse az NFS-kötet létrehozása az Azure NetApp Fileshoz című témakörben leírt lépéseket.

   A Kötet létrehozása lapon állítsa az NFS-verziót NFSv4.1-esre, és állítsa a Kerberost Engedélyezve értékre.

   Fontos

   A kötet létrehozása után nem módosíthatja a Kerberos-engedélyezési kijelölést.

   

2. Válassza az Exportálási szabályzat lehetőséget a kötet kívánt hozzáférési és biztonsági szintjének (Kerberos 5, Kerberos 5i vagy Kerberos 5p) megfelelő beállításához.

   A Kerberos teljesítményre gyakorolt hatásáról lásd a Kerberos NFSv4.1-beli teljesítményre gyakorolt hatását.

   A kötet Kerberos biztonsági módszereit is módosíthatja az Azure NetApp Files navigációs paneljének Exportálási szabályzat parancsára kattintva.

3. Az NFSv4.1 kötet létrehozásához kattintson a Véleményezés + Létrehozás gombra.

Az Azure Portal konfigurálása

1. Kövesse az Active Directory-kapcsolat létrehozása című témakör utasításait.

   A Kerberos megköveteli, hogy legalább egy számítógépfiókot hozzon létre az Active Directoryban. A megadott fiókadatok az SMB és az NFSv4.1 Kerberos-kötetek fiókjainak létrehozására szolgálnak. Ez a gép automatikusan létrejön a kötet létrehozása során.

2. A Kerberos Tartomány területen adja meg az AD-kiszolgáló nevét és a KDC IP-címét.

   Az AD-kiszolgáló és a KDC IP-címe lehet ugyanaz a kiszolgáló. Ezek az információk az Azure NetApp Files által használt SPN-számítógépfiók létrehozásához használhatók. A számítógépfiók létrehozása után az Azure NetApp Files DNS-kiszolgálói rekordokkal fogja megkeresni a további KDC-kiszolgálókat.

   

3. A konfiguráció mentéséhez kattintson a Csatlakozás gombra.

Active Directory-kapcsolat konfigurálása

Az NFSv4.1 Kerberos konfigurációja két számítógépfiókot hoz létre az Active Directoryban:

• SMB-megosztások számítógépfiókja
• Az NFSv4.1 számítógépfiókja – Ezt a fiókot az előtag NFS-alapján azonosíthatja.

Az első NFSv4.1 Kerberos-kötet létrehozása után állítsa be a számítógépfiók titkosítási típusát a következő PowerShell-paranccsal:

Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256

Az NFS-ügyfél konfigurálása

Kövesse az NFS-ügyfél Konfigurálása az Azure NetApp Fileshoz című témakör utasításait az NFS-ügyfél konfigurálásához.

Az NFS Kerberos-kötet csatlakoztatása

1. A Kötetek lapon válassza ki a csatlakoztatni kívánt NFS-kötetet.

2. Az utasítások megjelenítéséhez válassza a kötet csatlakoztatási utasításait .

   Példa:

   

3. Hozza létre az új kötet könyvtárát (csatlakoztatási pontját).

4. Állítsa be az alapértelmezett titkosítási típust AES 256-ra a számítógépfiókhoz:
   Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

   • Ezt a parancsot csak egyszer kell futtatnia minden számítógépfiókhoz.
   • Ezt a parancsot futtathatja tartományvezérlőről vagy pc-ről, amelyen telepítve van az RSAT .
   • A $NFSCOMPUTERACCOUNT változó az Active Directoryban a Kerberos-kötet telepítésekor létrehozott számítógépfiók. Ez az a fiók, amely előtaggal NFS-van elnevezett.
   • A $ANFSERVICEACCOUNT változó egy nem privilegizált Active Directory-felhasználói fiók, amely delegált vezérlőkkel rendelkezik azon szervezeti egység felett, ahol a számítógépfiók létre lett hozva.

5. Csatlakoztassa a kötetet a gazdagépre:

   sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

   • A $ANFEXPORT változó a host:/export csatlakoztatási utasításokban található elérési út.
   • A $ANFMOUNTPOINT változó a Linux-gazdagépen a felhasználó által létrehozott mappa.

A Kerberos teljesítményre gyakorolt hatása az NFSv4.1-re

Ismernie kell az NFSv4.1 kötetekhez elérhető biztonsági beállításokat, a tesztelt teljesítményvektorokat és a kerberos várható teljesítményhatását. Részletekért tekintse meg a Kerberos NFSv4.1-kötetekre gyakorolt teljesítményét.

Következő lépések

• A Kerberos teljesítményre gyakorolt hatása az NFSv4.1 kötetekre
• Az Azure NetApp Files-kötetek hibaelhárítása
• NFS – gyakori kérdések
• Gyakori kérdések a teljesítményről
• NFS-kötet létrehozása az Azure NetApp Files számára
• Active Directory-kapcsolat létrehozása
• NFS-ügyfél konfigurálása az Azure NetApp Fileshoz
• Az ADDS LDAP konfigurálása kiterjesztett csoportokkal az NFS-kötethozzáféréshez