Mengonfigurasi enkripsi NFSv4.1 Kerberos untuk Azure NetApp Files

Azure NetApp Files mendukung enkripsi klien NFS dalam mode Kerberos (krb5, krb5i, dan krb5p) dengan enkripsi AES-256. Artikel ini menjelaskan konfigurasi yang diperlukan untuk menggunakan volume NFSv4.1 dengan enkripsi Kerberos.

Persyaratan

Persyaratan berikut berlaku untuk enkripsi klien NFSv4.1:

• Koneksi Active Directory Domain Services (AD DS) atau Microsoft Entra Domain Services untuk memfasilitasi tiket Kerberos
• Pembuatan rekaman DNS A/PTR untuk klien dan alamat IP server NFS Azure NetApp Files
• Klien Linux: Artikel ini menyediakan panduan untuk klien RHEL dan Ubuntu. Klien lain akan bekerja dengan langkah-langkah konfigurasi serupa.
• Akses server NTP: Anda dapat menggunakan salah satu pengontrol domain Active Directory Domain Controller (AD DC) yang umum digunakan.
• Untuk memanfaatkan autentikasi pengguna Domain atau LDAP, pastikan volume NFSv4.1 diaktifkan untuk LDAP. Lihat Mengonfigurasi ADDS LDAP dengan grup yang diperluas.
• Pastikan Bahwa Nama Prinsipal Pengguna untuk akun pengguna tidak diakhir $ dengan simbol (misalnya, user$@REALM.COM).
  Untuk Akun layanan terkelola grup (gMSA), Anda perlu menghapus trailing $ dari Nama Prinsipal Pengguna sebelum akun dapat digunakan dengan fitur Azure NetApp Files Kerberos.

Membuat Volume NFS Kerberos

1. Ikuti langkah-langkah dalam Membuat volume NFS untuk Azure NetApp Files untuk membuat volume NFSv4.1.

   Pada halaman Buat Volume, atur versi NFS ke NFSv4.1, dan atur Kerberos ke Diaktifkan.

   Penting

   Anda tidak dapat mengubah pilihan pengaktifan Kerberos setelah volume dibuat.

   

2. Pilih Kebijakan Ekspor agar sesuai dengan opsi tingkat akses dan keamanan yang diinginkan (Kerberos 5, Kerberos 5i, atau Kerberos 5p) untuk volume.

   Untuk dampak performa Kerberos, lihat Dampak performa Kerberos terhadap NFSv4.1.

   Anda juga dapat memodifikasi metode keamanan Kerberos untuk volume dengan mengklik Kebijakan Ekspor di panel navigasi Azure NetApp Files.

3. Klik Tinjau + Buat untuk membuat volume NFSv4.1.

Mengonfigurasi portal Microsoft Azure

1. Ikuti instruksi dalam Membuat koneksi Direktori Aktif.

   Kerberos mengharuskan Anda membuat setidaknya satu akun komputer di Direktori Aktif. Informasi akun yang Anda berikan digunakan untuk membuat akun untuk volume SMB dan NFSv4.1 Kerberos. Mesin ini dibuat secara otomatis selama pembuatan volume.

2. Di bawah Kerberos Realm, masukkan Nama Server AD dan alamat IP KDC.

   Server AD dan IP KDC bisa menjadi server yang sama. Informasi ini digunakan untuk membuat akun komputer SPN yang digunakan oleh Azure NetApp Files. Setelah akun komputer dibuat, Azure NetApp Files akan menggunakan catatan Server DNS untuk menemukan server KDC tambahan sesuai kebutuhan.

   

3. Klik Gabung untuk menyimpan konfigurasi.

Mengonfigurasi sambungan Direktori Aktif

Konfigurasi NFSv4.1 Kerberos membuat dua akun komputer di Direktori Aktif:

• Akun komputer untuk berbagi SMB
• Akun komputer untuk NFSv4.1--Anda dapat mengidentifikasi akun ini dengan cara prefiks NFS-.

Setelah membuat volume NFSv4.1 Kerberos pertama, atur jenis enkripsi untuk akun komputer dengan menggunakan perintah PowerShell berikut:

Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256

Mengonfigurasi klien NFS

Ikuti instruksi dalam Mengonfigurasi klien NFS untuk Azure NetApp Files untuk mengonfigurasi klien NFS.

Pasang volume NFS Kerberos

1. Dari halaman Volume, pilih volume NFS yang ingin Anda pasang.

2. Pilih Kaitkan instruksi dari volume untuk menampilkan instruksi.

   Misalnya:

   

3. Buat direktori (titik kait) untuk volume baru.

4. Atur jenis enkripsi default ke AES 256 untuk akun komputer:
   Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

   • Anda hanya perlu menjalankan perintah ini sekali untuk setiap akun komputer.
   • Anda dapat menjalankan perintah ini dari pengontrol domain atau dari PC dengan RSAT yang terinstal.
   • Variabel $NFSCOMPUTERACCOUNT adalah akun komputer yang dibuat di Direktori Aktif saat Anda menyebarkan volume Kerberos. Ini adalah akun yang dia awali dengan NFS-.
   • $ANFSERVICEACCOUNT Variabel ini adalah akun pengguna Direktori Aktif non-istimewa dengan kontrol yang didelegasikan atas Unit Organisasi tempat akun komputer dibuat.

5. Pasang volume pada host:

   sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=1048576,wsize=1048576,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

   • Variabel $ANFEXPORT adalahhost:/export jalur yang ditemukan dalam instruksi pengkait.
   • Variabel $ANFMOUNTPOINT adalah folder yang dibuat pengguna di host Linux.

Dampak performa Kerberos terhadap NFSv4.1

Anda harus memahami opsi keamanan yang tersedia untuk volume NFSv4.1, vektor performa yang diuji, dan dampak performa kerberos yang diharapkan. Lihat Dampak performa Kerberos pada volume NFSv4.1 untuk detailnya.

Langkah berikutnya

• Dampak performa Kerberos terhadap volume NFSv4.1
• Memecahkan masalah kesalahan volume untuk Azure NetApp Files
• Tanya Jawab Umum NFS
• FAQ tentang Performa
• Membuat volume NFS untuk File Azure NetApp
• Membuat sambungan Direktori Aktif
• Konfigurasikan klien NFS untuk Azure NetApp Files
• Mengonfigurasi ADDS LDAP dengan grup yang diperluas untuk akses volume NFS