Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure NetApp Files mendukung enkripsi klien NFS dalam mode Kerberos (krb5, krb5i, dan krb5p) dengan enkripsi AES-256. Artikel ini menjelaskan konfigurasi yang diperlukan untuk menggunakan volume NFSv4.1 dengan enkripsi Kerberos.
Persyaratan
Persyaratan berikut berlaku untuk enkripsi klien NFSv4.1:
- Koneksi Active Directory Domain Services (AD DS) atau Microsoft Entra Domain Services untuk memfasilitasi penerbitan tiket Kerberos
- Pembuatan catatan DNS A/PTR untuk klien dan alamat IP server NFS Azure NetApp Files
- Klien Linux: Artikel ini menyediakan panduan untuk klien RHEL dan Ubuntu. Klien lain juga bekerja dengan langkah-langkah konfigurasi serupa.
- Akses server NTP: Anda dapat menggunakan salah satu pengendali domain Active Directory Domain Controller (AD DC) yang umum digunakan.
- Untuk memanfaatkan autentikasi pengguna Domain atau LDAP, pastikan volume NFSv4.1 diaktifkan untuk LDAP. Lihat Mengonfigurasi ADDS LDAP dengan grup yang diperluas.
- Pastikan bahwa Nama Prinsipal Pengguna untuk akun pengguna tidak diakhiri dengan simbol (misalnya, user$@REALM.COM).
Untuk Akun layanan terkelola grup (gMSA), Anda perlu menghapus trailing$dari Nama Prinsipal Pengguna sebelum akun dapat digunakan dengan fitur Azure NetApp Files Kerberos.
Membuat Volume NFS Kerberos
Ikuti langkah-langkah dalam Membuat volume NFS untuk Azure NetApp Files untuk membuat volume NFSv4.1.
Pada halaman Buat volume, atur versi NFS ke NFSv4.1 dan atur Kerberos ke Diaktifkan.
Penting
Anda tidak dapat mengubah pilihan pengaktifan Kerberos setelah volume dibuat.
Pilih Kebijakan Ekspor agar sesuai dengan tingkat akses dan opsi keamanan yang diinginkan (Kerberos 5, Kerberos 5i, atau Kerberos 5p) untuk volume.
Untuk dampak performa Kerberos, lihat Dampak performa Kerberos pada NFSv4.1.
Anda juga dapat mengubah metode keamanan Kerberos untuk volume dengan mengklik Kebijakan Ekspor di panel navigasi Azure NetApp Files.
Pilih Tinjau + Buat untuk membuat volume NFSv4.1.
Mengonfigurasi portal Microsoft Azure
Ikuti instruksi di Membuat koneksi Direktori Aktif.
Kerberos mengharuskan Anda membuat setidaknya satu akun komputer di Direktori Aktif. Informasi akun yang Anda berikan digunakan untuk membuat akun untuk kedua jenis volume SMB dan NFSv4.1 Kerberos. Akun komputer ini dibuat secara otomatis selama pembuatan volume.
Di bawah Kerberos Realm, masukkan Nama Server AD dan alamat IP KDC .
AD Server dan KDC IP dapat menjadi server yang sama. Informasi ini digunakan untuk membuat akun komputer SPN yang digunakan oleh Azure NetApp Files. Setelah akun komputer dibuat, Azure NetApp Files menggunakan rekaman Server DNS untuk menemukan server KDC tambahan sesuai kebutuhan. Di Nama Server AD, berikan nama host komputer tanpa menambahkan domain.
Pilih Gabung untuk menyimpan konfigurasi.
Mengonfigurasi koneksi Active Directory
Konfigurasi NFSv4.1 Kerberos membuat dua akun komputer di Direktori Aktif:
- Akun komputer untuk berbagi file SMB
- Akun komputer untuk NFSv4.1--Anda dapat mengidentifikasi akun ini dengan menggunakan awalan
NFS-.
Setelah membuat volume NFSv4.1 Kerberos pertama, atur jenis enkripsi untuk akun komputer dengan perintah Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256PowerShell .
Mengonfigurasi klien NFS
Ikuti instruksi di Mengonfigurasi klien NFS untuk Azure NetApp Files untuk mengonfigurasi klien NFS.
Memasang volume NFS Kerberos
Dari halaman Volume , pilih volume NFS yang ingin Anda pasang.
Pilih Instruksi pemasangan dari volume untuk menampilkan instruksi.
Contohnya:
Buat direktori (titik pemasangan) untuk volume baru.
Atur jenis enkripsi default ke AES 256 untuk akun komputer:
Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT- Anda perlu menjalankan perintah ini hanya sekali untuk setiap akun komputer.
- Anda dapat menjalankan perintah ini dari pengendali domain atau dari PC dengan RSAT terinstal .
- Variabel
$NFSCOMPUTERACCOUNTadalah akun komputer yang dibuat di Direktori Aktif saat Anda menyebarkan volume Kerberos. Ini adalah akun yang diawali denganNFS-. - Variabel
$ANFSERVICEACCOUNTadalah akun pengguna Active Directory yang tidak memiliki hak istimewa dengan kontrol yang didelegasikan atas Unit Organisasi di mana akun komputer dibuat.
Pasang volume pada host:
sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT- Variabel
$ANFEXPORTadalahhost:/exportjalur yang ditemukan dalam instruksi pemasangan. - Variabel
$ANFMOUNTPOINTadalah folder yang dibuat pengguna pada host Linux.
- Variabel
Dampak performa Kerberos terhadap NFSv4.1
Anda harus memahami opsi keamanan yang tersedia untuk volume NFSv4.1, vektor performa yang diuji, dan dampak performa yang diharapkan dari kerberos. Untuk informasi selengkapnya, lihat Dampak performa Kerberos pada volume NFSv4.1.
Langkah selanjutnya
- Dampak performa Kerberos pada volume NFSv4.1
- Memecahkan masalah kesalahan volume untuk Azure NetApp Files
- Tanya Jawab Umum NFS
- Tanya Jawab Umum Performa
- Membuat volume NFS untuk Azure NetApp Files
- Membuat koneksi Direktori Aktif
- Mengonfigurasi klien NFS untuk Azure NetApp Files
- Mengonfigurasi ADDS LDAP dengan grup yang diperluas untuk akses volume NFS