Настройка шифрования Kerberos для NFSv4.1 в Azure NetApp Files.

Azure NetApp Files поддерживает шифрование клиентов NFS в режимах Kerberos (krb5, krb5i и krb5p) с использованием шифрования AES-256. В этой статье описываются необходимые настройки для использования тома NFSv4.1 с шифрованием Kerberos.

Требования

К шифрованию клиента NFSv4.1 применяются следующие требования:

• Подключение служб доменов Active Directory (AD DS) или служб доменов Microsoft Entra для упрощения выдачи билетов Kerberos.
• Создание DNS-записей типа A/PTR для IP-адресов как клиента, так и сервера Azure NetApp Files NFS.
• Клиент Linux: В этой статье приведены рекомендации для клиентов RHEL и Ubuntu. Другие клиенты также работают с аналогичными шагами настройки.
• Доступ к серверу NTP: Вы можете использовать один из часто используемых контроллеров домена Active Directory (AD DC).
• Чтобы использовать аутентификацию пользователей через домен или LDAP, убедитесь, что тома NFSv4.1 включены для LDAP. Смотрите раздел Настройка LDAP ADDS с расширенными группами.
• Убедитесь, что имени пользователя (User Principal Name) для учетных записей пользователей не оканчиваются символом (например, user$@REALM.COM).
  Для групповых управляемых учетных записей служб (gMSA) необходимо удалить конец $ из имени участника-пользователя, прежде чем учетную запись можно будет использовать с функцией Kerberos Azure NetApp Files.

Создать том NFS с Kerberos

1. Выполните шаги из Create an NFS volume for Azure NetApp Files, чтобы создать том NFSv4.1.

   На странице "Создание тома" установите для версии NFS значение NFSv4.1 и установите для Kerberos значение "Включено".

   Это важно

   После создания тома невозможно изменить выбор включения Kerberos.

   

2. Выберите Экспортную политику, чтобы выбрать подходящий уровень доступа и параметр безопасности (Kerberos 5, Kerberos 5i или Kerberos 5p) для тома.

   Для оценки влияния Kerberos на производительность см. Влияние Kerberos на производительность в NFSv4.1.

   Вы также можете изменить методы безопасности Kerberos для тома, нажав Политику экспорта в панели навигации Azure NetApp Files.

3. Выберите "Проверка и создание", чтобы создать том NFSv4.1.

Настройте портал Azure

1. Следуйте инструкциям в Create an Active Directory connection.

   Kerberos требует, чтобы вы создали хотя бы одну учетную запись компьютера в Active Directory. Информация об учетных записях, которую вы предоставляете, используется для создания учетных записей как для SMB, так и для томов Kerberos в NFSv4.1. Эта машинная учетная запись создается автоматически во время создания тома.

2. Под Kerberos Realm введите Имя сервера AD и адрес IP KDC.

   AD-сервер и IP KDC могут быть одним и тем же сервером. Эта информация используется для создания учетной записи компьютера SPN, используемой службой Azure NetApp Files. После создания учетной записи компьютера Azure NetApp Files использует записи DNS-сервера для поиска дополнительных серверов KDC по мере необходимости.

   

3. Выберите "Присоединиться" , чтобы сохранить конфигурацию.

Настройка подключения к Active Directory

Настройка Kerberos для NFSv4.1 создает две учетные записи компьютеров в Active Directory.

• Учетная запись компьютера для SMB-ресурсов
• Учетная запись компьютера для NFSv4.1-Вы можете определить эту учетную запись с помощью префикса NFS-.

После создания первого тома NFSv4.1 Kerberos задайте тип шифрования для учетной записи компьютера с помощью команды Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256PowerShell.

Настройте клиент NFS

Следуйте инструкциям в Configure an NFS client for Azure NetApp Files, чтобы настроить клиент NFS.

Смонтируйте том NFS Kerberos

1. На странице Тома выберите том NFS, который вы хотите смонтировать.

2. Выберите инструкции по монтированию из тома, чтобы отобразить инструкции.

   Рассмотрим пример.

   

3. Создайте каталог (точку монтирования) для нового тома.

4. Установите тип шифрования по умолчанию на AES 256 для учетной записи компьютера.
   Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

   • Вам нужно запустить эту команду только один раз для каждой учетной записи компьютера.
   • Вы можете выполнить эту команду с контроллера домена или с ПК, на котором установлено RSAT.
   • Переменная $NFSCOMPUTERACCOUNT представляет собой учетную запись компьютера, созданную в Active Directory при развертывании тома Kerberos. Это учетная запись, к которой добавлен префикс NFS-.
   • Переменная $ANFSERVICEACCOUNT представляет собой учетную запись пользователя Active Directory без привилегий, с делегированным управлением над организационной единицей, где была создана учетная запись компьютера.

5. Смонтируйте том на хосте:

   sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

   • Переменная $ANFEXPORT представляет собой путь host:/export, найденный в инструкциях по монтированию.
   • Переменная $ANFMOUNTPOINT — это папка, созданная пользователем на хосте Linux.

Влияние Kerberos на производительность NFSv4.1

Вы должны понимать доступные варианты безопасности для томов NFSv4.1, проверенные показатели производительности и ожидаемое влияние на производительность от использования kerberos. Для получения подробной информации см. раздел о влиянии Kerberos на тома NFSv4.1.

Дальнейшие действия

• Влияние Kerberos на производительность томов NFSv4.1
• Устранение ошибок с томами для Azure NetApp Files
• Вопросы и ответы по NFS
• Вопросы и ответы по производительности
• Создание тома NFS для Azure NetApp Files
• Создание подключения к Active Directory
• Настройте клиент NFS для Azure NetApp Files
• Настроить ADDS LDAP с расширенными группами для доступа к томам NFS