Configurar a encriptação NFSv4.1 Kerberos para o Azure NetApp Files

Azure NetApp Files suporta a encriptação do cliente NFS nos modos Kerberos (krb5, krb5i e krb5p) com encriptação AES-256. Este artigo descreve as configurações necessárias para a utilização de um volume NFSv4.1 com encriptação Kerberos.

Requisitos

Os seguintes requisitos aplicam-se à encriptação do cliente NFSv4.1:

  • Ative Directory Domain Services (AD DS) ou Azure Ative Directory Domain Services (AADDS) para facilitar a bilhética Kerberos
  • Criação de registo DNS A/PTR para o cliente e Azure NetApp Files endereços IP do servidor NFS
  • Um cliente Linux: Este artigo fornece orientação para clientes RHEL e Ubuntu. Outros clientes trabalharão com passos de configuração semelhantes.
  • Acesso ao servidor NTP: Pode utilizar um dos controladores de domínio do Controlador de Domínio do Ative Directory (AD DC) comumente utilizados.
  • Para alavancar a autenticação do utilizador do Domínio ou do LDAP, certifique-se de que os volumes NFSv4.1 estão ativados para LDAP. Consulte Configure ADDS LDAP com grupos estendidos.
  • Certifique-se de que os nomes principais dos utilizadores para as contas de utilizador não terminam com um $ símbolo (por exemplo, user$@REALM.COM).
    Para contas de serviço geridas pelo Grupo (gMSA), é necessário remover o rasto $ do Nome Principal do Utilizador antes de a conta poder ser utilizada com a funcionalidade Azure NetApp Files Kerberos.

Criar um volume NFS Kerberos

  1. Siga os passos na Criação de um volume NFS para Azure NetApp Files para criar o volume NFSv4.1.

    Na página Criar um Volume, desabrava a versão NFSv4.1 e definisse Kerberos para Ativação.

    Importante

    Não é possível modificar a seleção de ativação Kerberos após a criação do volume.

    Criar volume NFSv4.1 Kerberos

  2. Selecione a Política de Exportação para combinar com o nível de acesso e segurança pretendido (Kerberos 5, Kerberos 5i ou Kerberos 5p) para o volume.

    Para o impacto de desempenho da Kerberos, consulte o impacto de desempenho da Kerberos na NFSv4.1.

    Também pode modificar os métodos de segurança Kerberos para o volume clicando na Política de Exportação no painel de navegação Azure NetApp Files.

  3. Clique em Rever + Criar para criar o volume NFSv4.1.

Configurar o portal do Azure

  1. Siga as instruções na Criar uma ligação ative diretoria.

    Kerberos requer que crie pelo menos uma conta de máquina no Ative Directory. A informação de conta que fornece é utilizada para criar as contas tanto para os volumes SMB como para os volumes Kerberos da NFSv4.1. Esta conta é criada automaticamente durante a criação de volume.

  2. No Reino de Kerberos, insira o Nome do Servidor de AD e o endereço IP KDC .

    O AD Server e o KDC IP podem ser o mesmo servidor. Estas informações são utilizadas para criar a conta de máquinas SPN utilizada por Azure NetApp Files. Após a criação da conta da máquina, Azure NetApp Files utilizará registos dns server para localizar servidores KDC adicionais, conforme necessário.

    Reino de Kerberos

  3. Clique em Juntar-se para guardar a configuração.

Configurar ligação de Diretório Ativo

Configuração de NFSv4.1 Kerberos cria duas contas de computador em Ative Directory:

  • Uma conta de computador para ações SMB
  • Uma conta de computador para NFSv4.1-- Pode identificar esta conta através do prefixo NFS-.

Depois de criar o primeiro volume NFSv4.1 Kerberos, deteta o tipo de encriptação para a conta do computador utilizando o seguinte comando PowerShell:

Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256

Configure o cliente NFS

Siga as instruções em Configure um cliente NFS para Azure NetApp Files para configurar o cliente NFS.

Monte o volume NFS Kerberos

  1. Na página Volumes , selecione o volume NFS que pretende montar.

  2. Selecione as instruções de montagem do volume para visualizar as instruções.

    Por exemplo:

    Monte instruções para volumes Kerberos

  3. Crie o diretório (ponto de montagem) para o novo volume.

  4. Desacrie o tipo de encriptação padrão para AES 256 para a conta do computador:
    Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

    • Só precisa de executar este comando uma vez para cada conta de computador.
    • Pode executar este comando a partir de um controlador de domínio ou de um PC com O RSAT instalado.
    • A $NFSCOMPUTERACCOUNT variável é a conta de computador criada no Ative Directory quando implementa o volume Kerberos. Esta é a conta que está prefixada.NFS-
    • A $ANFSERVICEACCOUNT variável é uma conta de utilizador ative não privilegiada com controlos delegados sobre a Unidade Organizacional onde a conta de computador foi criada.
  5. Monte o volume no hospedeiro:

    sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=1048576,wsize=1048576,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

    • A $ANFEXPORT variável é o host:/export caminho encontrado nas instruções de montagem.
    • A $ANFMOUNTPOINT variável é a pasta criada pelo utilizador no anfitrião Linux.

Impacto de desempenho da Kerberos no NFSv4.1

Você deve entender as opções de segurança disponíveis para volumes NFSv4.1, os vetores de desempenho testados, e o impacto de desempenho esperado de kerberos. Consulte o impacto de desempenho de Kerberos em volumes NFSv4.1 para mais detalhes.

Passos seguintes