Konfigurera NFSv4.1 Kerberos-kryptering för Azure NetApp Files

Azure NetApp Files stöder NFS-klientkryptering i Kerberos-lägen (krb5, krb5i och krb5p) med AES-256-kryptering. I den här artikeln beskrivs de konfigurationer som krävs för att använda en NFSv4.1-volym med Kerberos-kryptering.

Behov

Följande krav gäller för NFSv4.1-klientkryptering:

• Active Directory-domän Services (AD DS) eller Microsoft Entra Domain Services-anslutning för att underlätta Kerberos-biljetthantering
• Skapa DNS A/PTR-post för både klienten och Azure NetApp Files NFS-serverns IP-adresser
• En Linux-klient: Den här artikeln innehåller vägledning för RHEL- och Ubuntu-klienter. Andra klienter fungerar med liknande konfigurationssteg.
• NTP-serveråtkomst: Du kan använda en av de vanliga domänkontrollanterna för Active Directory-domän controller (AD DC).
• Om du vill utnyttja domän- eller LDAP-användarautentisering kontrollerar du att NFSv4.1-volymer är aktiverade för LDAP. Se Konfigurera ADDS LDAP med utökade grupper.
• Se till att användarens huvudnamn för användarkonton inte slutar med en $ symbol (till exempel user$@REALM.COM).
  För grupphanterade tjänstkonton (gMSA) måste du ta bort avslutandet $ från användarens huvudnamn innan kontot kan användas med Azure NetApp Files Kerberos-funktionen.

Skapa en NFS Kerberos-volym

1. Följ stegen i Skapa en NFS-volym för Azure NetApp Files för att skapa NFSv4.1-volymen.

   På sidan Skapa en volym anger du NFS-versionen till NFSv4.1 och anger Kerberos till Aktiverad.

   Viktigt!

   Du kan inte ändra kerberos-aktiveringsvalet när volymen har skapats.

   

2. Välj Exportera princip för att matcha önskad åtkomst- och säkerhetsnivå (Kerberos 5, Kerberos 5i eller Kerberos 5p) för volymen.

   Prestandapåverkan för Kerberos finns i Prestandapåverkan av Kerberos på NFSv4.1.

   Du kan också ändra Kerberos-säkerhetsmetoderna för volymen genom att klicka på Exportera princip i azure NetApp Files-navigeringsfönstret.

3. Klicka på Granska + Skapa för att skapa volymen NFSv4.1.

Konfigurera Azure-portalen

1. Följ anvisningarna i Skapa en Active Directory-anslutning.

   Kerberos kräver att du skapar minst ett datorkonto i Active Directory. Kontoinformationen som du anger används för att skapa konton för både SMB - och NFSv4.1 Kerberos-volymer. Den här datorn är ett konto som skapas automatiskt när volymen skapas.

2. Under Kerberos Realm anger du AD-servernamnet och KDC-IP-adressen .

   AD Server och KDC IP kan vara samma server. Den här informationen används för att skapa DET SPN-datorkonto som används av Azure NetApp Files. När datorkontot har skapats använder Azure NetApp Files DNS Server-poster för att hitta ytterligare KDC-servrar efter behov.

   

3. Spara konfigurationen genom att klicka på Anslut .

Konfigurera Active Directory-anslutning

Konfiguration av NFSv4.1 Kerberos skapar två datorkonton i Active Directory:

• Ett datorkonto för SMB-resurser
• Ett datorkonto för NFSv4.1 – Du kan identifiera det här kontot via prefixet NFS-.

När du har skapat den första NFSv4.1 Kerberos-volymen anger du krypteringstypen för datorkontot med hjälp av följande PowerShell-kommando:

Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256

Konfigurera NFS-klienten

Följ anvisningarna i Konfigurera en NFS-klient för Azure NetApp Files för att konfigurera NFS-klienten.

Montera NFS Kerberos-volymen

1. På sidan Volymer väljer du den NFS-volym som du vill montera.

2. Välj Monteringsinstruktioner från volymen för att visa instruktionerna.

   Till exempel:

   

3. Skapa katalogen (monteringspunkten) för den nya volymen.

4. Ange standardkrypteringstypen till AES 256 för datorkontot:
   Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

   • Du behöver bara köra det här kommandot en gång för varje datorkonto.
   • Du kan köra det här kommandot från en domänkontrollant eller från en dator med RSAT installerat.
   • Variabeln $NFSCOMPUTERACCOUNT är det datorkonto som skapas i Active Directory när du distribuerar Kerberos-volymen. Det här är det konto som är prefixet med NFS-.
   • Variabeln $ANFSERVICEACCOUNT är ett icke-privilegierat Active Directory-användarkonto med delegerade kontroller över organisationsenheten där datorkontot har skapats.

5. Montera volymen på värden:

   sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=1048576,wsize=1048576,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

   • Variabeln $ANFEXPORT är sökvägen host:/export som finns i monteringsinstruktionerna.
   • Variabeln $ANFMOUNTPOINT är den användarskapade mappen på Linux-värden.

Prestandapåverkan av Kerberos på NFSv4.1

Du bör förstå de säkerhetsalternativ som är tillgängliga för NFSv4.1-volymer, testade prestandavektorer och den förväntade prestandapåverkan av kerberos. Mer information finns i Prestandapåverkan av Kerberos på NFSv4.1-volymer .

Nästa steg

• Prestandapåverkan för Kerberos på NFSv4.1-volymer
• Felsöka volymfel för Azure NetApp Files
• Vanliga frågor och svar om NFS
• Vanliga frågor och svar om prestanda
• Skapa en NFS-volym för Azure NetApp Files
• Skapa en Active Directory-anslutning
• Konfigurera en NFS-klient för Azure NetApp Files
• Konfigurera ADDS LDAP med utökade grupper för NFS-volymåtkomst