跳到主要内容

对 NFS 使用 Kerberos 以增强安全性

如果环境中使用 Kerberos 进行强认证,则需要与 Kerberos 管理员一起确定要求和相应的存储系统配置,然后将 SVM 作为 Kerberos 客户端启用。

您的环境应符合以下准则:

  • 为 ONTAP 配置 Kerberos 之前,站点部署应遵守 Kerberos 服务器和客户端配置的最佳实践。

  • 如果需要 Kerberos 认证,应尽量使用 NFSv4 或更高版本。

    NFSv3 可与 Kerberos 一起使用。但是,Kerberos 的全部安全优势只有在 NFSv4 或更高版本的 ONTAP 部署中才能完全发挥出来。

  • 要提升冗余服务器访问,应在使用相同 SPN 的集群中多个节点上的多个数据 LIF 中启用 Kerberos。

  • 如果在 SVM 上启用了 Kerberos,则必须在导出规则中为卷或 Qtree 指定以下安全方法之一,具体取决于 NFS 客户端配置。

    • krb5(Kerberos v5 协议)
    • krb5i(使用校验和进行完整性检查的 Kerberos v5 协议)
    • krb5p(带隐私服务的 Kerberos v5 协议)

除了 Kerberos 服务器和客户端,还必须为 ONTAP 配置以下外部服务才能支持 Kerberos:

  • 目录服务

    您应该在环境中使用配置为使用 LDAP over SSL/TLS 的安全目录服务,如 Active Directory 或 OpenLDAP。请勿使用 NIS,因为其请求以明文发送,因此不安全。

  • NTP

    必须有一个正在工作且在运行 NTP 的时间服务器。这是防止时间偏移导致 Kerberos 认证失败所必需的。

  • 域名解析(DNS)

    每个 UNIX 客户端和每个 SVM LIF 都必须在正向查找区域和反向查找区域下向 KDC 注册正确的服务记录(SRV)。必须可以通过 DNS 正确解析所有参与者。

  1. 验证 Kerberos 权限配置
    Kerberos 要求为 SVM 根卷和为本地用户和组设置特定 UNIX 权限。
  2. 创建 NFS Kerberos 领域配置
    如果希望 ONTAP 访问您的环境中的外部 Kerberos 服务器,必须首先配置 SVM,以使用现有的 Kerberos 领域。为此,您需要收集 Kerberos KDC 服务器的配置值,然后使用 vserver nfs kerberos realm create 命令在 SVM 上创建 Kerberos 领域配置。
  3. 配置 NFS Kerberos 允许的加密类型
    默认情况下,ONTAP 支持 NFS Kerberos 的以下加密类型:DES、3DES、AES-128 和 AES-256。可以使用具有 -permitted-enc-types 参数的 vserver nfs modify 命令为每个 SVM 配置允许的加密类型,以适应特定环境的安全要求。
  4. 在数据 LIF 上启用 Kerberos
    可以使用 vserver nfs kerberos interface enable 命令在数据 LIF 上启用 Kerberos。这样 SVM 就可以为 NFS 启用 Kerberos 安全服务。