跳到主要内容

配置 NFS Kerberos 允许的加密类型

默认情况下,ONTAP 支持 NFS Kerberos 的以下加密类型:DES、3DES、AES-128 和 AES-256。可以使用具有 -permitted-enc-types 参数的 vserver nfs modify 命令为每个 SVM 配置允许的加密类型,以适应特定环境的安全要求。

关于本任务

为实现最佳的客户端兼容性,ONTAP 在默认情况下支持弱 DES 和强 AES 加密。这就意味着,例如,如果您希望提高安全性,您的环境也支持,即可使用此过程禁用 DES 和 3DES,并要求客户端仅使用 AES 加密。

应使用可用的最强加密。对于 ONTAP,该加密为 AES-256。您应与 KDC 管理员确认,您的环境中是否支持这种加密级别。

  • SVM 上完全启用或禁用 AES(AES-128 和 AES-256)会造成中断,因为这样会破坏原始 DES 主体/keytab 文件,进而要求在 SVM 的所有 LIF 上禁用 Kerberos 配置。

    在进行此更改之前,应确认 NFS 客户端并不依赖 SVM 上的 AES 加密。

  • 启用或禁用 DES 或 3DES 并不需要在 LIF 上对 Kerberos 配置进行任何更改。

启用或禁用希望允许的加密类型:
如果希望启用或禁用...执行这些步骤...
DES 或 3DES

  1. 配置

    SVM 的 NFS Kerberos 允许的加密类型:vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types

    用逗号分隔多种加密类型。

  2. 验证更改是否成功:

    vserver nfs show -vserver vserver_name -fields permitted-enc-types
AES-128 或 AES-256

  1. 确定在哪个

    SVM 和 LIF 上启用了 Kerberos:vserver nfs kerberos interface show

  2. 在希望修改允许的 NFS Kerberos 加密类型的

    SVM 上,禁用所有 LIF 的 Kerberos:vserver nfs kerberos interface disable -lif lif_name

  3. 配置

    SVM 的 NFS Kerberos 允许的加密类型:vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types

    用逗号分隔多种加密类型。

  4. 验证更改是否成功:

    vserver nfs show -vserver vserver_name -fields permitted-enc-types

  5. SVM 上的所有 LIF 上重新启用 Kerberos:vserver nfs kerberos interface enable -lif lif_name -spn service_principal_name

  6. 验证是否已在所有 LIF 上启用 Kerberos:

    vserver nfs kerberos interface show