管理 CIFS 服务器安全设置
您可自定义 CIFS 服务器安全设置,以满足业务需求。您可修改 Kerberos 安全设置、确定是否对传入的 SMB 流量要求 SMB 签名、是否使用 LDAP 会话安全、是否对 Kerberos 通信启用 AES 加密、访问共享时是否需要 SMB 加密,以及是否对本地用户要求密码复杂性。还可设置最低认证安全级别。
- ONTAP 如何处理 SMB 客户端认证
用户必须经过 CIFS 服务器所属的域认证后,才能创建访问包含在 SVM 上的数据的 SMB 连接。CIFS 服务器支持两种认证方法:Kerberos 和 NTLM(NTLMv1 或 NTLMv2)。Kerberos 是用于认证域用户的默认方法。 - SVM 灾难恢复配置中的 SMB 服务器安全设置准则
在创建配置为不会保留身份(-identity-preserve 选项在 SnapMirror 配置中设置为 false)的灾难恢复目标的 SVM 时,您应该了解如何在目标 SVM 上对 SMB 服务器安全设置进行管理。 - 显示关于 CIFS 服务器安全设置的信息
您可以显示存储虚拟机(SVM)上关于 CIFS 服务器安全设置的信息。此信息可用于验证安全设置是否正确。 - 启用或禁用针对本地 SMB 用户的密码复杂性要求
密码复杂性要求可提高您的存储虚拟机(SVM)上本地 SMB 用户的安全性。默认情况下,密码复杂性要求为已启用。您可以随时禁用然后重新启用此要求。 - 修改 CIFS 服务器 Kerberos 安全设置
可修改特定 CIFS 服务器 Kerberos 安全设置,包括允许的最大 Kerberos 时钟偏差时间、Kerberos 凭单生存期和凭单续订的最大天数。 - 设置 CIFS 服务器最低认证安全级别
您可在 CIFS 服务器上设置 CIFS 服务器的最低安全级别(也称为 LMCompatibilityLevel),以满足 SMB 访问的业务安全要求。最低安全级别是 CIFS 服务器接受来自 SMB 客户端的安全令牌的最低级别。 - 使用 AES 加密为基于 Kerberos 的通信配置增强的安全性
要利用基于 Kerberos 通信的强大安全功能,可以在 SMB 服务器上启用 AES-256 和 AES-128 加密。默认情况下,在 SVM 上创建 SMB 服务器时,会禁用 AES 加密。必须启用才能利用高级加密标准(AES)加密提供的强大安全性。 - 为基于 Kerberos 的通信启用或禁用 AES 加密
要利用基于 Kerberos 通信的强大安全功能,可以在 CIFS 服务器上启用 AES-256 和 AES-128 加密。如果您不希望 CIFS 服务器为具有 Active Directory(AD)KDC 的基于 Kerberos 的通信选择 AES 加密类型,可以禁用 AES 加密。默认情况下,AES 加密处于禁用状态。 - 使用 SMB 签名增强网络安全性
SMB 签名有助于防止 SMB 服务器和客户端之间的网络流量受到影响;这是通过阻止重放攻击来实现的。默认情况下,在客户端请求时,ONTAP 支持 SMB 签名。(可选)存储管理员可将 CIFS 服务器配置为需要 SMB 签名。 - 在 SMB 服务器上针对通过 SMB 进行的数据传输配置必要的 SMB 加密
针对通过 SMB 进行的数据传输进行 SMB 加密是提高安全性的一种方法,您可在 SMB 服务器上启用或禁用该加密。您还可通过共享属性设置,对单个共享配置所需的 SMB 加密设置。 - 保护 LDAP 会话通信
可通过两种方式对 AD 服务器的查询启用 LDAP 安全会话。对于存储虚拟机(SVM) LDAP 客户端和 LDAP 服务器之间的会话流量,可使用 LDAP 签名(保护完整性)和密封(加密流量)。此外,也可使用 LDAP over TLS 加密所有会话流量。
提供反馈