为基于 Kerberos 的通信启用或禁用 AES 加密
要利用基于 Kerberos 通信的强大安全功能,可以在 CIFS 服务器上启用 AES-256 和 AES-128 加密。如果您不希望 CIFS 服务器为具有 Active Directory(AD)KDC 的基于 Kerberos 的通信选择 AES 加密类型,可以禁用 AES 加密。默认情况下,AES 加密处于禁用状态。
关于本任务
为提高安全性,存储虚拟机(SVM)在每次修改 AES 安全选项时,将在 AD 中更改其计算机帐户密码。更改密码可能需要包含计算机帐户的组织单位(OU)的管理 AD 凭证。
如果将 SVM 配置为灾难恢复目标而其中不保留身份(在 SnapMirror 配置中 -identity-preserve 选项设置为 false),则非默认 CIFS 服务器安全设置不复制到目标。如果在源 SVM 上启用了 AES 加密,则在目标变为读写(SnapMirror 关系已断开时)之后,必须在目标 SVM 上手动启用加密。
示例
以下示例为 SVM vs1 上的 CIFS 服务器启用 AES 加密类型:
cluster1::> vserver cifs security modify -vserver vs1 -is-aes-encryption-enabled true
cluster1::> vserver cifs security show -vserver vs1 -fields is-aes-encryption-enabled
vserver is-aes-encryption-enabled
-------- -------------------------
vs1 true
以下示例为 SVM vs2 上的 CIFS 服务器启用 AES 加密类型:将提示管理员输入包含 CIFS 服务器的 OU 的管理 AD 凭证。
cluster1::> vserver cifs security modify -vserver vs2 -is-aes-encryption-enabled true
Info: In order to enable CIFS AES encryption, the password for the CIFS server
machine account must be reset. Enter the username and password for the
CIFS domain "EXAMPLE.COM".
Enter your user ID: administrator
Enter your password:
cluster1::> vserver cifs security show -vserver vs2 -fields is-aes-encryption-enabled
vserver is-aes-encryption-enabled
-------- -------------------------
vs2 true
提供反馈