Compartir a través de


Configuración del cifrado Kerberos de NFSv4.1 para Azure NetApp Files

Azure NetApp Files admite el cifrado de cliente NFS en los modos de Kerberos (krb5, krb5i y krb5p) con el cifrado AES-256. En este artículo se describen las configuraciones necesarias para usar un volumen NFSv4.1 con el cifrado Kerberos.

Requisitos

Los siguientes requisitos se aplican al cifrado de cliente de NFSv4.1:

  • Servicios de dominio de Active Directory (AD DS) o la conexión de Microsoft Entra Domain Services para facilitar la creación de vales kerberos
  • Creación de registros A/PTR de DNS para las direcciones IP del servidor NFS de Azure NetApp Files y el cliente
  • Un cliente Linux: en este artículo se proporcionan instrucciones para los clientes Red Hat Enterprise Linux y Ubuntu. Otros clientes funcionarán con pasos de configuración similares.
  • Acceso al servidor NTP: puede utilizar uno de los controladores de dominio del Controlador de dominio de Active Directory (AD DC) de uso común.
  • Para sacar provecho de la autenticación de usuario LDAP o de dominio, asegúrese de que los volúmenes NFSv4.1 están habilitados para LDAP. Vea Configuración de ADDS LDAP con grupos extendidos.
  • Asegúrese de que los nombres principales de usuario de las cuentas de usuario no terminen con un símbolo $ (por ejemplo, uuser$@REALM.COM).
    En el caso de las cuentas de servicio administradas de grupo (gMSA), es preciso quitar el $ final del nombre principal de usuario para que la cuenta se pueda usar con la característica Azure NetApp Files Kerberos.

Creación de un volumen Kerberos de NFS

  1. Siga los pasos de Creación de un volumen de NFS para Azure NetApp Files para crear el volumen de NFSv4.1.

    En la página Crear un volumen, establezca la versión de NFS en NFSv4.1 y establezca Kerberos en Habilitado.

    Importante

    No se puede modificar la selección de habilitación de Kerberos una vez creado el volumen.

    Create NFSv4.1 Kerberos volume

  2. Seleccione Directiva de exportación para que coincida con el nivel deseado de la opción de acceso y seguridad (Kerberos 5, Kerberos 5i, o Kerberos 5p) del volumen.

    Para ver el impacto en el rendimiento de Kerberos, vea Impacto en el rendimiento de Kerberos en NFSv4.1.

    También puede modificar los métodos de seguridad de Kerberos para el volumen; para ello, haga clic en Directiva de exportación en el panel de navegación de Azure NetApp Files.

  3. Haga clic en Revisar y crear para crear el volumen de NFSv4.1.

Configuración en Azure Portal

  1. Siga las instrucciones de Creación de una conexión de Active Directory.

    Kerberos requiere que cree al menos una cuenta de equipo en Active Directory. La información de la cuenta que proporcione se usa para crear las cuentas de los volúmenes de Kerberos SMB y NFSv4.1. Esta máquina se crea automáticamente durante la creación del volumen.

  2. En Dominio Kerberos, escriba el Nombre del servidor de AD y la dirección IP de KDC.

    El servidor de AD y la dirección IP del KDC pueden ser el mismo servidor. Esta información se usa para crear la cuenta de equipo de SPN que usa Azure NetApp Files. Una vez creada la cuenta de equipo, Azure NetApp Files usará registros del servidor DNS para buscar servidores KDC adicionales según sea necesario.

    Kerberos Realm

  3. Haga clic en Conectar para guardar la configuración.

Configuración de la conexión de Active Directory

La configuración de NFSv4.1 de Kerberos crea dos cuentas de equipo en Active Directory:

  • Una cuenta de equipo para los recursos compartidos SMB.
  • Una cuenta de equipo para NFSv4.1: puede identificar esta cuenta mediante el prefijo NFS-.

Una vez creado el primer volumen Kerberos NFSv4.1, establezca el tipo de cifrado de la cuenta de equipo mediante el siguiente comando de PowerShell:

Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256

Configuración del cliente NFS

Siga las instrucciones de Configuración de un cliente NFS para Azure NetApp Files para configurar el cliente NFS.

Montaje del volumen Kerberos de NFS

  1. En la página Volúmenes, seleccione el volumen NFS que desea montar.

  2. Seleccione Instrucciones de montaje en el volumen para mostrar las instrucciones.

    Por ejemplo:

    Mount instructions for Kerberos volumes

  3. Cree el directorio (punto de montaje) para el nuevo volumen.

  4. Establezca el tipo de cifrado predeterminado en AES 256 para la cuenta de equipo:
    Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

    • Solo tiene que ejecutar este comando una vez para cada cuenta de equipo.
    • Puede ejecutar este comando desde un controlador de dominio o desde un equipo con RSAT instalado.
    • La variable $NFSCOMPUTERACCOUNT es la cuenta de equipo creada en Active Directory al implementar el volumen de Kerberos. Se trata de la cuenta que tiene el prefijo NFS-.
    • La variable $ANFSERVICEACCOUNT es una cuenta de usuario de Active Directory sin privilegios con controles delegados en la unidad organizativa en la que se ha creado la cuenta de equipo.
  5. Monte el volumen en el host:

    sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

    • La variable $ANFEXPORT es la ruta de acceso host:/export que se encuentra en las instrucciones de montaje.
    • La variable $ANFMOUNTPOINT es la carpeta creada por el usuario en el host de Linux.

Impacto en el rendimiento de Kerberos en NFSv4.1

Debe comprender las opciones de seguridad disponibles para los volúmenes NFSv4.1, los vectores de rendimiento probados y el impacto esperado en el rendimiento de Kerberos. Para más información, consulte Impacto en el rendimiento de Kerberos en los volúmenes NFSv4.1.

Pasos siguientes