Configurare la crittografia Kerberos NFS v4.1 per Azure NetApp Files

Azure NetApp Files supporta la crittografia client NFS in modalità Kerberos (krb5, krb5i e krb5p) con crittografia AES-256. Questo articolo descrive le configurazioni necessarie per l'uso di un volume NFSv4.1 con la crittografia Kerberos.

Requisiti

I requisiti seguenti si applicano alla crittografia client NFSv4.1:

• Dominio di Active Directory Services (AD DS) o la connessione a Servizi di dominio Microsoft Entra per facilitare il ticket Kerberos
• Creazione di record DNS A/PTR sia per il client che per gli indirizzi IP del server NFS di Azure NetApp Files
• Un client Linux: questo articolo fornisce indicazioni per i client RHEL e Ubuntu. Altri client funzioneranno con passaggi di configurazione simili.
• Accesso al server NTP: è possibile usare uno dei controller di dominio Dominio di Active Directory Controller (AD DC) comunemente usati.
• Per sfruttare l'autenticazione utente di dominio o LDAP, assicurarsi che i volumi NFSv4.1 siano abilitati per LDAP. Vedere Configurare ADDS LDAP con gruppi estesi.
• Assicurarsi che i nomi delle entità utente per gli account utente non terminano con un $ simbolo , ad esempio user$@REALM.COM.
  Per gli account del servizio gestito di gruppo , è necessario rimuovere l'elemento finale $ dal nome dell'entità utente prima che l'account possa essere usato con la funzionalità Kerberos di Azure NetApp Files.

Creare un volume Kerberos NFS

1. Seguire la procedura descritta in Creare un volume NFS per Azure NetApp Files per creare il volume NFSv4.1.

   Nella pagina Crea un volume impostare la versione NFS su NFSv4.1 e impostare Kerberos su Abilitato.

   Importante

   Non è possibile modificare la selezione dell'abilitazione Kerberos dopo la creazione del volume.

   

2. Selezionare Esporta criteri in modo che corrispondano al livello di accesso e sicurezza desiderato (Kerberos 5, Kerberos 5i o Kerberos 5p) per il volume.

   Per un impatto sulle prestazioni di Kerberos, vedere Impatto sulle prestazioni di Kerberos su NFSv4.1.

   È anche possibile modificare i metodi di sicurezza Kerberos per il volume facendo clic su Esporta criteri nel riquadro di spostamento di Azure NetApp Files.

3. Fare clic su Rivedi e crea per creare il volume NFSv4.1.

Configurare il portale di Azure

1. Seguire le istruzioni in Creare una connessione Active Directory.

   Kerberos richiede la creazione di almeno un account computer in Active Directory. Le informazioni sull'account fornite vengono usate per creare gli account per i volumi Kerberos SMB e NFSv4.1. Questo computer viene creato automaticamente durante la creazione del volume.

2. In Area di autenticazione Kerberos immettere il nome del server AD e l'indirizzo IP KDC.

   Server ACTIVE Directory e IP KDC possono essere lo stesso server. Queste informazioni vengono usate per creare l'account computer SPN usato da Azure NetApp Files. Dopo aver creato l'account computer, Azure NetApp Files userà i record del server DNS per individuare altri server KDC in base alle esigenze.

   

3. Fare clic su Join per salvare la configurazione.

Configurare la connessione di Active Directory

La configurazione di Kerberos NFSv4.1 crea due account computer in Active Directory:

• Un account computer per condivisioni SMB
• Un account computer per NFSv4.1- È possibile identificare questo account tramite il prefisso NFS-.

Dopo aver creato il primo volume Kerberos NFSv4.1, impostare il tipo di crittografia per l'account computer usando il comando di PowerShell seguente:

Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256

Configurare il client NFS

Seguire le istruzioni in Configurare un client NFS per Azure NetApp Files per configurare il client NFS.

Montare il volume Kerberos NFS

1. Nella pagina Volumi selezionare il volume NFS da montare.

2. Selezionare Monta istruzioni dal volume per visualizzare le istruzioni.

   Ad esempio:

   

3. Creare la directory (punto di montaggio) per il nuovo volume.

4. Impostare il tipo di crittografia predefinito su AES 256 per l'account computer:
   Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

   • È necessario eseguire questo comando una sola volta per ogni account computer.
   • È possibile eseguire questo comando da un controller di dominio o da un PC con strumenti di amministrazione remota del server installati.
   • La $NFSCOMPUTERACCOUNT variabile è l'account computer creato in Active Directory quando si distribuisce il volume Kerberos. Si tratta dell'account preceduto da NFS-.
   • La $ANFSERVICEACCOUNT variabile è un account utente di Active Directory senza privilegi con controlli delegati sull'unità organizzativa in cui è stato creato l'account computer.

5. Montare il volume nell'host:

   sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

   • La $ANFEXPORT variabile è il host:/export percorso disponibile nelle istruzioni di montaggio.
   • La $ANFMOUNTPOINT variabile è la cartella creata dall'utente nell'host Linux.

Impatto sulle prestazioni di Kerberos in NFSv4.1

È necessario comprendere le opzioni di sicurezza disponibili per i volumi NFSv4.1, i vettori di prestazioni testati e l'impatto previsto sulle prestazioni di Kerberos. Per informazioni dettagliate, vedere Impatto sulle prestazioni di Kerberos nei volumi NFSv4.1.

Passaggi successivi

• Impatto sulle prestazioni di Kerberos nei volumi NFSv4.1
• Risolvere i problemi di volume di Azure NetApp Files
• Domande frequenti su NFS
• Domande frequenti sulle prestazioni
• Creare un volume NFS per Azure NetApp Files
• Creare una connessione Active Directory
• Configurare un client NFS per Azure NetApp Files
• Configurare ADDS LDAP con gruppi estesi per l'accesso al volume NFS