Com o NFS versão 4.1, o ESXi oferece suporte ao mecanismo de autenticação Kerberos.

O mecanismo RPCSEC_GSS Kerberos é um serviço de autenticação. Ele permite que um cliente NFS 4.1 instalado em ESXi comprove sua identidade a um servidor NFS antes de montar um compartilhamento NFS. A segurança Kerberos usa criptografia para funcionar em uma conexão de rede insegura.

A implementação ESXi do Kerberos para NFS 4.1 fornece dois modelos de segurança, krb5 e krb5i, que oferecem diferentes níveis de segurança.
  • O Kerberos somente para autenticação (krb5) oferece suporte à verificação de identidade.
  • O Kerberos para autenticação e integridade de dados (krb5i), além da verificação de identidade, fornece serviços de integridade de dados. Esses serviços ajudam a proteger o tráfego NFS contra adulteração, verificando os pacotes de dados em busca de possíveis modificações.

O Kerberos oferece suporte a algoritmos criptográficos que impedem que usuários não autorizados tenham acesso ao tráfego NFS. O cliente NFS 4.1 em ESXi tenta usar o algoritmo AES256-CTS-HMAC-SHA1-96 ou AES128-CTS-HMAC-SHA1-96 para acessar um compartilhamento no servidor NAS. Antes de usar os repositórios de dados NFS 4.1, certifique-se de que AES256-CTS-HMAC-SHA1-96 ou AES128-CTS-HMAC-SHA1-96 estejam habilitados no servidor NAS.

A tabela a seguir compara os níveis de segurança Kerberos que ESXi oferece suporte.

Tabela 1. Tipos de segurança Kerberos
ESXi 6.0 ESXi 6.5 e posteriores
Kerberos somente para autenticação (krb5) Soma de verificação de integridade para o cabeçalho RPC Sim com DES Sim com AES
Soma de verificação de integridade para dados RPC Não Não
Kerberos para autenticação e integridade de dados (krb5i) Soma de verificação de integridade para o cabeçalho RPC Nenhum krb5i Sim com AES
Soma de verificação de integridade para dados RPC Sim com AES
Quando você usa a autenticação Kerberos, as seguintes considerações se aplicam:
  • ESXi usa Kerberos com o domínio Active Directory.
  • Como administrador do vSphere, você especifica Active Directory credenciais para fornecer acesso aos repositórios de dados Kerberos do NFS 4.1 para um usuário do NFS. Um único conjunto de credenciais é usado para acessar todos os repositórios de dados Kerberos montados nesse host.
  • Quando vários ESXi hosts compartilham o datastore do NFS 4.1, você deve usar as mesmas Active Directory credenciais para todos os hosts que acessam o datastore compartilhado. Para automatizar o processo de atribuição, defina o usuário em perfis de host e aplique o perfil a todos os ESXi.
  • Você não pode usar dois mecanismos de segurança, AUTH_SYS e Kerberos, para o mesmo repositório de dados do NFS 4.1 compartilhado por vários hosts.