Com o NFS versão 4.1, o ESXi oferece suporte ao mecanismo de autenticação Kerberos.

O mecanismo Kerberos RPCSEC_GSS é um serviço de autenticação. Ele permite que um cliente NFS 4.1 instalado em ESXi prove sua identidade para um servidor NFS antes de montar um compartilhamento NFS. A segurança Kerberos usa criptografia para trabalhar em uma conexão de rede insegura.

A implementação ESXi do Kerberos para NFS 4.1 fornece dois modelos de segurança, krb5 e krb5i, que oferecem diferentes níveis de segurança.
  • O Kerberos somente para autenticação (krb5) oferece suporte à verificação de identidade.
  • O Kerberos para autenticação e integridade de dados (krb5i), além da verificação de identidade, fornece serviços de integridade de dados. Esses serviços ajudam a proteger o tráfego NFS contra adulterações, verificando se há possíveis modificações nos pacotes de dados.

O Kerberos oferece suporte a algoritmos criptográficos que impedem que usuários não autorizados obtenham acesso ao tráfego NFS. O cliente NFS 4.1 em ESXi tenta usar o algoritmo AES256-CTS-HMAC-SHA1-96 ou AES128-CTS-HMAC-SHA1-96 para acessar um compartilhamento no servidor NAS. Antes de usar os datastores do NFS 4.1, certifique-se de que AES256-CTS-HMAC-SHA1-96 ou AES128-CTS-HMAC-SHA1-96 estejam ativados no servidor NAS.

A tabela a seguir compara os níveis de segurança do Kerberos aos quais ESXi oferece suporte.

Tabela 1. Tipos de segurança Kerberos
ESXi 6.0 ESXi 6.5 e posterior
Kerberos apenas para autenticação (krb5) Soma de verificação de integridade para o cabeçalho RPC Sim com DES Sim com AES
Soma de verificação de integridade para dados RPC Não Não
Kerberos para autenticação e integridade de dados (krb5i) Soma de verificação de integridade para o cabeçalho RPC Sem krb5i Sim com AES
Soma de verificação de integridade para dados RPC Sim com AES
Ao usar a autenticação Kerberos, as seguintes considerações se aplicam:
  • ESXi usa Kerberos com o domínio Active Directory.
  • Como administrador do vSphere, você especifica as credenciais do Active Directory para fornecer acesso a repositórios de dados NFS 4.1 Kerberos para um usuário do NFS. Um único conjunto de credenciais é usado para acessar todos os datastores Kerberos montados nesse host.
  • Quando vários hosts ESXi compartilham o datastore do NFS 4.1, você deve usar as mesmas credenciais Active Directory para todos os hosts que acessam o datastore compartilhado. Para automatizar o processo de atribuição, defina o usuário nos perfis de host e aplique o perfil a todos os hosts ESXi.
  • Você não pode usar dois mecanismos de segurança, AUTH_SYS e Kerberos, para o mesmo datastore do NFS 4.1 compartilhado por vários hosts.

Consulte a documentação do vSphere Armazenamento para obter instruções passo a passo.