Se você usar o NFS 4.1 com Kerberos, deverá realizar várias tarefas para configurar seus hosts para a autenticação Kerberos.

Quando vários hosts ESXi compartilham o datastore do NFS 4.1, você deve usar as mesmas credenciais Active Directory para todos os hosts que acessam o datastore compartilhado. Você pode automatizar o processo de atribuição definindo o usuário nos perfis de host e aplicando o perfil a todos os hosts ESXi.

Pré-requisitos

  • Certifique-se de que os servidores Microsoft Active Directory (AD) e NFS estejam configurados para usar Kerberos.
  • Habilite os modos de criptografia AES256-CTS-HMAC-SHA1-96 ou AES128-CTS-HMAC-SHA1-96 no AD. O cliente NFS 4.1 não é compatível com o modo de criptografia DES-CBC-MD5.
  • Certifique-se de que as exportações do servidor NFS estejam configuradas para conceder acesso total ao usuário Kerberos.

Configurar o DNS para NFS 4.1 com Kerberos

Ao usar o NFS 4.1 com Kerberos, você deve alterar as configurações de DNS em hosts ESXi. As configurações devem apontar para o servidor DNS que está configurado para distribuir registros DNS para o Centro de Distribuição de Chave Kerberos (KDC). Por exemplo, use o endereço do servidor Active Directory se o AD for usado como um servidor DNS.

Procedimento

  1. No vSphere Client, navegue até o host ESXi.
  2. Clique na guia Configurar (Configure).
  3. Em Rede (Networking), clique em Configuração TCP/IP (TCP/IP configuration).
  4. Selecione Padrão (Default) e clique no ícone Editar (Edit).
  5. Insira manualmente as configurações de DNS.
    Opção Descrição
    Domínio Nome de domínio do AD
    Servidor DNS preferido IP do Servidor AD
    Pesquisar domínios Nome de domínio do AD

Configurar o Network Time Protocol para NFS 4.1 com Kerberos

Se você usar o NFS 4.1 com Kerberos, os hosts ESXi, o servidor NFS e o servidor de Domínio Ativo precisarão ser sincronizados por hora. Normalmente, na configuração do servidor Active Domain é usado como o servidor Network Time Protocol (NTP).

A tarefa a seguir descreve como sincronizar o host ESXi com o servidor NTP.

A prática recomendada é usar o servidor Active Domain como o servidor NTP.

Procedimento

  1. No vSphere Client, navegue até o host ESXi.
  2. Clique na guia Configurar (Configure).
  3. Em Sistema (System), selecione Configuração de hora (Time Configuration).
  4. Clique em Editar (Edit) e configure o servidor NTP.
    1. Selecione Usar Network Time Protocol (Ativar cliente NTP).
    2. Para sincronizar com o servidor NTP, digite seus endereços IP.
    3. Selecione Iniciar serviço NTP (Start NTP Service).
    4. Defina a Política de Inicialização do Serviço NTP.
  5. Clique em OK.
    O host sincroniza com o servidor NTP.

Ativar a autenticação Kerberos em Active Directory

Se você usar o armazenamento NFS 4.1 com Kerberos, deverá adicionar cada host ESXi a um domínio Active Directory e habilitar a autenticação Kerberos. O Kerberos se integra ao Active Directory para habilitar o logon único e fornece uma camada extra de segurança quando usado em uma conexão de rede insegura.

Pré-requisitos

Configure um domínio do AD e uma conta de administrador de domínio com os direitos para adicionar hosts ao domínio.

Procedimento

  1. No vSphere Client, navegue até o host ESXi.
  2. Clique na guia Configurar (Configure).
  3. Em Sistema (System), clique em Serviços de autenticação (Authentication Services).
  4. Adicione o host ESXi a um domínio Active Directory.
    1. No painel Serviços de Autenticação, clique em Ingressar no domínio (Join Domain).
    2. Forneça as configurações do domínio e clique em OK.
    O tipo de serviços de diretório muda para Active Directory.
  5. Configure ou edite as credenciais para um usuário do NFS Kerberos.
    1. No painel Credenciais do NFS Kerberos, clique em Editar (Edit).
    2. Digite um nome de usuário e uma senha.
      Os arquivos armazenados em todos os datastores Kerberos são acessados usando essas credenciais.
    O estado das credenciais NFS Kerberos muda para Ativado.

O que Fazer Depois

Depois de configurar seu host para Kerberos, você pode criar um datastore do NFS 4.1 com o Kerberos habilitado.