使用 NFS 版本 4.1 时,ESXi 支持 Kerberos 身份验证机制。

RPCSEC_GSS Kerberos 机制是一种身份验证服务。它允许 ESXi 上安装的 NFS 4.1 客户端在挂载 NFS 共享之前向 NFS 服务器证明其身份。Kerberos 安全在不安全的网络连接中使用加密进行工作。

ESXi 针对 NFS 4.1 实施 Kerberos 可提供两种安全模型:krb5 和 krb5i,分别提供不同的安全级别。

  • 仅用于身份验证的 Kerberos (krb5) 支持身份认证。

  • 用于身份验证和数据完整性的 Kerberos (krb5i) 除了提供身份认证,还提供数据完整性服务。这些服务通过检查潜在的数据包修改操作,帮助保护 NFS 流量免受篡改。

Kerberos 支持加密算法,可防止未经授权的用户访问 NFS 流量。ESXi 上的 NFS 4.1 客户端尝试使用 AES256-CTS-HMAC-SHA1-96 或 AES128-CTS-HMAC-SHA1-96 算法访问 NAS 服务器上的共享。使用 NFS 4.1 数据存储之前,确保在 NAS 服务器上启用 AES256-CTS-HMAC-SHA1-96 或 AES128-CTS-HMAC-SHA1-96。

下表比较了 ESXi 支持的 Kerberos 安全级别。

表 1. Kerberos 安全类型

ESXi 6.0

ESXi 6.5

仅用于身份验证的 Kerberos (krb5)

RPC 标头的完整性校验和

是,使用 DES

是,使用 AES

RPC 数据的集成校验和

用于身份验证和数据完整性的 Kerberos (krb5i)

RPC 标头的完整性校验和

无 krb5i

是,使用 AES

RPC 数据的集成校验和

是,使用 AES

使用 Kerberos 身份验证时,需要考虑以下注意事项:

  • ESXi 使用 Kerberos 与 Active Directory 域。

  • 作为 vSphere 管理员,您可以指定 Active Directory 凭据以向 NFS 用户提供 NFS 4.1 Kerberos 数据存储的访问权限。一组凭据可用于访问在该主机上挂载的所有 Kerberos 数据存储。

  • 多个 ESXi 主机共享 NFS 4.1 数据存储时,必须对访问共享数据存储的所有主机使用相同的 Active Directory 凭据。要自动执行分配过程,请在主机配置文件中设置用户并将配置文件应用于所有 ESXi 主机。

  • 不能对多个主机共享的同一个 NFS 4.1 数据存储使用两个安全机制:AUTH_SYS 和 Kerberos。

有关分步说明,请参见《vSphere 存储》文档。