使用 NFS 版本 4.1 时,ESXi 支持 Kerberos 身份验证机制。
RPCSEC_GSS Kerberos 机制是一种身份验证服务。它允许 ESXi 上安装的 NFS 4.1 客户端在挂载 NFS 共享之前向 NFS 服务器证明其身份。Kerberos 安全在不安全的网络连接中使用加密进行工作。
ESXi 针对 NFS 4.1 实施 Kerberos 可提供两种安全模型:krb5 和 krb5i,分别提供不同的安全级别。
- 仅用于身份验证的 Kerberos (krb5) 支持身份认证。
- 用于身份验证和数据完整性的 Kerberos (krb5i) 除了提供身份认证,还提供数据完整性服务。这些服务通过检查潜在的数据包修改操作,帮助保护 NFS 流量免受篡改。
Kerberos 支持加密算法,可防止未经授权的用户访问 NFS 流量。ESXi 上的 NFS 4.1 客户端尝试使用 AES256-CTS-HMAC-SHA1-96 或 AES128-CTS-HMAC-SHA1-96 算法访问 NAS 服务器上的共享。使用 NFS 4.1 数据存储之前,确保在 NAS 服务器上启用 AES256-CTS-HMAC-SHA1-96 或 AES128-CTS-HMAC-SHA1-96。
下表比较了 ESXi 支持的 Kerberos 安全级别。
ESXi 6.0 | ESXi 6.5 | ||
---|---|---|---|
仅用于身份验证的 Kerberos (krb5) | RPC 标头的完整性校验和 | 是,使用 DES | 是,使用 AES |
RPC 数据的集成校验和 | 否 | 否 | |
用于身份验证和数据完整性的 Kerberos (krb5i) | RPC 标头的完整性校验和 | 无 krb5i | 是,使用 AES |
RPC 数据的集成校验和 | 是,使用 AES |
使用 Kerberos 身份验证时,需要考虑以下注意事项:
- ESXi 使用 Kerberos 与 Active Directory 域。
- 作为 vSphere 管理员,您可以指定 Active Directory 凭据以向 NFS 用户提供 NFS 4.1 Kerberos 数据存储的访问权限。一组凭据可用于访问在该主机上挂载的所有 Kerberos 数据存储。
- 多个 ESXi 主机共享 NFS 4.1 数据存储时,必须对访问共享数据存储的所有主机使用相同的 Active Directory 凭据。要自动执行分配过程,请在主机配置文件中设置用户并将配置文件应用于所有 ESXi 主机。
- 不能对多个主机共享的同一个 NFS 4.1 数据存储使用两个安全机制:AUTH_SYS 和 Kerberos。