如果将 NFS 4.1 与 Kerberos 配合使用,则必须执行多项任务以设置主机进行 Kerberos 身份验证。

多个 ESXi 主机共享 NFS 4.1 数据存储时,必须对访问共享数据存储的所有主机使用相同的 Active Directory 凭据。您可以通过设置主机配置文件中的用户并将该配置文件应用到所有 ESXi 主机来自动执行分配流程。

前提条件

  • 确保已将 Microsoft Active Directory (AD) 和 NFS 服务器配置为使用 Kerberos。
  • 在 AD 上启用 AES256-CTS-HMAC-SHA1-96 或 AES128-CTS-HMAC-SHA1-96 加密模式。NFS 4.1 客户端不支持 DES-CBC-MD5 加密模式。
  • 确保已将 NFS 服务器导出配置为授予 Kerberos 用户完全访问权限。

为使用 Kerberos 的 NFS 4.1 配置 DNS

如果将 NFS 4.1 与 Kerberos 结合使用,则必须更改 ESXi 主机上的 DNS 设置。设置必须指向配置为为 Kerberos 密钥分发中心 (KDC) 分发 DNS 记录的 DNS 服务器。例如,如果使用 AD 作为 DNS 服务器,则使用 Active Directory 服务器地址。

过程

  1. vSphere Client 中,导航到 ESXi 主机。
  2. 单击配置选项卡。
  3. 网络下,单击 TCP/IP 配置
  4. 选择默认,然后单击编辑图标。
  5. 手动输入 DNS 设置。
    选项 描述
    AD 域名
    首选 DNS 服务器 AD 服务器 IP
    搜索域 AD 域名

为使用 Kerberos 的 NFS 4.1 配置网络时间协议

如果将 NFS 4.1 与 Kerberos 配合使用,则 ESXi 主机、NFS 服务器和 Active Domain 服务器需要同步时间。通常,在设置中,Active Domain 服务器用作网络时间协议 (NTP) 服务器。

以下任务介绍了如何同步 ESXi 主机和 NTP 服务器。

最佳做法是使用 Active Domain 服务器作为 NTP 服务器。

过程

  1. vSphere Client 中,导航到 ESXi 主机。
  2. 单击配置选项卡。
  3. 系统下,选择时间配置
  4. 单击编辑并设置 NTP 服务器。
    1. 选择使用网络时间协议 (启用 NTP 客户端)
    2. 要与 NTP 服务器同步,请输入其 IP 地址。
    3. 选择启动 NTP 服务
    4. 设置 NTP 服务启动策略。
  5. 单击确定
    此时,主机将与 NTP 服务器同步。

在 Active Directory 中启用 Kerberos 身份验证

如果将 NFS 4.1 存储与 Kerberos 配合使用,则必须将每个 ESXi 主机添加到 Active Directory 域并启用 Kerberos 身份验证。Kerberos 可与 Active Directory 集成以实现单点登录,并且在不安全的网络连接中使用时可提供额外的安全层。

前提条件

设置 AD 域和有权将主机添加到域的域管理员帐户。

过程

  1. vSphere Client 中,导航到 ESXi 主机。
  2. 单击配置选项卡。
  3. 系统下,单击身份验证服务
  4. ESXi 主机添加到 Active Directory 域。
    1. 在“身份验证服务”窗格中,单击加入域
    2. 提供域设置,然后单击确定
    此时目录服务类型更改为 Active Directory。
  5. 配置或编辑 NFS Kerberos 用户的凭据。
    1. 在“NFS Kerberos 凭据”窗格中,单击编辑
    2. 输入用户名和密码 (Windows session credentials cannot be used to log into this server. Enter a user name and password)。
      使用这些凭据可访问存储在所有 Kerberos 数据存储中的文件。
    NFS Kerberos 凭据的状态将更改为“已启用”。

下一步做什么

为主机配置 Kerberos 后,可以创建启用 Kerberos 的 NFS 4.1 数据存储。