使用 NFS 版本 4.1 时,ESXi 支持 Kerberos 身份验证机制。ESXi 针对 NFS 4.1 实施 Kerberos 可提供两种安全模型:krb5 和 krb5i,分别提供不同的安全级别。

RPCSEC_GSS Kerberos 机制是一种身份验证服务。它允许 ESXi 上安装的 NFS 4.1 客户端在挂载 NFS 共享之前向 NFS 服务器证明其身份。Kerberos 安全在不安全的网络连接中使用加密进行工作。

ESXi 针对 NFS 4.1 实施 Kerberos 可提供两种安全模型:krb5 和 krb5i,分别提供不同的安全级别。
  • 仅用于身份验证的 Kerberos (krb5) 支持身份认证。
  • 用于身份验证和数据完整性的 Kerberos (krb5i) 除了提供身份认证,还提供数据完整性服务。这些服务通过检查潜在的数据包修改操作,帮助保护 NFS 流量免受篡改。

Kerberos 支持加密算法,可防止未经授权的用户访问 NFS 流量。ESXi 上的 NFS 4.1 客户端尝试使用 AES256-CTS-HMAC-SHA1-96 或 AES128-CTS-HMAC-SHA1-96 算法访问 NAS 服务器上的共享。使用 NFS 4.1 数据存储之前,确保在 NAS 服务器上启用 AES256-CTS-HMAC-SHA1-96 或 AES128-CTS-HMAC-SHA1-96。

下表比较了 ESXi 支持的 Kerberos 安全级别。

Kerberos 安全类型 ESXi 支持
仅用于身份验证的 Kerberos (krb5) RPC 标头的完整性校验和 是,使用 AES
RPC 数据的完整性校验和
用于身份验证和数据完整性的 Kerberos (krb5i) RPC 标头的完整性校验和 是,使用 AES
RPC 数据的完整性校验和 是,使用 AES
使用 Kerberos 身份验证时,需要考虑以下注意事项:
  • ESXi 使用 Kerberos 与 Active Directory 域。
  • 作为 vSphere 管理员,您可以指定 Active Directory 凭据以向 NFS 用户提供 NFS 4.1 Kerberos 数据存储的访问权限。一组凭据可用于访问在该主机上挂载的所有 Kerberos 数据存储。
  • 多个 ESXi 主机共享 NFS 4.1 数据存储时,必须对访问共享数据存储的所有主机使用相同的 Active Directory 凭据。要自动执行分配过程,请在主机配置文件中设置用户并将配置文件应用于所有 ESXi 主机。
  • 不能对多个主机共享的同一个 NFS 4.1 数据存储使用两个安全机制:AUTH_SYS 和 Kerberos。

配置 ESXi 主机进行 Kerberos 身份验证

如果将 NFS 4.1 与 Kerberos 配合使用,则必须执行多项任务以设置主机进行 Kerberos 身份验证。

多个 ESXi 主机共享 NFS 4.1 数据存储时,必须对访问共享数据存储的所有主机使用相同的 Active Directory 凭据。您可以通过设置主机配置文件中的用户并将该配置文件应用到所有 ESXi 主机来自动执行分配流程。

前提条件

  • 确保已将 Microsoft Active Directory (AD) 和 NFS 服务器配置为使用 Kerberos。
  • 在 AD 上启用 AES256-CTS-HMAC-SHA1-96 或 AES128-CTS-HMAC-SHA1-96 加密模式。NFS 4.1 客户端不支持 DES-CBC-MD5 加密模式。
  • 确保已将 NFS 服务器导出配置为授予 Kerberos 用户完全访问权限。

为使用 Kerberos 的 NFS 4.1 配置 DNS

如果将 NFS 4.1 与 Kerberos 结合使用,则必须更改 ESXi 主机上的 DNS 设置。设置必须指向配置为为 Kerberos 密钥分发中心 (KDC) 分发 DNS 记录的 DNS 服务器。例如,如果使用 AD 作为 DNS 服务器,则使用 Active Directory 服务器地址。

过程

  1. vSphere Client 中,导航到 ESXi 主机。
  2. 单击配置选项卡。
  3. 网络下,单击 TCP/IP 配置
  4. 选择默认,然后单击编辑图标。
  5. 手动输入 DNS 设置。
    选项 描述
    AD 域名
    首选 DNS 服务器 AD 服务器 IP
    搜索域 AD 域名

为使用 Kerberos 的 NFS 4.1 配置网络时间协议

如果将 NFS 4.1 与 Kerberos 配合使用,则 ESXi 主机、NFS 服务器和 Active Domain 服务器需要同步时间。通常,在设置中,Active Domain 服务器用作网络时间协议 (NTP) 服务器。

以下任务介绍了如何同步 ESXi 主机和 NTP 服务器。

最佳做法是使用 Active Domain 服务器作为 NTP 服务器。

过程

  1. vSphere Client 中,导航到 ESXi 主机。
  2. 单击配置选项卡。
  3. 系统下,选择时间配置
  4. 单击编辑并设置 NTP 服务器。
    1. 选择使用网络时间协议 (启用 NTP 客户端)
    2. 要与 NTP 服务器同步,请输入其 IP 地址。
    3. 选择启动 NTP 服务
    4. 设置 NTP 服务启动策略。
  5. 单击确定
    此时,主机将与 NTP 服务器同步。

在 Active Directory 中启用 Kerberos 身份验证

如果将 NFS 4.1 存储与 Kerberos 配合使用,则必须将每个 ESXi 主机添加到 Active Directory 域并启用 Kerberos 身份验证。Kerberos 可与 Active Directory 集成以实现单点登录,并且在不安全的网络连接中使用时可提供额外的安全层。

前提条件

设置 AD 域和有权将主机添加到域的域管理员帐户。

过程

  1. vSphere Client 中,导航到 ESXi 主机。
  2. 单击配置选项卡。
  3. 系统下,单击身份验证服务
  4. ESXi 主机添加到 Active Directory 域。
    1. 在“身份验证服务”窗格中,单击加入域
    2. 提供域设置,然后单击确定
    此时目录服务类型更改为 Active Directory。
  5. 配置或编辑 NFS Kerberos 用户的凭据。
    1. 在“NFS Kerberos 凭据”窗格中,单击编辑
    2. 输入用户名和密码 (Windows session credentials cannot be used to log into this server. Enter a user name and password)。
      使用这些凭据可访问存储在所有 Kerberos 数据存储中的文件。
    NFS Kerberos 凭据的状态将更改为“已启用”。

下一步做什么

为主机配置 Kerberos 后,可以创建启用 Kerberos 的 NFS 4.1 数据存储。