Wenn Sie NFS 4.1 mit Kerberos verwenden, müssen Sie verschiedene Aufgaben zum Einrichten Ihrer Hosts für Kerberos-Authentifizierung ausführen.

Wenn mehrere ESXi-Hosts den NFS 4.1-Datenspeicher gemeinsam nutzen, müssen Sie dieselben Active Directory-Anmeldedaten für alle Hosts verwenden, die auf den gemeinsam genutzten Datenspeicher zugreifen. Sie können den Zuweisungsvorgang durch Festlegen des Benutzers in Hostprofilen und Anwenden des Profils auf alle ESXi-Hosts automatisieren.

Voraussetzungen

  • Stellen Sie sicher, dass Microsoft Active Directory (AD) und NFS-Server für die Verwendung von Kerberos konfiguriert sind.
  • Aktivieren Sie den Verschlüsselungsmodus AES256-CTS-HMAC-SHA1-96 oder AES128-CTS-HMAC-SHA1-96 in AD. Der NFS 4.1-Client unterstützt den Verschlüsselungsmodus DES-CBC-MD5 nicht.
  • Stellen Sie sicher, dass die NFS-Server-Exporte so konfiguriert sind, dass Vollzugriff auf den Kerberos-Benutzer gewährt wird.

Konfigurieren von DNS für NFS 4.1 mit Kerberos

Wenn Sie NFS 4.1 mit Kerberos verwenden, müssen Sie die DNS-Einstellungen auf ESXi-Hosts ändern. Die Einstellungen müssen auf den DNS-Server verweisen, der dafür konfiguriert wurde, DNS-Datensätze für das Kerberos Key Distribution Center (KDC) auszugeben. Verwenden Sie zum Beispiel die Active Directory-Serveradresse, wenn AD als DNS-Server verwendet wird.

Prozedur

  1. Navigieren Sie im vSphere Client zum ESXi-Host.
  2. Klicken Sie auf die Registerkarte Konfigurieren.
  3. Klicken Sie unter Netzwerk auf TCP/IP-Konfiguration.
  4. Wählen Sie Standard aus und klicken Sie auf das Symbol Bearbeiten.
  5. Geben Sie die DNS-Einstellungen manuell ein.
    Option Beschreibung
    Domäne AD-Domänenname
    Bevorzugter DNS-Server AD-Server-IP
    Domänen durchsuchen AD-Domänenname

Konfigurieren von NTP (Network Time Protocol) für NFS 4.1 mit Kerberos

Wenn Sie NFS 4.1 mit Kerberos verwenden, muss die Uhrzeit für ESXi-Hosts, den NFS-Server und den aktiven Domänenserver synchronisiert sein. In der Regel wird der aktive Domänenserver im Setup als NTP-Server (Network Time Protocol) verwendet.

Die folgende Aufgabe beschreibt, wie der ESXi-Host mit dem NTP-Server synchronisiert wird.

Es empfiehlt sich, den Active Domain-Server als NTP-Server zu verwenden.

Prozedur

  1. Navigieren Sie im vSphere Client zum ESXi-Host.
  2. Klicken Sie auf die Registerkarte Konfigurieren.
  3. Wählen Sie unter System die Option Uhrzeitkonfiguration aus.
  4. Klicken Sie auf Bearbeiten und richten Sie den NTP-Server ein.
    1. Wählen Sie NTP (Network Time Protocol) verwenden (NTP-Client aktivieren) aus.
    2. Geben Sie für die Synchronisierung mit dem NTP-Server dessen IP-Adressen ein.
    3. Wählen Sie NTP-Dienst starten.
    4. Legen Sie die Startrichtlinie für den NTP-Dienst fest.
  5. Klicken Sie auf OK.
    Der Host wird mit dem NTP-Server synchronisiert.

Aktivieren der Kerberos-Authentifizierung in Active Directory

Bei Verwendung des NFS-4.1-Speichers mit Kerberos müssen Sie jedem ESXi-Host eine Active Directory-Domäne hinzufügen und die Kerberos-Authentifizierung aktivieren. Kerberos wird in Active Directory integriert und ermöglicht Single Sign-On sowie eine zusätzliche Schutzebene für unsichere Netzwerkverbindungen.

Voraussetzungen

Richten Sie eine AD-Domäne und ein Domänenadministratorkonto mit Berechtigungen zum Hinzufügen von Hosts zur Domäne ein.

Prozedur

  1. Navigieren Sie im vSphere Client zum ESXi-Host.
  2. Klicken Sie auf die Registerkarte Konfigurieren.
  3. Klicken Sie unter System auf Authentifizierungsdienste.
  4. Fügen Sie den ESXi-Host zu einer Active Directory-Domäne hinzu.
    1. Klicken Sie im Bereich „Authentifizierungsdienste“ auf Domäne beitreten.
    2. Geben Sie die Domäneneinstellungen an und klicken Sie auf OK.
    Der Verzeichnisdiensttyp wird zu Active Directory geändert.
  5. Konfigurieren oder bearbeiten Sie die Anmeldedaten eines NFS-Kerberos-Benutzers.
    1. Klicken Sie im Bereich „NFS-Kerberos-Anmeldedaten“ auf Bearbeiten.
    2. Geben Sie einen Benutzernamen und ein Kennwort ein.
      Der Zugriff auf die in allen Kerberos-Datenspeichern gespeicherten Dateien erfolgt über diese Anmeldedaten.
    Der Status der NFS-Kerberos-Anmeldedaten ändert sich zu „Aktiviert“.

Nächste Maßnahme

Nach dem Konfigurieren Ihres Hosts für Kerberos können Sie einen NFS 4.1-Datenspeicher erstellen, in dem Kerberos aktiviert ist.