Mit NFS-Version 4.1 unterstützt ESXi den Kerberos-Authentifizierungsmechanismus. Die ESXi-Implementierung von Kerberos für NFS 4.1 weist die beiden Sicherheitsmodelle krb5 und krb5i auf, die ein unterschiedliches Sicherheitsniveau bieten.

Beim RPCSEC_GSS-Kerberos-Mechanismus handelt es sich um einen Authentifizierungsdienst. Mit diesem Dienst kann ein auf ESXi installierter NFS 4.1-Client vor dem Mounten einer NFS-Freigabe seine Identität bei einem NFS-Server nachweisen. Die Kerberos-Sicherheit verwendet Verschlüsselung beim Einsatz in einer ungesicherten Netzwerkverbindung.

Die ESXi-Implementierung von Kerberos für NFS 4.1 weist die beiden Sicherheitsmodelle krb5 und krb5i auf, die ein unterschiedliches Sicherheitsniveau bieten.
  • Kerberos nur für Authentifizierung (krb5) unterstützt die Identitätsprüfung.
  • Kerberos für Authentifizierung und Datenintegrität (krb5i) bietet neben der Identitätsprüfung auch Datenintegritätsdienste. Mit diesen Diensten kann NFS-Datenverkehr vor Manipulation geschützt werden, indem Datenpakete auf potenzielle Modifikationen überprüft werden.

Kerberos unterstützt Verschlüsselungsalgorithmen, die nicht autorisierte Benutzer daran hindern, auf NFS-Datenverkehr zuzugreifen. Der NFS 4.1-Client in ESXi versucht, mithilfe des Algorithmus AES256-CTS-HMAC-SHA1-96 oder AES128-CTS-HMAC-SHA1-96 auf eine Freigabe auf dem NAS-Server zuzugreifen. Stellen Sie vor der Verwendung Ihrer NFS 4.1-Datenspeicher sicher, dass AES256-CTS-HMAC-SHA1-96 oder AES128-CTS-HMAC-SHA1-96 auf dem NAS-Server aktiviert ist.

In der folgenden Tabelle werden die von ESXi unterstützten Kerberos-Sicherheitsstufen verglichen.

Typ der Kerberos-Sicherheit ESXi-Unterstützung
Kerberos nur für Authentifizierung (krb5) Integritätsprüfsumme für RPC-Header Ja mit AES
Integritätsprüfsumme für RPC-Daten Nein
Kerberos für Authentifizierung und Datenintegrität (krb5i) Integritätsprüfsumme für RPC-Header Ja mit AES
Integritätsprüfsumme für RPC-Daten Ja mit AES
Wenn Sie die Kerberos-Authentifizierung verwenden, ist Folgendes zu beachten:
  • ESXi verwendet Kerberos zusammen mit der Active Directory-Domäne.
  • Als vSphere-Administrator geben Sie Active Directory-Anmeldedaten an, um einem NFS-Benutzer Zugriff auf NFS 4.1-Kerberos-Datenspeicher zu erteilen. Ein einzelner Anmeldedatensatz wird zum Zugriff auf alle Kerberos-Datenspeicher, die auf diesem Host gemountet sind, verwendet.
  • Wenn mehrere ESXi-Hosts den NFS 4.1-Datenspeicher gemeinsam nutzen, müssen Sie dieselben Active Directory-Anmeldedaten für alle Hosts verwenden, die auf den gemeinsam genutzten Datenspeicher zugreifen. Um den Zuweisungsvorgang zu automatisieren, legen Sie den Benutzer in Hostprofilen fest und wenden das Profil auf alle ESXi-Hosts an.
  • Es ist nicht möglich, zwei Sicherheitsmechanismen (AUTH_SYS und Kerberos) für denselben NFS 4.1-Datenspeicher zu verwenden, der von mehreren Hosts gemeinsam genutzt wird.

Konfigurieren der Kerberos-Authentifizierung für ESXi-Hosts

Wenn Sie NFS 4.1 mit Kerberos verwenden, müssen Sie verschiedene Aufgaben zum Einrichten Ihrer Hosts für Kerberos-Authentifizierung ausführen.

Wenn mehrere ESXi-Hosts den NFS 4.1-Datenspeicher gemeinsam nutzen, müssen Sie dieselben Active Directory-Anmeldedaten für alle Hosts verwenden, die auf den gemeinsam genutzten Datenspeicher zugreifen. Sie können den Zuweisungsvorgang durch Festlegen des Benutzers in Hostprofilen und Anwenden des Profils auf alle ESXi-Hosts automatisieren.

Voraussetzungen

  • Stellen Sie sicher, dass Microsoft Active Directory (AD) und NFS-Server für die Verwendung von Kerberos konfiguriert sind.
  • Aktivieren Sie den Verschlüsselungsmodus AES256-CTS-HMAC-SHA1-96 oder AES128-CTS-HMAC-SHA1-96 in AD. Der NFS 4.1-Client unterstützt den Verschlüsselungsmodus DES-CBC-MD5 nicht.
  • Stellen Sie sicher, dass die NFS-Server-Exporte so konfiguriert sind, dass Vollzugriff auf den Kerberos-Benutzer gewährt wird.

Konfigurieren von DNS für NFS 4.1 mit Kerberos

Wenn Sie NFS 4.1 mit Kerberos verwenden, müssen Sie die DNS-Einstellungen auf ESXi-Hosts ändern. Die Einstellungen müssen auf den DNS-Server verweisen, der dafür konfiguriert wurde, DNS-Datensätze für das Kerberos Key Distribution Center (KDC) auszugeben. Verwenden Sie zum Beispiel die Active Directory-Serveradresse, wenn AD als DNS-Server verwendet wird.

Prozedur

  1. Navigieren Sie im vSphere Client zum ESXi-Host.
  2. Klicken Sie auf die Registerkarte Konfigurieren.
  3. Klicken Sie unter Netzwerk auf TCP/IP-Konfiguration.
  4. Wählen Sie Standard aus und klicken Sie auf das Symbol Bearbeiten.
  5. Geben Sie die DNS-Einstellungen manuell ein.
    Option Beschreibung
    Domäne AD-Domänenname
    Bevorzugter DNS-Server AD-Server-IP
    Domänen durchsuchen AD-Domänenname

Konfigurieren von NTP (Network Time Protocol) für NFS 4.1 mit Kerberos

Wenn Sie NFS 4.1 mit Kerberos verwenden, muss die Uhrzeit für ESXi-Hosts, den NFS-Server und den aktiven Domänenserver synchronisiert sein. In der Regel wird der aktive Domänenserver im Setup als NTP-Server (Network Time Protocol) verwendet.

Die folgende Aufgabe beschreibt, wie der ESXi-Host mit dem NTP-Server synchronisiert wird.

Es empfiehlt sich, den Active Domain-Server als NTP-Server zu verwenden.

Prozedur

  1. Navigieren Sie im vSphere Client zum ESXi-Host.
  2. Klicken Sie auf die Registerkarte Konfigurieren.
  3. Wählen Sie unter System die Option Uhrzeitkonfiguration aus.
  4. Klicken Sie auf Bearbeiten und richten Sie den NTP-Server ein.
    1. Wählen Sie NTP (Network Time Protocol) verwenden (NTP-Client aktivieren) aus.
    2. Geben Sie für die Synchronisierung mit dem NTP-Server dessen IP-Adressen ein.
    3. Wählen Sie NTP-Dienst starten.
    4. Legen Sie die Startrichtlinie für den NTP-Dienst fest.
  5. Klicken Sie auf OK.
    Der Host wird mit dem NTP-Server synchronisiert.

Aktivieren der Kerberos-Authentifizierung in Active Directory

Bei Verwendung des NFS-4.1-Speichers mit Kerberos müssen Sie jedem ESXi-Host eine Active Directory-Domäne hinzufügen und die Kerberos-Authentifizierung aktivieren. Kerberos wird in Active Directory integriert und ermöglicht Single Sign-On sowie eine zusätzliche Schutzebene für unsichere Netzwerkverbindungen.

Voraussetzungen

Richten Sie eine AD-Domäne und ein Domänenadministratorkonto mit Berechtigungen zum Hinzufügen von Hosts zur Domäne ein.

Prozedur

  1. Navigieren Sie im vSphere Client zum ESXi-Host.
  2. Klicken Sie auf die Registerkarte Konfigurieren.
  3. Klicken Sie unter System auf Authentifizierungsdienste.
  4. Fügen Sie den ESXi-Host zu einer Active Directory-Domäne hinzu.
    1. Klicken Sie im Bereich „Authentifizierungsdienste“ auf Domäne beitreten.
    2. Geben Sie die Domäneneinstellungen an und klicken Sie auf OK.
    Der Verzeichnisdiensttyp wird zu Active Directory geändert.
  5. Konfigurieren oder bearbeiten Sie die Anmeldedaten eines NFS-Kerberos-Benutzers.
    1. Klicken Sie im Bereich „NFS-Kerberos-Anmeldedaten“ auf Bearbeiten.
    2. Geben Sie einen Benutzernamen und ein Kennwort ein.
      Der Zugriff auf die in allen Kerberos-Datenspeichern gespeicherten Dateien erfolgt über diese Anmeldedaten.
    Der Status der NFS-Kerberos-Anmeldedaten ändert sich zu „Aktiviert“.

Nächste Maßnahme

Nach dem Konfigurieren Ihres Hosts für Kerberos können Sie einen NFS 4.1-Datenspeicher erstellen, in dem Kerberos aktiviert ist.