Con la versión 4.1 de NFS, ESXi admite el mecanismo de autenticación Kerberos.
El mecanismo RPCSEC_GSS Kerberos es un servicio de autenticación. Permite instalar un cliente de NFS 4.1 en ESXi para probar su identidad en un servidor NFS antes de montar un recurso compartido de NFS. La seguridad Kerberos utiliza criptografía para funcionar en una conexión de red no segura.
- Kerberos para autenticación solamente (krb5) admite la comprobación de identidad.
- Kerberos para autenticación e integridad de datos (krb5i), además de la comprobación de identidad, proporciona servicios de integridad de datos. Estos servicios ayudan a proteger el tráfico de NFS para evitar la alteración mediante la comprobación de posibles modificaciones en los paquetes de datos.
Kerberos admite algoritmos de cifrado que evitan que los usuarios no autorizados puedan acceder al tráfico de NFS. El cliente NFS 4.1 en ESXi intenta usar el algoritmo AES256-CTS-HMAC-SHA1-96 o AES128-CTS-HMAC-SHA1-96 para acceder a un recurso compartido en el servidor NAS. Antes de utilizar los almacenes de datos de NFS 4.1, asegúrese de que AES256-CTS-HMAC-SHA1-96 o AES128-CTS-HMAC-SHA1-96 estén habilitados en el servidor NAS.
En la siguiente tabla, se comparan los niveles de seguridad de Kerberos admitidos por ESXi.
ESXi 6.0 | ESXi 6.5 y versiones posteriores | ||
---|---|---|---|
Kerberos para autenticación solamente (krb5) | Suma de comprobación de integridad para encabezado RPC | Sí con DES | Sí con AES |
Comprobación de integridad para datos de RPC | No | No | |
Kerberos para autenticación e integridad de datos (krb5i) | Suma de comprobación de integridad para encabezado RPC | Sin krb5i | Sí con AES |
Comprobación de integridad para datos de RPC | Sí con AES |
- ESXi utiliza Kerberos con el dominio de Active Directory.
- Como administrador de vSphere, debe especificar credenciales de Active Directory para proporcionar acceso a un usuario de NFS a los almacenes de datos Kerberos de NFS 4.1. Se utiliza un único conjunto de credenciales para acceder a todos los almacenes de datos Kerberos montados en ese host.
- Cuando varios hosts ESXi comparten el almacén de datos NFS 4.1, se deben utilizar las mismas credenciales de Active Directory para todos los hosts que tienen acceso al almacén de datos compartido. Para automatizar el proceso de asignación, establezca el usuario en los perfiles de host y aplique el perfil a todos los hosts ESXi.
- No se pueden usar dos mecanismos de seguridad, AUTH_SYS y Kerberos, para el mismo almacén de datos NFS 4.1 compartido por varios hosts.