Usar Kerberos para NFS 4.1

Con la versión 4.1 de NFS, ESXi admite el mecanismo de autenticación Kerberos.

El mecanismo RPCSEC_GSS Kerberos es un servicio de autenticación. Permite instalar un cliente de NFS 4.1 en ESXi para probar su identidad en un servidor NFS antes de montar un recurso compartido de NFS. La seguridad Kerberos utiliza criptografía para funcionar en una conexión de red no segura.

La implementación de ESXi de Kerberos para NFS 4.1 proporciona dos modelos de seguridad, krb5 y krb5i, que ofrecen distintos niveles de seguridad.

Kerberos para autenticación solamente (krb5) admite la comprobación de identidad.
Kerberos para autenticación e integridad de datos (krb5i), además de la comprobación de identidad, proporciona servicios de integridad de datos. Estos servicios ayudan a proteger el tráfico de NFS para evitar la alteración mediante la comprobación de posibles modificaciones en los paquetes de datos.

Kerberos admite algoritmos de cifrado que evitan que los usuarios no autorizados puedan acceder al tráfico de NFS. El cliente NFS 4.1 en ESXi intenta usar el algoritmo AES256-CTS-HMAC-SHA1-96 o AES128-CTS-HMAC-SHA1-96 para acceder a un recurso compartido en el servidor NAS. Antes de utilizar los almacenes de datos de NFS 4.1, asegúrese de que AES256-CTS-HMAC-SHA1-96 o AES128-CTS-HMAC-SHA1-96 estén habilitados en el servidor NAS.

En la siguiente tabla, se comparan los niveles de seguridad de Kerberos admitidos por ESXi.

Tabla 1. Tipos de seguridad de Kerberos
		ESXi 6.0	ESXi 6.5 y versiones posteriores
Kerberos para autenticación solamente (krb5)	Suma de comprobación de integridad para encabezado RPC	Sí con DES	Sí con AES
Kerberos para autenticación solamente (krb5)	Comprobación de integridad para datos de RPC	No	No
Kerberos para autenticación e integridad de datos (krb5i)	Suma de comprobación de integridad para encabezado RPC	Sin krb5i	Sí con AES
Kerberos para autenticación e integridad de datos (krb5i)	Comprobación de integridad para datos de RPC	Sin krb5i	Sí con AES

Al utilizar la autenticación Kerberos, se deben tener en cuenta las siguientes consideraciones:

ESXi utiliza Kerberos con el dominio de Active Directory.
Como administrador de vSphere, debe especificar credenciales de Active Directory para proporcionar acceso a un usuario de NFS a los almacenes de datos Kerberos de NFS 4.1. Se utiliza un único conjunto de credenciales para acceder a todos los almacenes de datos Kerberos montados en ese host.
Cuando varios hosts ESXi comparten el almacén de datos NFS 4.1, se deben utilizar las mismas credenciales de Active Directory para todos los hosts que tienen acceso al almacén de datos compartido. Para automatizar el proceso de asignación, establezca el usuario en los perfiles de host y aplique el perfil a todos los hosts ESXi.
No se pueden usar dos mecanismos de seguridad, AUTH_SYS y Kerberos, para el mismo almacén de datos NFS 4.1 compartido por varios hosts.

Consulte la documentación de Almacenamiento de vSphere para obtener instrucciones paso a paso.