Con la versión 4.1 de NFS, ESXi admite el mecanismo de autenticación Kerberos. La implementación de ESXi de Kerberos para NFS 4.1 proporciona dos modelos de seguridad, krb5 y krb5i, que ofrecen distintos niveles de seguridad.

El mecanismo RPCSEC_GSS Kerberos es un servicio de autenticación. Permite instalar un cliente de NFS 4.1 en ESXi para probar su identidad en un servidor NFS antes de montar un recurso compartido de NFS. La seguridad Kerberos utiliza criptografía para funcionar en una conexión de red no segura.

La implementación de ESXi de Kerberos para NFS 4.1 proporciona dos modelos de seguridad, krb5 y krb5i, que ofrecen distintos niveles de seguridad.
  • Kerberos para autenticación solamente (krb5) admite la comprobación de identidad.
  • Kerberos para autenticación e integridad de datos (krb5i), además de la comprobación de identidad, proporciona servicios de integridad de datos. Estos servicios ayudan a proteger el tráfico de NFS para evitar la alteración mediante la comprobación de posibles modificaciones en los paquetes de datos.

Kerberos admite algoritmos de cifrado que evitan que los usuarios no autorizados puedan acceder al tráfico de NFS. El cliente NFS 4.1 en ESXi intenta usar el algoritmo AES256-CTS-HMAC-SHA1-96 o AES128-CTS-HMAC-SHA1-96 para acceder a un recurso compartido en el servidor NAS. Antes de utilizar los almacenes de datos de NFS 4.1, asegúrese de que AES256-CTS-HMAC-SHA1-96 o AES128-CTS-HMAC-SHA1-96 estén habilitados en el servidor NAS.

En la siguiente tabla, se comparan los niveles de seguridad de Kerberos admitidos por ESXi.

Tipo de seguridad de Kerberos Compatibilidad con ESXi
Kerberos para autenticación solamente (krb5) Suma de comprobación de integridad para encabezado RPC Sí con AES
Comprobación de integridad para datos de RPC No
Kerberos para autenticación e integridad de datos (krb5i) Suma de comprobación de integridad para encabezado RPC Sí con AES
Comprobación de integridad para datos de RPC Sí con AES
Al utilizar la autenticación Kerberos, se deben tener en cuenta las siguientes consideraciones:
  • ESXi utiliza Kerberos con el dominio de Active Directory.
  • Como administrador de vSphere, debe especificar credenciales de Active Directory para proporcionar acceso a un usuario de NFS a los almacenes de datos Kerberos de NFS 4.1. Se utiliza un único conjunto de credenciales para acceder a todos los almacenes de datos Kerberos montados en ese host.
  • Cuando varios hosts ESXi comparten el almacén de datos NFS 4.1, se deben utilizar las mismas credenciales de Active Directory para todos los hosts que tienen acceso al almacén de datos compartido. Para automatizar el proceso de asignación, establezca el usuario en los perfiles de host y aplique el perfil a todos los hosts ESXi.
  • No se pueden usar dos mecanismos de seguridad, AUTH_SYS y Kerberos, para el mismo almacén de datos NFS 4.1 compartido por varios hosts.

Configurar hosts ESXi para la autenticación Kerberos

Si utiliza NFS 4.1 con Kerberos, debe realizar varias tareas para configurar los hosts para la autenticación Kerberos.

Cuando varios hosts ESXi comparten el almacén de datos NFS 4.1, se deben utilizar las mismas credenciales de Active Directory para todos los hosts que tienen acceso al almacén de datos compartido. Para automatizar el proceso de asignación, configure el usuario en los perfiles de host y aplique el perfil a todos los hosts ESXi.

Requisitos previos

  • Asegúrese de que los servidores de Microsoft Active Directory (AD) y NFS estén configurados para utilizar Kerberos.
  • Habilite los modos de cifrado AES256-CTS-HMAC-SHA1-96 o AES128-CTS-HMAC-SHA1-96 en AD. El cliente NFS 4.1 no es compatible con el modo de cifrado DES-CBC-MD5.
  • Asegúrese de que las exportaciones del servidor NFS estén configuradas para otorgar acceso completo al usuario de Kerberos.

Configurar DNS para NFS 4.1 con Kerberos

Cuando usa NFS 4.1 con Kerberos, debe cambiar la configuración de DNS en los hosts ESXi. La configuración debe apuntar al servidor DNS que está configurado para distribuir registros de DNS para el centro de distribución de claves (Key Distribution Center, KDC) de Kerberos. Por ejemplo, utilice la dirección del servidor de Active Directory si AD se utiliza como servidor DNS.

Procedimiento

  1. En vSphere Client, desplácese hasta el host ESXi.
  2. Haga clic en la pestaña Configurar.
  3. En Redes, haga clic en Configuración de TCP/IP.
  4. Seleccione Predeterminado y haga clic en el icono Editar.
  5. Introduzca manualmente la configuración de DNS.
    Opción Descripción
    Dominio Nombre del dominio de AD
    Servidor DNS preferido IP del servidor de AD
    Dominios de búsqueda Nombre del dominio de AD

Configurar protocolo Network Time Protocol para NFS 4.1 con Kerberos

Si utiliza NFS 4.1 con Kerberos, los hosts ESXi, el servidor NFS y el servidor de Active Domain deben tener la hora sincronizada. Por lo general, en la configuración, el servidor de Active Domain se utiliza como el servidor del protocolo de hora de red (Network Time Protocol, NTP).

La siguiente tarea describe cómo sincronizar el host de ESXi con el servidor NTP.

La práctica recomendada es usar el servidor de Active Domain como servidor NTP.

Procedimiento

  1. En vSphere Client, desplácese hasta el host ESXi.
  2. Haga clic en la pestaña Configurar.
  3. En Sistema, seleccione Configuración de hora.
  4. Haga clic en Editar y configure el servidor NTP.
    1. Seleccione Usar protocolo de hora de red (Habilitar el cliente NTP).
    2. Para sincronizar con el servidor NTP, introduzca sus direcciones IP.
    3. Seleccione Iniciar servicio NTP.
    4. Establezca la directiva de inicio del servicio NTP.
  5. Haga clic en Aceptar.
    El host se sincroniza con el servidor NTP.

Habilitar la autenticación Kerberos en Active Directory

Si se utiliza almacenamiento NFS 4.1 con Kerberos, se debe agregar cada host ESXi a un dominio de Active Directory y habilitar la autenticación Kerberos. Kerberos se integra con Active Directory para habilitar el inicio de sesión único y proporciona una capa adicional de seguridad cuando se utiliza en una conexión de red que no es segura.

Requisitos previos

Configure un dominio de AD y una cuenta de administrador de dominio con los derechos para agregar hosts al dominio.

Procedimiento

  1. En vSphere Client, desplácese hasta el host ESXi.
  2. Haga clic en la pestaña Configurar.
  3. En Sistema, haga clic en Servicios de autenticación.
  4. Agregue el host ESXi a un dominio de Active Directory.
    1. En el panel Servicios de autenticación, haga clic en Unirse al dominio.
    2. Proporcione la configuración del dominio y haga clic en Aceptar.
    El tipo de servicios de directorio cambia a Active Directory.
  5. Configure o edite las credenciales de un usuario Kerberos de NFS.
    1. En el panel Credenciales de Kerberos de NFS, haga clic en Editar.
    2. Escriba un nombre de usuario y contraseña.
      Con estas credenciales se accede a los archivos almacenados en todos los almacenes de datos Kerberos.
    El estado de las credenciales Kerberos de NFS cambia a Habilitado.

Qué hacer a continuación

Después de configurar el host para Kerberos, puede crear un almacén de datos NFS 4.1 con Kerberos habilitado.