Avec NFS version 4.1, ESXi prend en charge le mécanisme d'authentification Kerberos.
Le mécanisme Kerberos RPCSEC_GSS est un service d'authentification. Il permet à un client NFS 4.1 installé sur ESXi de justifier son identité à un serveur NFS, préalablement au montage d'un partage NFS. Grâce au chiffrement, la sécurité Kerberos permet de travailler sur une connexion réseau non sécurisée.
- Kerberos pour l'authentification uniquement (krb5) prend en charge la vérification de l'identité.
- Kerberos pour l'authentification et l'intégrité des données (krb5i), en plus de la vérification de l'identité, fournit des services d'intégrité des données. Ces services permettent de protéger le trafic NFS contre la falsification en vérifiant les modifications potentielles des paquets de données.
Kerberos prend en charge des algorithmes de chiffrement qui empêchent les utilisateurs non autorisés d'obtenir l'accès au trafic NFS. Le client NFS 4.1 sur ESXi tente d'utiliser l'algorithme AES256-CTS-HMAC-SHA1-96 ou AES128-CTS-HMAC-SHA1-96 pour accéder à un partage sur le serveur NAS. Avant d'utiliser vos banques de données NFS 4.1, assurez-vous que l'algorithme AES256-CTS-HMAC-SHA1-96 ou AES128-CTS-HMAC-SHA1-96 est activé sur le serveur NAS.
Le tableau suivant compare les niveaux de sécurité Kerberos pris en charge par ESXi.
ESXi 6.0 | ESXi 6.5 | ||
---|---|---|---|
Kerberos pour l'authentification uniquement (krb5) | Total de contrôle d'intégrité pour l'en-tête RPC | Oui avec DES | Oui avec AES |
Total de contrôle d'intégrité pour les données RPC | Non | Non | |
Kerberos pour l'authentification et l'intégrité des données (krb5i) | Total de contrôle d'intégrité pour l'en-tête RPC | Pas de krb5i | Oui avec AES |
Total de contrôle d'intégrité pour les données RPC | Oui avec AES |
- ESXi utilise Kerberos avec le domaine Active Directory.
- En tant qu'administrateur de vSphere, vous devez spécifier les informations d'identification Active Directory requises pour octroyer l'accès aux banques de données Kerberos NFS 4.1 à un utilisateur NFS. Le même ensemble d'informations d'identification est utilisé pour accéder à toutes les banques de données Kerberos montées sur cet hôte.
- Lorsque plusieurs hôtes ESXi partagent la même banque de données NFS 4.1, vous devez utiliser les mêmes informations d'identification Active Directory pour tous les hôtes qui accèdent à la banque de données partagée. Pour automatiser le processus d'attribution, définissez l'utilisateur dans un profil d'hôte et appliquez le profil à tous les hôtes ESXi.
- Vous ne pouvez pas utiliser deux mécanismes de sécurité, AUTH_SYS et Kerberos, pour la même banque de données NFS 4.1 partagée par plusieurs hôtes.