Si vous utilisez NFS 4.1 avec Kerberos, vous devez effectuer différentes tâches afin de configurer vos hôtes pour l'authentification Kerberos.

Lorsque plusieurs hôtes ESXi partagent la même banque de données NFS 4.1, vous devez utiliser les mêmes informations d'identification Active Directory pour tous les hôtes qui accèdent à la banque de données partagée. Vous pouvez automatiser le processus d'attribution en définissant l'utilisateur dans les profils d'hôte et en appliquant le profil à tous les hôtes ESXi.

Conditions préalables

  • Assurez-vous que les serveurs NFS et Microsoft Active Directory (AD) sont configurés de manière à utiliser Kerberos.
  • Activez les modes de chiffrement AES256-CTS-HMAC-SHA1-96 ou AES128-CTS-HMAC-SHA1-96 sur AD. Le client NFS 4.1 ne prend pas en charge le mode de chiffrement DES-CBC-MD5.
  • Assurez-vous que les exportations du serveur NFS sont configurées de manière à octroyer les droits d'accès complets à l'utilisateur Kerberos.

Configurer DNS pour NFS 4.1 avec Kerberos

Lorsque vous utilisez NFS 4.1 avec Kerberos, vous devez modifier les paramètres DNS sur les hôtes ESXi. Les paramètres doivent pointer vers le serveur DNS configuré pour distribuer les enregistrements DNS dans le centre de distribution de clés Kerberos. Par exemple, utilisez l'adresse de serveur Active Directory, si Active Directory est utilisé comme serveur DNS.

Procédure

  1. Dans vSphere Client, accédez à l'hôte ESXi.
  2. Cliquez sur l'onglet Configurer.
  3. Sous Mise en réseau, cliquez sur Configuration TCP/IP.
  4. Sélectionnez Par défaut, puis cliquez sur l'icône Modifier.
  5. Entrez manuellement les paramètres DNS.
    Option Description
    Domaine Nom de domaine AD
    Serveur DNS favori Adresse IP du serveur AD
    Rechercher dans les domaines Nom de domaine AD

Configurer le protocole NTP (Network Time Protocol) pour NFS 4.1 avec Kerberos

Si vous utilisez NFS 4.1 avec Kerberos, les hôtes ESXi, le serveur NFS et le serveur Active Domain doivent être synchronisés. En général, dans la configuration, le serveur Active Domain est utilisé comme serveur NTP (Network Time Protocol).

La tâche suivante décrit comment synchroniser l'hôte ESXi avec le serveur NTP.

La meilleure pratique consiste à utiliser le serveur Active Domain comme serveur NTP.

Procédure

  1. Dans vSphere Client, accédez à l'hôte ESXi.
  2. Cliquez sur l'onglet Configurer.
  3. Sous Système, sélectionnez Configuration de temps.
  4. Cliquez sur Modifier et configurez le serveur NTP.
    1. Sélectionnez Utiliser le protocole de temps du réseau (activer le client NTP).
    2. Pour procéder à une synchronisation avec le serveur NTP, entrez ses adresses IP.
    3. Sélectionnez Démarrer le Service NTP.
    4. Définissez la stratégie de démarrage du service NTP.
  5. Cliquez sur OK.
    L'hôte se synchronise avec le serveur NTP.

Activer l'authentification Kerberos dans Active Directory

Si vous utilisez le stockage NFS 4.1 avec Kerberos, vous devez ajouter chaque hôte ESXi à un domaine Active Directory et activer l'authentification Kerberos. Kerberos s'intègre à Active Directory pour permettre la fonctionnalité Single Sign-On et offrir une couche supplémentaire de sécurité en cas d'utilisation via une connexion réseau non sécurisée.

Conditions préalables

Configurez un domaine AD et un compte d'administrateur de domaine possédant les droits pertinents pour pouvoir ajouter des hôtes au domaine.

Procédure

  1. Dans vSphere Client, accédez à l'hôte ESXi.
  2. Cliquez sur l'onglet Configurer.
  3. Sous Système, cliquez sur Services d'authentification.
  4. Ajoutez l'hôte ESXi au domaine Active Directory.
    1. Dans le volet Services d'authentification, cliquez sur Joindre le domaine.
    2. Fournissez les paramètres du domaine, puis cliquez sur OK.
    Le type des services d'annuaire devient Active Directory.
  5. Configurez ou modifiez les informations d'identification d'un utilisateur NFS Kerberos.
    1. Dans le volet Informations d'identification NFS Kerberos, cliquez sur Modifier.
    2. Tapez un nom d'utilisateur et un mot de passe.
      Ces informations d'identification permettront d'accéder aux fichiers stockés dans toutes les banques de données Kerberos.
    L'état des informations d'identification NFS Kerberos devient Activé.

Que faire ensuite

Après avoir configuré l'hôte pour Kerberos, vous pouvez créer une banque de données NFS 4.1 avec Kerberos activé.