Avec NFS version 4.1, ESXi prend en charge le mécanisme d'authentification Kerberos. La mise en œuvre ESXi de Kerberos pour NFS 4.1 fournit deux modèles de sécurité, krb5 et krb5i, qui offrent deux niveaux de sécurité différents.

Le mécanisme Kerberos RPCSEC_GSS est un service d'authentification. Il permet à un client NFS 4.1 installé sur ESXi de justifier son identité à un serveur NFS, préalablement au montage d'un partage NFS. Grâce au chiffrement, la sécurité Kerberos permet de travailler sur une connexion réseau non sécurisée.

La mise en œuvre ESXi de Kerberos pour NFS 4.1 fournit deux modèles de sécurité, krb5 et krb5i, qui offrent deux niveaux de sécurité différents.
  • Kerberos pour l'authentification uniquement (krb5) prend en charge la vérification de l'identité.
  • Kerberos pour l'authentification et l'intégrité des données (krb5i), en plus de la vérification de l'identité, fournit des services d'intégrité des données. Ces services permettent de protéger le trafic NFS contre la falsification en vérifiant les modifications potentielles des paquets de données.

Kerberos prend en charge des algorithmes de chiffrement qui empêchent les utilisateurs non autorisés d'obtenir l'accès au trafic NFS. Le client NFS 4.1 sur ESXi tente d'utiliser l'algorithme AES256-CTS-HMAC-SHA1-96 ou AES128-CTS-HMAC-SHA1-96 pour accéder à un partage sur le serveur NAS. Avant d'utiliser vos banques de données NFS 4.1, assurez-vous que l'algorithme AES256-CTS-HMAC-SHA1-96 ou AES128-CTS-HMAC-SHA1-96 est activé sur le serveur NAS.

Le tableau suivant compare les niveaux de sécurité Kerberos pris en charge par ESXi.

Type de sécurité Kerberos Prise en charge d'ESXi
Kerberos pour l'authentification uniquement (krb5) Total de contrôle d'intégrité pour l'en-tête RPC Oui avec AES
Total de contrôle d'intégrité pour les données RPC Non
Kerberos pour l'authentification et l'intégrité des données (krb5i) Total de contrôle d'intégrité pour l'en-tête RPC Oui avec AES
Total de contrôle d'intégrité pour les données RPC Oui avec AES
Lorsque vous utilisez l'authentification Kerberos, les considérations suivantes s'appliquent :
  • ESXi utilise Kerberos avec le domaine Active Directory.
  • En tant qu'administrateur de vSphere, vous devez spécifier les informations d'identification Active Directory requises pour octroyer l'accès aux banques de données Kerberos NFS 4.1 à un utilisateur NFS. Le même ensemble d'informations d'identification est utilisé pour accéder à toutes les banques de données Kerberos montées sur cet hôte.
  • Lorsque plusieurs hôtes ESXi partagent la même banque de données NFS 4.1, vous devez utiliser les mêmes informations d'identification Active Directory pour tous les hôtes qui accèdent à la banque de données partagée. Pour automatiser le processus d'attribution, définissez l'utilisateur dans un profil d'hôte et appliquez le profil à tous les hôtes ESXi.
  • Vous ne pouvez pas utiliser deux mécanismes de sécurité, AUTH_SYS et Kerberos, pour la même banque de données NFS 4.1 partagée par plusieurs hôtes. 

Configurer les hôtes ESXi pour l'authentification Kerberos

Si vous utilisez NFS 4.1 avec Kerberos, vous devez effectuer différentes tâches afin de configurer vos hôtes pour l'authentification Kerberos.

Lorsque plusieurs hôtes ESXi partagent la même banque de données NFS 4.1, vous devez utiliser les mêmes informations d'identification Active Directory pour tous les hôtes qui accèdent à la banque de données partagée. Vous pouvez automatiser le processus d'attribution en définissant l'utilisateur dans les profils d'hôte et en appliquant le profil à tous les hôtes ESXi.

Conditions préalables

  • Assurez-vous que les serveurs NFS et Microsoft Active Directory (AD) sont configurés de manière à utiliser Kerberos.
  • Activez les modes de chiffrement AES256-CTS-HMAC-SHA1-96 ou AES128-CTS-HMAC-SHA1-96 sur AD. Le client NFS 4.1 ne prend pas en charge le mode de chiffrement DES-CBC-MD5.
  • Assurez-vous que les exportations du serveur NFS sont configurées de manière à octroyer les droits d'accès complets à l'utilisateur Kerberos.

Configurer DNS pour NFS 4.1 avec Kerberos

Lorsque vous utilisez NFS 4.1 avec Kerberos, vous devez modifier les paramètres DNS sur les hôtes ESXi. Les paramètres doivent pointer vers le serveur DNS configuré pour distribuer les enregistrements DNS dans le centre de distribution de clés Kerberos. Par exemple, utilisez l'adresse de serveur Active Directory, si Active Directory est utilisé comme serveur DNS.

Procédure

  1. Dans vSphere Client, accédez à l'hôte ESXi.
  2. Cliquez sur l'onglet Configurer.
  3. Sous Mise en réseau, cliquez sur Configuration TCP/IP.
  4. Sélectionnez Par défaut, puis cliquez sur l'icône Modifier.
  5. Entrez manuellement les paramètres DNS.
    Option Description
    Domaine Nom de domaine AD
    Serveur DNS favori Adresse IP du serveur AD
    Rechercher dans les domaines Nom de domaine AD

Configurer le protocole NTP (Network Time Protocol) pour NFS 4.1 avec Kerberos

Si vous utilisez NFS 4.1 avec Kerberos, les hôtes ESXi, le serveur NFS et le serveur Active Domain doivent être synchronisés. En général, dans la configuration, le serveur Active Domain est utilisé comme serveur NTP (Network Time Protocol).

La tâche suivante décrit comment synchroniser l'hôte ESXi avec le serveur NTP.

La meilleure pratique consiste à utiliser le serveur Active Domain comme serveur NTP.

Procédure

  1. Dans vSphere Client, accédez à l'hôte ESXi.
  2. Cliquez sur l'onglet Configurer.
  3. Sous Système, sélectionnez Configuration de temps.
  4. Cliquez sur Modifier et configurez le serveur NTP.
    1. Sélectionnez Utiliser le protocole de temps du réseau (activer le client NTP).
    2. Pour procéder à une synchronisation avec le serveur NTP, entrez ses adresses IP.
    3. Sélectionnez Démarrer le Service NTP.
    4. Définissez la stratégie de démarrage du service NTP.
  5. Cliquez sur OK.
    L'hôte se synchronise avec le serveur NTP.

Activer l'authentification Kerberos dans Active Directory

Si vous utilisez le stockage NFS 4.1 avec Kerberos, vous devez ajouter chaque hôte ESXi à un domaine Active Directory et activer l'authentification Kerberos. Kerberos s'intègre à Active Directory pour permettre la fonctionnalité Single Sign-On et offrir une couche supplémentaire de sécurité en cas d'utilisation via une connexion réseau non sécurisée.

Conditions préalables

Configurez un domaine AD et un compte d'administrateur de domaine possédant les droits pertinents pour pouvoir ajouter des hôtes au domaine.

Procédure

  1. Dans vSphere Client, accédez à l'hôte ESXi.
  2. Cliquez sur l'onglet Configurer.
  3. Sous Système, cliquez sur Services d'authentification.
  4. Ajoutez l'hôte ESXi au domaine Active Directory.
    1. Dans le volet Services d'authentification, cliquez sur Joindre le domaine.
    2. Fournissez les paramètres du domaine, puis cliquez sur OK.
    Le type des services d'annuaire devient Active Directory.
  5. Configurez ou modifiez les informations d'identification d'un utilisateur NFS Kerberos.
    1. Dans le volet Informations d'identification NFS Kerberos, cliquez sur Modifier.
    2. Tapez un nom d'utilisateur et un mot de passe.
      Ces informations d'identification permettront d'accéder aux fichiers stockés dans toutes les banques de données Kerberos.
    L'état des informations d'identification NFS Kerberos devient Activé.

Que faire ensuite

Après avoir configuré l'hôte pour Kerberos, vous pouvez créer une banque de données NFS 4.1 avec Kerberos activé.