Avec NFS version 4.1, ESXi prend en charge le mécanisme d'authentification Kerberos. La mise en œuvre ESXi de Kerberos pour NFS 4.1 fournit deux modèles de sécurité, krb5 et krb5i, qui offrent deux niveaux de sécurité différents.
Le mécanisme Kerberos RPCSEC_GSS est un service d'authentification. Il permet à un client NFS 4.1 installé sur ESXi de justifier son identité à un serveur NFS, préalablement au montage d'un partage NFS. Grâce au chiffrement, la sécurité Kerberos permet de travailler sur une connexion réseau non sécurisée.
- Kerberos pour l'authentification uniquement (krb5) prend en charge la vérification de l'identité.
- Kerberos pour l'authentification et l'intégrité des données (krb5i), en plus de la vérification de l'identité, fournit des services d'intégrité des données. Ces services permettent de protéger le trafic NFS contre la falsification en vérifiant les modifications potentielles des paquets de données.
Kerberos prend en charge des algorithmes de chiffrement qui empêchent les utilisateurs non autorisés d'obtenir l'accès au trafic NFS. Le client NFS 4.1 sur ESXi tente d'utiliser l'algorithme AES256-CTS-HMAC-SHA1-96 ou AES128-CTS-HMAC-SHA1-96 pour accéder à un partage sur le serveur NAS. Avant d'utiliser vos banques de données NFS 4.1, assurez-vous que l'algorithme AES256-CTS-HMAC-SHA1-96 ou AES128-CTS-HMAC-SHA1-96 est activé sur le serveur NAS.
Le tableau suivant compare les niveaux de sécurité Kerberos pris en charge par ESXi.
Type de sécurité Kerberos | Prise en charge d'ESXi | |
---|---|---|
Kerberos pour l'authentification uniquement (krb5) | Total de contrôle d'intégrité pour l'en-tête RPC | Oui avec AES |
Total de contrôle d'intégrité pour les données RPC | Non | |
Kerberos pour l'authentification et l'intégrité des données (krb5i) | Total de contrôle d'intégrité pour l'en-tête RPC | Oui avec AES |
Total de contrôle d'intégrité pour les données RPC | Oui avec AES |
- ESXi utilise Kerberos avec le domaine Active Directory.
- En tant qu'administrateur de vSphere, vous devez spécifier les informations d'identification Active Directory requises pour octroyer l'accès aux banques de données Kerberos NFS 4.1 à un utilisateur NFS. Le même ensemble d'informations d'identification est utilisé pour accéder à toutes les banques de données Kerberos montées sur cet hôte.
- Lorsque plusieurs hôtes ESXi partagent la même banque de données NFS 4.1, vous devez utiliser les mêmes informations d'identification Active Directory pour tous les hôtes qui accèdent à la banque de données partagée. Pour automatiser le processus d'attribution, définissez l'utilisateur dans un profil d'hôte et appliquez le profil à tous les hôtes ESXi.
- Vous ne pouvez pas utiliser deux mécanismes de sécurité, AUTH_SYS et Kerberos, pour la même banque de données NFS 4.1 partagée par plusieurs hôtes.
Configurer les hôtes ESXi pour l'authentification Kerberos
Si vous utilisez NFS 4.1 avec Kerberos, vous devez effectuer différentes tâches afin de configurer vos hôtes pour l'authentification Kerberos.
Conditions préalables
- Assurez-vous que les serveurs NFS et Microsoft Active Directory (AD) sont configurés de manière à utiliser Kerberos.
- Activez les modes de chiffrement AES256-CTS-HMAC-SHA1-96 ou AES128-CTS-HMAC-SHA1-96 sur AD. Le client NFS 4.1 ne prend pas en charge le mode de chiffrement DES-CBC-MD5.
- Assurez-vous que les exportations du serveur NFS sont configurées de manière à octroyer les droits d'accès complets à l'utilisateur Kerberos.
Configurer DNS pour NFS 4.1 avec Kerberos
Lorsque vous utilisez NFS 4.1 avec Kerberos, vous devez modifier les paramètres DNS sur les hôtes ESXi. Les paramètres doivent pointer vers le serveur DNS configuré pour distribuer les enregistrements DNS dans le centre de distribution de clés Kerberos. Par exemple, utilisez l'adresse de serveur Active Directory, si Active Directory est utilisé comme serveur DNS.
Procédure
- Dans vSphere Client, accédez à l'hôte ESXi.
- Cliquez sur l'onglet Configurer.
- Sous Mise en réseau, cliquez sur Configuration TCP/IP.
- Sélectionnez Par défaut, puis cliquez sur l'icône Modifier.
- Entrez manuellement les paramètres DNS.
Option Description Domaine Nom de domaine AD Serveur DNS favori Adresse IP du serveur AD Rechercher dans les domaines Nom de domaine AD
Configurer le protocole NTP (Network Time Protocol) pour NFS 4.1 avec Kerberos
Si vous utilisez NFS 4.1 avec Kerberos, les hôtes ESXi, le serveur NFS et le serveur Active Domain doivent être synchronisés. En général, dans la configuration, le serveur Active Domain est utilisé comme serveur NTP (Network Time Protocol).
La tâche suivante décrit comment synchroniser l'hôte ESXi avec le serveur NTP.
La meilleure pratique consiste à utiliser le serveur Active Domain comme serveur NTP.
Procédure
Activer l'authentification Kerberos dans Active Directory
Si vous utilisez le stockage NFS 4.1 avec Kerberos, vous devez ajouter chaque hôte ESXi à un domaine Active Directory et activer l'authentification Kerberos. Kerberos s'intègre à Active Directory pour permettre la fonctionnalité Single Sign-On et offrir une couche supplémentaire de sécurité en cas d'utilisation via une connexion réseau non sécurisée.
Conditions préalables
Configurez un domaine AD et un compte d'administrateur de domaine possédant les droits pertinents pour pouvoir ajouter des hôtes au domaine.
Procédure
Que faire ensuite
Après avoir configuré l'hôte pour Kerberos, vous pouvez créer une banque de données NFS 4.1 avec Kerberos activé.