Con NFS versione 4.1, ESXi supporta il meccanismo di autenticazione Kerberos.

Il meccanismo Kerberos RPCSEC_GSS è un servizio di autenticazione. Consente a un client NFS 4.1 installato su ESXi di dimostrare la propria identità a un server NFS prima che venga montata una condivisione NFS. La sicurezza Kerberos utilizza la crittografia per operare in una connessione di rete non sicura.

L'implementazione ESXi di Kerberos per NFS 4.1 offre due modelli di sicurezza, krb5 e krb5i, i quali forniscono livelli di sicurezza diversi.
  • Kerberos solo per l'autenticazione (krb5) supporta la verifica delle identità.
  • Kerberos per l'autenticazione e l'integrità dei dati (krb5i), oltre alla verifica dell'identità fornisce anche servizi di integrità dei dati. Questi servizi consentono di proteggere il traffico NFS dalla manomissione mediante la verifica di pacchetti di dati per eventuali modifiche.

Kerberos supporta algoritmi crittografici che impediscono agli utenti non autorizzati di ottenere l'accesso al traffico NFS. Il client NFS 4.1 su ESXi tenta di utilizzare gli algoritmi AES256-CTS-HMAC-SHA1-96 o AES128-CTS-HMAC-SHA1-96 per accedere a una condivisione sul server NAS. Prima di utilizzare i datastore NFS 4.1, assicurarsi che nel server NAS siano abilitati AES256-CTS-HMAC-SHA1-96 o AES128-CTS-HMAC-SHA1-96.

Nella tabella seguente vengono confrontati i livelli di sicurezza Kerberos supportati da ESXi.

Tabella 1. Tipi di sicurezza Kerberos
ESXi 6.0 ESXi 6.5 (e versioni successive)
Kerberos solo per l'autenticazione (krb5) Checksum dell'integrità per l'intestazione RPC Sì con DES Sì con AES
Checksum dell'integrità per i dati RPC No No
Kerberos per l'autenticazione e l'integrità dei dati (krb5i) Checksum dell'integrità per l'intestazione RPC Nessun krb5i Sì con AES
Checksum dell'integrità per i dati RPC Sì con AES
Quando si utilizza l'autenticazione Kerberos, si applicano le considerazioni seguenti:
  • ESXi utilizza Kerberos con il dominio di Active Directory.
  • In qualità di amministratore di vSphere, specificare le credenziali di Active Directory per fornire l'accesso ai datastore Kerberos NFS 4.1 per un utente NFS. Per accedere a tutti i datastore Kerberos montati su tale host, viene utilizzato un singolo set di credenziali.
  • Quando più host ESXi condividono il datastore NFS 4.1, è necessario utilizzare le stesse credenziali di Active Directory per tutti gli host che accedono al datastore condiviso. Per automatizzare il processo di assegnazione, impostare l'utente nei profili host e applicare il profilo a tutti gli host ESXi.
  • Non è possibile utilizzare due meccanismi di sicurezza, AUTH_SYS e Kerberos, per lo stesso datastore NFS 4.1 condiviso da più host.

Per istruzioni dettagliate, vedere la documentazione di Storage di vSphere.