Con NFS versione 4.1, ESXi supporta il meccanismo di autenticazione Kerberos. L'implementazione ESXi di Kerberos per NFS 4.1 offre due modelli di sicurezza, krb5 e krb5i, i quali forniscono livelli di sicurezza diversi.

Il meccanismo Kerberos RPCSEC_GSS è un servizio di autenticazione. Consente a un client NFS 4.1 installato su ESXi di dimostrare la propria identità a un server NFS prima che venga montata una condivisione NFS. La sicurezza Kerberos utilizza la crittografia per operare in una connessione di rete non sicura.

L'implementazione ESXi di Kerberos per NFS 4.1 offre due modelli di sicurezza, krb5 e krb5i, i quali forniscono livelli di sicurezza diversi.
  • Kerberos solo per l'autenticazione (krb5) supporta la verifica delle identità.
  • Kerberos per l'autenticazione e l'integrità dei dati (krb5i), oltre alla verifica dell'identità fornisce anche servizi di integrità dei dati. Questi servizi consentono di proteggere il traffico NFS dalla manomissione mediante la verifica di pacchetti di dati per eventuali modifiche.

Kerberos supporta algoritmi crittografici che impediscono agli utenti non autorizzati di ottenere l'accesso al traffico NFS. Il client NFS 4.1 su ESXi tenta di utilizzare gli algoritmi AES256-CTS-HMAC-SHA1-96 o AES128-CTS-HMAC-SHA1-96 per accedere a una condivisione sul server NAS. Prima di utilizzare i datastore NFS 4.1, assicurarsi che nel server NAS siano abilitati AES256-CTS-HMAC-SHA1-96 o AES128-CTS-HMAC-SHA1-96.

Nella tabella seguente vengono confrontati i livelli di sicurezza Kerberos supportati da ESXi.

Tipo di sicurezza Kerberos Supporto ESXi
Kerberos solo per l'autenticazione (krb5) Checksum dell'integrità per l'intestazione RPC Sì con AES
Checksum dell'integrità per i dati RPC No
Kerberos per l'autenticazione e l'integrità dei dati (krb5i) Checksum dell'integrità per l'intestazione RPC Sì con AES
Checksum dell'integrità per i dati RPC Sì con AES
Quando si utilizza l'autenticazione Kerberos, si applicano le considerazioni seguenti:
  • ESXi utilizza Kerberos con il dominio di Active Directory.
  • In qualità di amministratore di vSphere, specificare le credenziali di Active Directory per fornire l'accesso ai datastore Kerberos NFS 4.1 per un utente NFS. Per accedere a tutti i datastore Kerberos montati su tale host, viene utilizzato un singolo set di credenziali.
  • Quando più host ESXi condividono il datastore NFS 4.1, è necessario utilizzare le stesse credenziali di Active Directory per tutti gli host che accedono al datastore condiviso. Per automatizzare il processo di assegnazione, impostare l'utente nei profili host e applicare il profilo a tutti gli host ESXi.
  • Non è possibile utilizzare due meccanismi di sicurezza, AUTH_SYS e Kerberos, per lo stesso datastore NFS 4.1 condiviso da più host.

Configurazione degli host ESXi per l'autenticazione Kerberos

Se si utilizza NFS 4.1 con Kerberos, è necessario eseguire diverse attività per configurare gli host per l'autenticazione Kerberos.

Quando più host ESXi condividono il datastore NFS 4.1, è necessario utilizzare le stesse credenziali di Active Directory per tutti gli host che accedono al datastore condiviso. È possibile automatizzare il processo di assegnazione impostando l'utente nei profili host e applicando il profilo a tutti gli host ESXi.

Prerequisiti

  • Assicurarsi che i server Microsoft Active Directory (AD) e NFS siano configurati per l'utilizzo di Kerberos.
  • Abilitare le modalità di crittografia AES256-CTS-HMAC-SHA1-96 o AES128-CTS-HMAC-SHA1-96 in AD. Il client NFS 4.1 non supporta la modalità di crittografia DES-CBC-MD5.
  • Assicurarsi che le esportazioni del server NFS siano configurate in modo da concedere accesso completo all'utente Kerberos.

Configurazione di DNS per NFS 4.1 con Kerberos

Quando si utilizza NFS 4.1 con Kerberos, è necessario modificare le impostazioni DNS negli host ESXi. Le impostazioni devono puntare al server DNS configurato per distribuire i record DNS per il Centro distribuzione chiavi Kerberos. Ad esempio, utilizzare l'indirizzo del server Active Directory se AD viene utilizzato come server DNS.

Procedura

  1. In vSphere Client, passare all'host ESXi.
  2. Fare clic sulla scheda Configura.
  3. In Rete, fare clic su Configurazione TCP/IP.
  4. Selezionare Predefinita e fare clic sull'icona Modifica.
  5. Immettere manualmente le impostazioni DNS.
    Opzione Descrizione
    Dominio Nome dominio AD
    Server DNS preferito IP server AD
    Cerca domini Nome dominio AD

Configurazione di Network Time Protocol per NFS 4.1 con Kerberos

Se si utilizza NFS 4.1 con Kerberos, è necessario che l'ora degli host ESXi, il server NFS e il server Active Domain sia sincronizzata. In genere, nella configurazione, il server Active Domain viene utilizzato come server NTP (Network Time Protocol).

L'attività seguente illustra come sincronizzare l'host ESXi con il server NTP.

La procedura consigliata consiste nell'utilizzare il server Active Domain come server NTP.

Procedura

  1. In vSphere Client, passare all'host ESXi.
  2. Fare clic sulla scheda Configura.
  3. In Sistema, selezionare Configurazione dell'ora.
  4. Fare clic su Modifica e configurare il server NTP.
    1. Selezionare Usa Network Time Protocol (Abilita NTP Client).
    2. Per eseguire la sincronizzazione con il server NTP, immetterne gli indirizzi IP.
    3. Seleziona Avvia servizio NTP.
    4. Impostare il criterio di avvio del servizio NTP.
  5. Fare clic su OK.
    L'host esegue la sincronizzazione con il server NTP.

Abilitazione dell'autenticazione Kerberos in Active Directory

Se si utilizza lo storage NFS 4.1 con Kerberos, è necessario aggiungere ogni host ESXi a un dominio Active Directory e abilitare l'autenticazione Kerberos. Kerberos si integra con Active Directory per abilitare Single Sign-On e fornisce un ulteriore livello di sicurezza quando viene utilizzato in una connessione di rete non sicura.

Prerequisiti

Configurare un dominio AD e un account di amministratore di dominio con i diritti per aggiungere host al dominio.

Procedura

  1. In vSphere Client, passare all'host ESXi.
  2. Fare clic sulla scheda Configura.
  3. In Sistema, fare clic su Servizi di autenticazione.
  4. Aggiungere l'host ESXi a un dominio Active Directory.
    1. Nel riquadro Servizi di autenticazione, fare clic su Aggiunta a dominio.
    2. Fornire le impostazioni del dominio e fare clic su OK.
    Il tipo di servizi directory diventa Active Directory.
  5. Configurare o modificare le credenziali per un utente Kerberos NFS.
    1. Nel riquadro Credenziali Kerberos NFS, fare clic su Modifica.
    2. Immettere un nome utente e una password.
      È possibile accedere ai file archiviati in tutti i datastore Kerberos utilizzando queste credenziali.
    Lo stato delle credenziali Kerberos NFS cambia in Abilitato.

Operazioni successive

Dopo aver configurato l'host per Kerberos, è possibile creare un datastore NFS 4.1 con Kerberos abilitato.