NFS バージョン 4.1 を使用する場合、ESXi は Kerberos 認証メカニズムをサポートします。

RPCSEC_GSS Kerberos メカニズムは認証サービスです。これにより ESXi にインストールされている NFS 4.1 クライアントは、NFS 共有をマウントする前に、NFS サーバに対してその ID を証明することができます。Kerberos セキュリティでは、セキュリティ保護のないネットワーク接続で使用できるよう暗号化を使用します。

ESXi の NFS 4.1 用の Kerberos 実装には、krb5 と krb5i の 2 つのセキュリティ モデルがあり、それぞれが異なるセキュリティ レベルを提供します。

  • 認証のみの Kerberos (krb5) では ID 検証がサポートされます。

  • 認証とデータ整合性用の Kerberos (krb5i) では、ID 検証に加えて、データの整合性サービスも提供されます。これらのサービスを使用すると、データ パケットが改変されている可能性がないかがチェックされ、NFS トラフィックの改ざん保護に役立ちます。

Kerberos は暗号化アルゴリズムをサポートし、認証されていないユーザーによる NFS トラフィックへのアクセスを防止します。ESXi の NFS 4.1 クライアントは、NAS サーバ上の共有へのアクセスに、AES256-CTS-HMAC-SHA1-96 または AES128-CTS-HMAC-SHA1-96 アルゴリズムの使用を試みます。NFS 4.1 データストアを使用する前に、NAS サーバで AES256-CTS-HMAC-SHA1-96 または AES128-CTS-HMAC-SHA1-96 が有効にされていることを確認します。

次の表に、ESXi がサポートする Kerberos セキュリティ レベルの比較を示します。

表 1. Kerberos セキュリティのタイプ

ESXi 6.0

ESXi 6.5

認証のみの Kerberos (krb5)

RPC ヘッダーの整合性チェックサム

あり (DES)

あり (AES)

RPC データの統合チェックサム

なし

なし

認証とデータ整合性用 Kerberos (krb5i)

RPC ヘッダーの整合性チェックサム

なし (krb5i)

あり (AES)

RPC データの統合チェックサム

あり (AES)

Kerberos 認証を使用する場合は、次の考慮事項が適用されます。

  • ESXi は Active Directory ドメインで Kerberos を使用します。

  • vSphere 管理者として Active Directory 認証情報を指定し、NFS ユーザーが NFS 4.1 Kerberos データストアにアクセスできるようにします。認証情報の単一セットを使用して、そのホストにマウントされているすべての Kerberos データストアにアクセスします。

  • 複数の ESXi ホストが NFS 4.1 データストアを共有する場合は、共有データストアにアクセスするすべてのホストで同じ Active Directory 認証情報を使用する必要があります。割り当てプロセスを自動化するには、ホスト プロファイル内にユーザーを設定し、そのプロファイルをすべての ESXi ホストに適用します。

  • 複数のホストで共有される 1 つの NFS 4.1 データストアには、2 つのセキュリティ メカニズム(AUTH_SYS と Kerberos)を使用できません。

詳細な手順については、『vSphere のストレージ』ドキュメントを参照してください。