NFS バージョン 4.1 を使用する場合、ESXi は Kerberos 認証メカニズムをサポートします。
RPCSEC_GSS Kerberos メカニズムは認証サービスです。これにより ESXi にインストールされている NFS 4.1 クライアントは、NFS 共有をマウントする前に、NFS サーバに対してその ID を証明することができます。Kerberos セキュリティでは、セキュリティ保護のないネットワーク接続で使用できるよう暗号化を使用します。
ESXi の NFS 4.1 用の Kerberos 実装には、krb5 と krb5i の 2 つのセキュリティ モデルがあり、それぞれが異なるセキュリティ レベルを提供します。
- 認証のみの Kerberos (krb5) では ID 検証がサポートされます。
- 認証とデータ整合性用の Kerberos (krb5i) では、ID 検証に加えて、データの整合性サービスも提供されます。これらのサービスを使用すると、データ パケットが改変されている可能性がないかがチェックされ、NFS トラフィックの改ざん保護に役立ちます。
Kerberos は暗号化アルゴリズムをサポートし、認証されていないユーザーによる NFS トラフィックへのアクセスを防止します。ESXi の NFS 4.1 クライアントは、NAS サーバ上の共有へのアクセスに、AES256-CTS-HMAC-SHA1-96 または AES128-CTS-HMAC-SHA1-96 アルゴリズムの使用を試みます。NFS 4.1 データストアを使用する前に、NAS サーバで AES256-CTS-HMAC-SHA1-96 または AES128-CTS-HMAC-SHA1-96 が有効であることを確認します。
次の表は、ESXi がサポートする Kerberos セキュリティ レベルの比較です。
| ESXi 6.0 | ESXi 6.5 以降 | ||
|---|---|---|---|
| 認証のみの Kerberos (krb5) | RPC ヘッダーの整合性チェックサム | あり (DES) | あり (AES) |
| RPC データの整合性チェックサム | いいえ | いいえ | |
| 認証とデータ整合性用 Kerberos (krb5i) | RPC ヘッダーの整合性チェックサム | なし (krb5i) | あり (AES) |
| RPC データの整合性チェックサム | あり (AES) | ||
Kerberos 認証を使用する場合は、次の考慮事項が適用されます。
- ESXi は Active Directory ドメインで Kerberos を使用します。
- vSphere 管理者として Active Directory 認証情報を指定し、NFS ユーザーが NFS 4.1 Kerberos データストアにアクセスできるようにします。認証情報の単一セットを使用して、そのホストにマウントされているすべての Kerberos データストアにアクセスします。
- 複数の ESXi ホストが NFS 4.1 データストアを共有する場合は、共有データストアにアクセスするすべてのホストで同じ Active Directory 認証情報を使用する必要があります。割り当てプロセスを自動化するには、ホスト プロファイル内にユーザーを設定し、そのプロファイルをすべての ESXi ホストに適用します。
- 複数のホストで共有される 1 つの NFS 4.1 データストアには、2 つのセキュリティ メカニズム(AUTH_SYS と Kerberos)を使用できません。
