NFS 4.1 と Kerberos を組み合わせて使用する場合、いくつかのタスクを実行して Kerberos 認証用のホストを設定する必要があります。

複数の ESXi ホストが NFS 4.1 データストアを共有する場合は、共有データストアにアクセスするすべてのホストで同じ Active Directory 認証情報を使用する必要があります。この割り当てプロセスは、ホスト プロファイルでユーザーを設定し、すべての ESXi ホストにプロファイルを適用すると、自動化することができます。

前提条件

  • Kerberos を使用するように Microsoft Active Directory (AD) および NFS サーバが構成されていることを確認します。
  • Active Directory で AES256-CTS-HMAC-SHA1-96 または AES128-CTS-HMAC-SHA1-96 暗号化モードを有効にします。NFS 4.1 クライアントでは、DES-CBC-MD5 暗号化モードはサポートされていません。
  • Kerberos ユーザーにフル アクセスを付与するように NFS サーバのエクスポートが構成されていることを確認します。

Kerberos を使用する NFS 4.1 用 DNS の構成

NFS 4.1 で Kerberos を使用する場合は、ESXi ホストの DNS 設定を変更する必要があります。設定は、Kerberos Key Distribution Center (KDC) に DNS レコードを配布するように設定された DNS サーバを参照する必要があります。たとえば、Active Directory が DNS サーバとして使用されている場合、Active Directory サーバのアドレスを使用します。

手順

  1. vSphere Client で、ESXi ホストに移動します。
  2. [設定] タブをクリックします。
  3. [ネットワーク] で、[TCP/IP 構成] をクリックします。
  4. [デフォルト] を選択し、[編集] アイコンをクリックします。
  5. DNS 設定を手動で入力します。
    オプション 説明
    ドメイン AD Domain Name
    優先 DNS サーバ AD Server IP
    ドメインの検索 AD Domain Name

Kerberos を使用する NFS 4.1 用 Network Time Protocol の構成

Kerberos で NFS 4.1 を使用する場合は、ESXi ホスト、NFS サーバ、および Active Domain サーバの時刻を同期する必要があります。通常は、設定で Network Time Protocol (NTP) サーバとして Active Domain サーバが使用されます。

次のタスクでは、ESXi ホストを NTP サーバと同期する方法について説明します。

ベスト プラクティスは NTP サーバとして Active Domain サーバを使用することです。

手順

  1. vSphere Client で、ESXi ホストに移動します。
  2. [設定] タブをクリックします。
  3. [システム][時間の設定] を選択します。
  4. [編集] をクリックし、NTP サーバを設定します。
    1. [Network Time Protocol を使用 (NTP クライアントを有効にする)] を選択します。
    2. NTP サーバと同期するには、IP アドレスを入力します。
    3. [NTP サービスの開始] を選択します。
    4. NTP サービス起動ポリシーを設定します。
  5. [OK] をクリックします。
    ホストが NTP サーバと同期します。

Active Directory での Kerberos 認証の有効化

Kerberos が使用可能な NFS 4.1 を使用する場合は、各 ESXi ホストを Active Directory ドメインに追加し、Kerberos 認証を有効化することができます。Kerberos では、Active Directory との統合によって Single Sign-On が有効化され、セキュリティ保護のないネットワーク接続で使用されるときに追加のセキュリティ レイヤーを提供します。

前提条件

ホストをドメインに追加する権限により、Active Directory (AD) ドメインおよびドメイン管理者アカウントを設定します。

手順

  1. vSphere Client で、ESXi ホストに移動します。
  2. [設定] タブをクリックします。
  3. [システム][認証サービス] をクリックします。
  4. ESXi ホストを Active Directory ドメインに追加します。
    1. [認証サービス] ペインで [ドメインへの参加] をクリックします。
    2. ドメイン設定を指定して、[OK] をクリックします。
    ディレクトリ サービスのタイプが Active Directory に変更されます。
  5. NFS Kerberos ユーザーの認証情報を構成または編集します。
    1. [NFS Kerberos 認証情報] ペインで [編集] をクリックします。
    2. ユーザー名とパスワードを入力します。
      すべての Kerberos データストアに保存されているファイルには、これらの認証情報を使用してアクセスします。
    NFS Kerberos 認証情報の状態が [有効] に変わります。

次のタスク

Kerberos のホストを構成すると、Kerberos 対応の NFS 4.1 データストアを作成できます。