ESXi での NFS 4.1 用 Kerberos の使用

NFS バージョン 4.1 を使用する場合、ESXi は Kerberos 認証メカニズムをサポートします。ESXi の NFS 4.1 用の Kerberos 実装には、krb5 と krb5i の 2 つのセキュリティモデルがあり、それぞれが異なるセキュリティレベルを提供します。

RPCSEC_GSS Kerberos メカニズムは認証サービスです。これにより ESXi にインストールされている NFS 4.1 クライアントは、NFS 共有をマウントする前に、NFS サーバに対してその ID を証明することができます。Kerberos セキュリティでは、セキュリティ保護のないネットワーク接続で使用できるよう暗号化を使用します。

ESXi の NFS 4.1 用の Kerberos 実装には、krb5 と krb5i の 2 つのセキュリティモデルがあり、それぞれが異なるセキュリティレベルを提供します。

認証のみの Kerberos (krb5) では　ID 検証がサポートされます。
認証とデータ整合性用の Kerberos (krb5i) では、ID 検証に加えて、データの整合性サービスも提供されます。これらのサービスを使用すると、データパケットが改変されている可能性がないかがチェックされ、NFS トラフィックの改ざん保護に役立ちます。

Kerberos は暗号化アルゴリズムをサポートし、認証されていないユーザーによる NFS トラフィックへのアクセスを防止します。ESXi の NFS 4.1 クライアントは、NAS サーバ上の共有へのアクセスに、AES256-CTS-HMAC-SHA1-96 または AES128-CTS-HMAC-SHA1-96 アルゴリズムの使用を試みます。NFS 4.1 データストアを使用する前に、NAS サーバで AES256-CTS-HMAC-SHA1-96 または AES128-CTS-HMAC-SHA1-96 が有効であることを確認します。

次の表は、ESXi がサポートする Kerberos セキュリティレベルの比較です。


Kerberos セキュリティのタイプ		ESXi のサポート対象
認証のみの Kerberos (krb5)	RPC ヘッダーの整合性チェックサム	あり (AES)
認証のみの Kerberos (krb5)	RPC データの整合性チェックサム	なし
認証とデータ整合性用 Kerberos (krb5i)	RPC ヘッダーの整合性チェックサム	あり (AES)
認証とデータ整合性用 Kerberos (krb5i)	RPC データの整合性チェックサム	あり (AES)

Kerberos 認証を使用する場合は、次の考慮事項が適用されます。

ESXi は Active Directory ドメインで Kerberos を使用します。
vSphere 管理者として Active Directory 認証情報を指定し、NFS ユーザーが NFS 4.1 Kerberos データストアにアクセスできるようにします。認証情報の単一セットを使用して、そのホストにマウントされているすべての Kerberos データストアにアクセスします。
複数の ESXi ホストが NFS 4.1 データストアを共有する場合は、共有データストアにアクセスするすべてのホストで同じ Active Directory 認証情報を使用する必要があります。割り当てプロセスを自動化するには、ホストプロファイル内にユーザーを設定し、そのプロファイルをすべての ESXi ホストに適用します。
複数のホストで共有される 1 つの NFS 4.1 データストアには、2 つのセキュリティメカニズム（AUTH_SYS と Kerberos）を使用できません。

Kerberos 認証用 ESXi ホストの構成

NFS 4.1 と Kerberos を組み合わせて使用する場合、いくつかのタスクを実行して Kerberos 認証用のホストを設定する必要があります。

複数の ESXi ホストが NFS 4.1 データストアを共有する場合は、共有データストアにアクセスするすべてのホストで同じ Active Directory 認証情報を使用する必要があります。この割り当てプロセスは、ホストプロファイルでユーザーを設定し、すべての ESXi ホストにプロファイルを適用すると、自動化することができます。

前提条件

Kerberos を使用するように Microsoft Active Directory (AD) および NFS サーバが構成されていることを確認します。
Active Directory で AES256-CTS-HMAC-SHA1-96 または AES128-CTS-HMAC-SHA1-96 暗号化モードを有効にします。NFS 4.1 クライアントでは、DES-CBC-MD5 暗号化モードはサポートされていません。
Kerberos ユーザーにフルアクセスを付与するように NFS サーバのエクスポートが構成されていることを確認します。

Kerberos を使用する NFS 4.1 用 DNS の構成

NFS 4.1 で Kerberos を使用する場合は、ESXi ホストの DNS 設定を変更する必要があります。設定は、Kerberos Key Distribution Center (KDC) に DNS レコードを配布するように設定された DNS サーバを参照する必要があります。たとえば、Active Directory が DNS サーバとして使用されている場合、Active Directory サーバのアドレスを使用します。

手順

vSphere Client で、ESXi ホストに移動します。
[設定] タブをクリックします。
[ネットワーク] で、[TCP/IP 構成] をクリックします。
[デフォルト] を選択し、[編集] アイコンをクリックします。

DNS 設定を手動で入力します。

オプション	説明
ドメイン	`AD Domain Name`
優先 DNS サーバ	`AD Server IP`
ドメインの検索	`AD Domain Name`

Kerberos を使用する NFS 4.1 用 Network Time Protocol の構成

Kerberos で NFS 4.1 を使用する場合は、ESXi ホスト、NFS サーバ、および Active Domain サーバの時刻を同期する必要があります。通常は、設定で Network Time Protocol (NTP) サーバとして Active Domain サーバが使用されます。

次のタスクでは、ESXi ホストを NTP サーバと同期する方法について説明します。

ベストプラクティスは NTP サーバとして Active Domain サーバを使用することです。

手順

vSphere Client で、ESXi ホストに移動します。
[設定] タブをクリックします。
[システム] で [時間の設定] を選択します。
[編集] をクリックし、NTP サーバを設定します。
1. [Network Time Protocol を使用（NTP クライアントを有効にする）] を選択します。
2. NTP サーバと同期するには、IP アドレスを入力します。
3. [NTP サービスの開始] を選択します。
4. NTP サービス起動ポリシーを設定します。
[OK] をクリックします。
ホストが NTP サーバと同期します。

Active Directory での Kerberos 認証の有効化

Kerberos が使用可能な NFS 4.1 を使用する場合は、各 ESXi ホストを Active Directory ドメインに追加し、Kerberos 認証を有効化することができます。Kerberos では、Active Directory との統合によって Single Sign-On が有効化され、セキュリティ保護のないネットワーク接続で使用されるときに追加のセキュリティレイヤーを提供します。

前提条件

ホストをドメインに追加する権限により、Active Directory (AD) ドメインおよびドメイン管理者アカウントを設定します。

手順

vSphere Client で、ESXi ホストに移動します。
[設定] タブをクリックします。
[システム] で [認証サービス] をクリックします。
ESXi ホストを Active Directory ドメインに追加します。
1. [認証サービス] ペインで [ドメインへの参加] をクリックします。
2. ドメイン設定を指定して、[OK] をクリックします。
ディレクトリサービスのタイプが Active Directory に変更されます。
NFS Kerberos ユーザーの認証情報を構成または編集します。
1. [NFS Kerberos 認証情報] ペインで [編集] をクリックします。
2. ユーザー名とパスワードを入力します。
  すべての Kerberos データストアに保存されているファイルには、これらの認証情報を使用してアクセスします。
NFS Kerberos 認証情報の状態が [有効] に変わります。

次のタスク

Kerberos のホストを構成すると、Kerberos 対応の NFS 4.1 データストアを作成できます。