NFS 버전 4.1에서 ESXi는 Kerberos 인증 메커니즘을 지원합니다.
RPCSEC_GSS Kerberos 메커니즘은 인증 서비스입니다. 이를 통해 NFS 공유를 마운팅하기 전에 ESXi에 설치된 NFS 4.1 클라이언트가 NFS 서버에 대한 해당 ID를 입증할 수 있습니다. Kerberos 보안은 안전하지 않은 네트워크 연결에서 작업하기 위해 암호화를 사용합니다.
NFS 4.1에 대한 Kerberos의
ESXi 구현은 각기 다른 보안 수준을 제공하는 2개의 보안 모델인 krb5와 krb5i를 제공합니다.
- 인증을 위한 Kerberos(krb5)는 ID 확인만 지원합니다.
- 인증 및 데이터 무결성을 위한 Kerberos(krb5i)는 ID 확인 외에도 데이터 무결성 서비스를 제공합니다. 이러한 서비스를 사용하면 잠재적 수정에 대한 데이터 패킷을 확인하여 NFS 트래픽 변조를 방지할 수 있습니다.
Kerberos는 인증되지 않은 사용자가 NFS 트래픽에 대한 액세스를 권한을 획득하는 것을 방지하는 암호화 알고리즘을 지원합니다. ESXi에 대한 NFS 4.1 클라이언트는 AES256-CTS-HMAC-SHA1-96 또는 AES128-CTS-HMAC-SHA1-96 알고리즘을 사용하여 NAS 서버에 대한 공유에 액세스하려고 시도합니다. NFS 4.1 데이터스토어를 사용하기 전에 AES256-CTS-HMAC-SHA1-96 또는 AES128-CTS-HMAC-SHA1-96이 NAS 서버에서 사용되도록 설정되었는지 확인합니다.
다음 표에서는 ESXi가 지원하는 Kerberos 보안 수준을 비교합니다.
ESXi 6.0 | ESXi 6.5 이상 | ||
---|---|---|---|
인증 전용 Kerberos(krb5) | RPC 머리글에 대한 무결성 체크섬 | DES에 대해 예 | AES에 대해 예 |
RPC 데이터에 대한 무결성 체크섬 | 아니요 | 아니요 | |
인증 및 데이터 무결성을 위한 Kerberos(krb5i) | RPC 머리글에 대한 무결성 체크섬 | krb5i 없음 | AES에 대해 예 |
RPC 데이터에 대한 무결성 체크섬 | AES에 대해 예 |
Kerberos 인증을 사용할 때 다음 고려 사항이 적용됩니다.
- ESXi는 Active Directory 도메인과 함께 Kerberos를 사용합니다.
- vSphere 관리자는 Active Directory 자격 증명을 지정하여 NFS 사용자에 대해 NFS 4.1 Kerberos 데이터스토어에 대한 액세스를 제공합니다. 해당 호스트에 마운트된 모든 Kerberos 데이터스토어에 액세스하기 위해 단일 자격 증명 집합이 사용됩니다.
- 여러 ESXi 호스트가 NFS 4.1 데이터스토어를 공유하는 경우, 공유 데이터스토어에 액세스하는 모든 호스트에 대해 동일한 Active Directory 자격 증명을 사용해야 합니다. 할당 프로세스를 자동화하려면 호스트 프로파일의 사용자를 설정하고 해당 프로파일을 모든 ESXi 호스트에 적용합니다.
- 여러 호스트가 공유하는 동일한 NFS 4.1 데이터스토어에 대해 2개의 보안 메커니즘인 AUTH_SYS와 Kerberos를 사용할 수 없습니다.