NFS 버전 4.1에서 ESXi는 Kerberos 인증 메커니즘을 지원합니다. NFS 4.1에 대한 Kerberos의 ESXi 구현은 각기 다른 보안 수준을 제공하는 2개의 보안 모델인 krb5와 krb5i를 제공합니다.
RPCSEC_GSS Kerberos 메커니즘은 인증 서비스입니다. 이를 통해 NFS 공유를 마운팅하기 전에 ESXi에 설치된 NFS 4.1 클라이언트가 NFS 서버에 대한 해당 ID를 입증할 수 있습니다. Kerberos 보안은 안전하지 않은 네트워크 연결에서 작업하기 위해 암호화를 사용합니다.
- 인증을 위한 Kerberos(krb5)는 ID 확인만 지원합니다.
- 인증 및 데이터 무결성을 위한 Kerberos(krb5i)는 ID 확인 외에도 데이터 무결성 서비스를 제공합니다. 이러한 서비스를 사용하면 잠재적 수정에 대한 데이터 패킷을 확인하여 NFS 트래픽 변조를 방지할 수 있습니다.
Kerberos는 인증되지 않은 사용자가 NFS 트래픽에 대한 액세스를 권한을 획득하는 것을 방지하는 암호화 알고리즘을 지원합니다. ESXi에 대한 NFS 4.1 클라이언트는 AES256-CTS-HMAC-SHA1-96 또는 AES128-CTS-HMAC-SHA1-96 알고리즘을 사용하여 NAS 서버에 대한 공유에 액세스하려고 시도합니다. NFS 4.1 데이터스토어를 사용하기 전에 AES256-CTS-HMAC-SHA1-96 또는 AES128-CTS-HMAC-SHA1-96이 NAS 서버에서 사용되도록 설정되었는지 확인합니다.
다음 표에서는 ESXi가 지원하는 Kerberos 보안 수준을 비교합니다.
Kerberos 보안 유형 | ESXi 지원 | |
---|---|---|
인증 전용 Kerberos(krb5) | RPC 머리글에 대한 무결성 체크섬 | AES에 대해 예 |
RPC 데이터에 대한 무결성 체크섬 | 아니요 | |
인증 및 데이터 무결성을 위한 Kerberos(krb5i) | RPC 머리글에 대한 무결성 체크섬 | AES에 대해 예 |
RPC 데이터에 대한 무결성 체크섬 | AES에 대해 예 |
- ESXi는 Active Directory 도메인과 함께 Kerberos를 사용합니다.
- vSphere 관리자는 Active Directory 자격 증명을 지정하여 NFS 사용자에 대해 NFS 4.1 Kerberos 데이터스토어에 대한 액세스를 제공합니다. 해당 호스트에 마운트된 모든 Kerberos 데이터스토어에 액세스하기 위해 단일 자격 증명 집합이 사용됩니다.
- 여러 ESXi 호스트가 NFS 4.1 데이터스토어를 공유하는 경우, 공유 데이터스토어에 액세스하는 모든 호스트에 대해 동일한 Active Directory 자격 증명을 사용해야 합니다. 할당 프로세스를 자동화하려면 호스트 프로파일의 사용자를 설정하고 해당 프로파일을 모든 ESXi 호스트에 적용합니다.
- 여러 호스트가 공유하는 동일한 NFS 4.1 데이터스토어에 대해 2개의 보안 메커니즘인 AUTH_SYS와 Kerberos를 사용할 수 없습니다.
Kerberos 인증을 위한 ESXi 호스트 구성
Kerberos를 사용하는 NFS 4.1을 사용하는 경우 Kerberos 인증을 위한 호스트를 설정하려면 여러 작업을 수행해야 합니다.
사전 요구 사항
- Microsoft AD(Active Directory) 및 NFS 서버가 Kerberos를 사용하도록 구성해야 합니다.
- AD에 AES256-CTS-HMAC-SHA1-96 또는 AES128-CTS-HMAC-SHA1-96 암호화 모드를 사용하도록 설정합니다. NFS 4.1 클라이언트는 DES-CBC-MD5 암호화 모드를 지원하지 않습니다.
- Kerberos 사용자에게 전체 액세스를 부여하려면 NFS 서버 내보내기를 구성해야 합니다.
Kerberos를 사용하여 NFS 4.1에 대한 DNS 구성
Kerberos를 사용하는 NFS 4.1을 사용하는 경우에는 ESXi 호스트에서 DNS 설정을 변경해야 합니다. 설정은 Kerberos KDC(키 배포 센터)에 대한 DNS 레코드를 제출하도록 구성된 DNS 서버를 가리켜야 합니다. 예를 들어 DNS 서버로 AD가 사용되는 경우 Active Directory 서버 주소를 사용합니다.
프로시저
- vSphere Client에서 ESXi 호스트로 이동합니다.
- 구성 탭을 클릭합니다.
- 네트워킹에서 TCP/IP 구성을 클릭합니다.
- 기본값을 선택하고 편집 아이콘을 클릭합니다.
- DNS 설정을 수동으로 입력합니다.
옵션 설명 도메인 AD 도메인 이름 기본 DNS 서버 AD 서버 IP 도메인 검색 AD 도메인 이름
Kerberos를 사용하여 NFS 4.1에 대한 네트워크 시간 프로토콜 구성
Kerberos와 함께 NFS 4.1을 사용하는 경우 ESXi 호스트, NFS 서버 및 활성 도메인 서버의 시간이 동기화되어야 합니다. 일반적으로 설정에서 활성 도메인 서버는 NTP(네트워크 시간 프로토콜) 서버로 사용됩니다.
다음 작업은 ESXi 호스트를 NTP 서버와 동기화하는 방법을 설명합니다.
모범 사례는 활성 도메인 서버를 NTP 서버로 사용하는 것입니다.
프로시저
Active Directory에서 Kerberos 인증 사용
Kerbero를 사용하는 NFS 4.1 스토리지를 사용하는 경우 각 ESXi 호스트를 Active Directory 도메인에 추가하고 Kerberos 인증을 사용하도록 설정해야 합니다. Kerberos는 Active Directory와 통합되어 Single Sign-On을 사용하도록 설정하고 안전하지 않은 네트워크 연결에서 사용될 때 추가 보안 계층을 제공합니다.
사전 요구 사항
호스트를 도메인에 추가하는 권한을 가진 AD 도메인 및 도메인 관리자 계정을 설정합니다.
프로시저
다음에 수행할 작업
Kerberos를 위한 호스트를 구성한 다음 Kerberos를 사용하도록 설정된 NFS 4.1 데이터스토어를 생성할 수 있습니다.