藉由 NFS 4.1 版,ESXi 支援 Kerberos 驗證機制。

RPCSEC_GSS Kerberos 機制是一種驗證服務。它可讓安裝在 ESXi 上的 NFS 4.1 用戶端在掛接 NFS 共用之前向 NFS 伺服器證明其身分。Kerberos 安全性使用密碼編譯在不安全的網路連線中運作。

針對 NFS 4.1,Kerberos 的 ESXi 實作提供兩種安全性模型 krb5 和 krb5i,這兩種模型提供不同的安全層級。

  • 僅用於驗證的 Kerberos (krb5) 支援身分識別驗證。

  • 用於驗證和資料完整性的 Kerberos (krb5i),除身分識別驗證之外,還提供資料完整性服務。這些服務透過檢查資料封包是否存在任何潛在修改,協助保護 NFS 流量免遭竄改。

Kerberos 支援密碼編譯演算法,該演算法可防止未經授權的使用者取得 NFS 流量的存取權。ESXi 上的 NFS 4.1 用戶端會嘗試使用 AES256-CTS-HMAC-SHA1-96 或 AES128-CTS-HMAC-SHA1-96 演算法來存取 NAS 伺服器上的共用。在使用 NFS 4.1 資料存放區之前,請先確保 NAS 伺服器上已啟用 AES256-CTS-HMAC-SHA1-96 或 AES128-CTS-HMAC-SHA1-96。

下表比較了 ESXi 支援的 Kerberos 安全性層級。

表格 1. Kerberos 安全性類型

ESXi 6.0

ESXi 6.5

僅用於驗證的 Kerberos (krb5)

RPC 標頭的完整性總和檢查碼

是 (採用 DES)

是 (採用 AES)

RPC 資料的完整性總和檢查碼

用於驗證和資料完整性的 Kerberos (krb5i)

RPC 標頭的完整性總和檢查碼

否 (krb5i)

是 (採用 AES)

RPC 資料的完整性總和檢查碼

是 (採用 AES)

當您使用 Kerberos 驗證時,需考量下列事項:

  • ESXi 將 Kerberos 與 Active Directory 網域搭配使用。

  • 做為 vSphere 管理員,您可指定 Active Directory 認證,為 NFS 使用者提供 NFS 4.1 Kerberos 資料存放區的存取權。單一認證集用於存取掛接在該主機上的所有 Kerberos 資料存放區。

  • 當多個 ESXi 主機共用 NFS 4.1 資料存放區時,必須針對存取共用資料存放區的所有主機使用相同的 Active Directory 認證。若要自動化指派程序,請在主機設定檔中設定使用者並將設定檔套用至所有 ESXi 主機。

  • 不能針對多台主機共用的同一個 NFS 4.1 資料存放區使用兩種安全機制 AUTH_SYS 和 Kerberos。

如需逐步指示,請參閱 vSphere 儲存區 說明文件。