藉由 NFS 4.1 版,ESXi 支援 Kerberos 驗證機制。
RPCSEC_GSS Kerberos 機制是一種驗證服務。它可讓安裝在 ESXi 上的 NFS 4.1 用戶端在掛接 NFS 共用之前向 NFS 伺服器證明其身分。Kerberos 安全性使用密碼編譯在不安全的網路連線中運作。
針對 NFS 4.1,Kerberos 的
ESXi 實作提供兩種安全性模型 krb5 和 krb5i,這兩種模型提供不同的安全層級。
- 僅用於驗證的 Kerberos (krb5) 支援身分識別驗證。
- 用於驗證和資料完整性的 Kerberos (krb5i),除身分識別驗證之外,還提供資料完整性服務。這些服務透過檢查資料封包是否存在任何潛在修改,協助保護 NFS 流量免遭竄改。
Kerberos 支援密碼編譯演算法,該演算法可防止未經授權的使用者取得 NFS 流量的存取權。ESXi 上的 NFS 4.1 用戶端會嘗試使用 AES256-CTS-HMAC-SHA1-96 或 AES128-CTS-HMAC-SHA1-96 演算法來存取 NAS 伺服器上的共用。在使用 NFS 4.1 資料存放區之前,請先確保 NAS 伺服器上已啟用 AES256-CTS-HMAC-SHA1-96 或 AES128-CTS-HMAC-SHA1-96。
下表比較了 ESXi 支援的 Kerberos 安全性層級。
ESXi 6.0 | ESXi 6.5 | ||
---|---|---|---|
僅用於驗證的 Kerberos (krb5) | RPC 標頭的完整性總和檢查碼 | 是 (採用 DES) | 是 (採用 AES) |
RPC 資料的完整性總和檢查碼 | 否 | 否 | |
用於驗證和資料完整性的 Kerberos (krb5i) | RPC 標頭的完整性總和檢查碼 | 否 (krb5i) | 是 (採用 AES) |
RPC 資料的完整性總和檢查碼 | 是 (採用 AES) |
當您使用 Kerberos 驗證時,需考量下列事項:
- ESXi 將 Kerberos 與 Active Directory 網域搭配使用。
- 做為 vSphere 管理員,您可指定 Active Directory 認證,為 NFS 使用者提供 NFS 4.1 Kerberos 資料存放區的存取權。單一認證集用於存取掛接在該主機上的所有 Kerberos 資料存放區。
- 當多個 ESXi 主機共用 NFS 4.1 資料存放區時,必須針對存取共用資料存放區的所有主機使用相同的 Active Directory 認證。若要自動化指派程序,請在主機設定檔中設定使用者並將設定檔套用至所有 ESXi 主機。
- 不能針對多台主機共用的同一個 NFS 4.1 資料存放區使用兩種安全機制 AUTH_SYS 和 Kerberos。