藉由 NFS 4.1 版,ESXi 支援 Kerberos 驗證機制。針對 NFS 4.1,Kerberos 的 ESXi 實作提供兩種安全性模型 krb5 和 krb5i,這兩種模型提供不同的安全層級。

RPCSEC_GSS Kerberos 機制是一種驗證服務。它可讓安裝在 ESXi 上的 NFS 4.1 用戶端在掛接 NFS 共用之前向 NFS 伺服器證明其身分。Kerberos 安全性使用密碼編譯在不安全的網路連線中運作。

針對 NFS 4.1,Kerberos 的 ESXi 實作提供兩種安全性模型 krb5 和 krb5i,這兩種模型提供不同的安全層級。
  • 僅用於驗證的 Kerberos (krb5) 支援身分識別驗證。
  • 用於驗證和資料完整性的 Kerberos (krb5i),除身分識別驗證之外,還提供資料完整性服務。這些服務透過檢查資料封包是否存在任何潛在修改,協助保護 NFS 流量免遭竄改。

Kerberos 支援密碼編譯演算法,該演算法可防止未經授權的使用者取得 NFS 流量的存取權。ESXi 上的 NFS 4.1 用戶端會嘗試使用 AES256-CTS-HMAC-SHA1-96 或 AES128-CTS-HMAC-SHA1-96 演算法來存取 NAS 伺服器上的共用。在使用 NFS 4.1 資料存放區之前,請先確保 NAS 伺服器上已啟用 AES256-CTS-HMAC-SHA1-96 或 AES128-CTS-HMAC-SHA1-96。

下表比較了 ESXi 支援的 Kerberos 安全性層級。

Kerberos 安全性類型 ESXi 支援
僅用於驗證的 Kerberos (krb5) RPC 標頭的完整性總和檢查碼 是 (採用 AES)
RPC 資料的完整性總和檢查碼
用於驗證和資料完整性的 Kerberos (krb5i) RPC 標頭的完整性總和檢查碼 是 (採用 AES)
RPC 資料的完整性總和檢查碼 是 (採用 AES)
當您使用 Kerberos 驗證時,需考量下列事項:
  • ESXi 將 Kerberos 與 Active Directory 網域搭配使用。
  • 做為 vSphere 管理員,您可指定 Active Directory 認證,為 NFS 使用者提供 NFS 4.1 Kerberos 資料存放區的存取權。單一認證集用於存取掛接在該主機上的所有 Kerberos 資料存放區。
  • 當多個 ESXi 主機共用 NFS 4.1 資料存放區時,必須針對存取共用資料存放區的所有主機使用相同的 Active Directory 認證。若要自動化指派程序,請在主機設定檔中設定使用者並將設定檔套用至所有 ESXi 主機。
  • 不能針對多台主機共用的同一個 NFS 4.1 資料存放區使用兩種安全機制 AUTH_SYS 和 Kerberos。

設定 ESXi 主機以進行 Kerberos 驗證

如果您將 NFS 4.1 與 Kerberos 搭配使用,必須執行多個工作以設定主機進行 Kerberos 驗證。

當多個 ESXi 主機共用 NFS 4.1 資料存放區時,必須針對存取共用資料存放區的所有主機使用相同的 Active Directory 認證。透過在主機設定檔中設定使用者並將設定檔套用至所有 ESXi 主機,即可自動化指派程序。

必要條件

  • 確定已將 Microsoft Active Directory (AD) 和 NFS 伺服器設定為使用 Kerberos。
  • 在 AD 上啟用 AES256-CTS-HMAC-SHA1-96 或 AES128-CTS-HMAC-SHA1-96 加密模式。NFS 4.1 用戶端不支援 DES-CBC-MD5 加密模式。
  • 確定已將 NFS 伺服器匯出設定為對 Kerberos 使用者授與完整存取權。

使用 Kerberos 設定 NFS 4.1 的 DNS

當您搭配 Kerberos 使用 NFS 4.1 時,必須變更 ESXi 主機上的 DNS 設定。這些設定必須指向設定為針對 Kerberos 金鑰發佈中心 (KDC) 分發 DNS 記錄的 DNS 伺服器。例如,如果 AD 用作 DNS 伺服器,則使用 Active Directory 伺服器位址。

程序

  1. vSphere Client 中,導覽至 ESXi 主機。
  2. 按一下設定索引標籤。
  3. 網路下,按一下 TCP/IP 組態
  4. 選取預設值,然後按一下編輯圖示。
  5. 手動輸入 DNS 設定。
    選項 說明
    網域 AD 網域名稱
    慣用 DNS 伺服器 AD 伺服器 IP
    搜尋網域 AD 網域名稱

使用 Kerberos 設定 NFS 4.1 的網路時間通訊協定

如果使用 NFS 4.1 搭配 Kerberos,則 ESXi 主機、NFS 伺服器以及作用中網域伺服器需要進行時間同步。通常,在設定中,作用中網域伺服器會用做網路時間通訊協定 (NTP) 伺服器。

下列工作說明如何將 ESXi 主機與 NTP 伺服器同步。

最佳做法是使用作用中網域伺服器做為 NTP 伺服器。

程序

  1. vSphere Client 中,導覽至 ESXi 主機。
  2. 按一下設定索引標籤。
  3. 系統底下,選取時間組態
  4. 按一下編輯並設定 NTP 伺服器。
    1. 選取使用網路時間通訊協定 (啟用 NTP 用戶端)
    2. 若要與 NTP 伺服器同步,請輸入其 IP 位址。
    3. 選取啟動 NTP 服務
    4. 設定 [NTP 服務啟動原則]。
  5. 按一下確定
    主機即會與 NTP 伺服器同步。

在 Active Directory 中啟用 Kerberos 驗證

若要搭配使用 NFS 4.1 儲存區與 Kerberos,必須將每台 ESXi 主機新增至 Active Directory 網域並啟用 Kerberos 驗證。Kerberos 與 Active Directory 整合以啟用 Single Sign-on,並在不安全的網路連線之間使用時提供額外一層的安全性。

必要條件

設定 AD 網域以及具有向網域新增主機之權限的網域管理員帳戶。

程序

  1. vSphere Client 中,導覽至 ESXi 主機。
  2. 按一下設定索引標籤。
  3. 系統底下,按一下驗證服務
  4. ESXi 主機新增到 Active Directory 網域。
    1. 在 [驗證服務] 窗格中,按一下加入網域
    2. 提供網域設定,然後按一下確定
    此時目錄服務類型會變更為 Active Directory。
  5. 為 NFS Kerberos 使用者設定或編輯認證。
    1. 在 [NFS Kerberos 認證] 窗格中,按一下編輯
    2. 輸入使用者名稱和密碼。
      透過這些認證可以存取所有 Kerberos 資料存放區中儲存的檔案。
    此時 NFS Kerberos 認證狀態會變更為 [已啟用]。

下一步

設定主機的 Kerberos 之後,可在啟用 Kerberos 的情況下建立 NFS 4.1 資料存放區。