エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

NFS Kerberosで許可される暗号化タイプの設定

ONTAPでNFS Kerberosに対してデフォルトでサポートされる暗号化タイプは、DES、3DES、AES-128、およびAES-256です。 vserver nfs modify コマンドに -permitted-enc-types パラメーターを指定して使用すると、特定の環境のセキュリティ要件に合わせて、SVMごとに許可する暗号化タイプを設定できます。

タスク概要

クライアントの互換性を最大にするために、ONTAPでは弱い暗号化のDESと強い暗号化のAESの両方をデフォルトでサポートしています。たとえば、セキュリティの強化が必要な環境でAES暗号化がサポートされている場合、ここに記載する手順を使用してDESと3DESを無効にし、クライアントにAES暗号化の使用を必須にすることができます。

使用可能な最も強力な暗号化を使用してください。ONTAPの場合はAES-256です。この暗号化レベルが環境でサポートされていることを、KDC管理者に確認する必要があります。

  • SVM上でAES全体(AES-128とAES-256の両方)を有効または無効にする操作では、元のDESプリンシパル / keytabファイルが破棄され、SVMのすべてのLIF上でKerberos構成を無効にすることが必要になるため、システムの停止を伴います。

    この変更を行う前に、NFSクライアントがSVMのAES暗号化に依存しないことを確認しておく必要があります。

  • DESや3DESの有効化または無効化は、LIFでのKerberos設定の変更を一切必要としません。

手順
  1. 許可される暗号化タイプを有効または無効にします。

    有効 / 無効にする暗号化タイプ 手順

    DESまたは3DES

    1. SVMのNFS Kerberosで許可されている暗号化タイプを設定します。
      vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types

      暗号化タイプが複数ある場合はカンマで区切ります。

    2. 変更が正常に完了したことを確認します。
      vserver nfs show -vserver vserver_name -fields permitted-enc-types

    AES-128またはAES-256

    1. どのSVMでLIF Kerberosが有効になっているかを特定します。
      vserver nfs kerberos interface show

    2. 変更対象のNFS Kerberosで許可されている暗号化タイプを含むSVM上のすべてのLIFでKerberosを無効にします。
      vserver nfs kerberos interface disable -lif lif_name

    3. SVMのNFS Kerberosで許可されている暗号化タイプを設定します。
      vserver nfs modify -vserver vserver_name -permitted-enc-types encryption_types

      暗号化タイプが複数ある場合はカンマで区切ります。

    4. 変更が正常に完了したことを確認します。
      vserver nfs show -vserver vserver_name -fields permitted-enc-types

    5. SVM上のすべてのLIFでKerberosを再度有効にします。
      vserver nfs kerberos interface enable -lif lif_name -spn service_principal_name

    6. すべてのLIFでKerberosが有効になっていることを確認します。
      vserver nfs kerberos interface show

Top of Page