エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

AES暗号化によるKerberosベースの通信の強固なセキュリティ設定

Kerberosベースの通信による最も強固なセキュリティを実現するために、AES-256暗号化とAES-128暗号化をSMBサーバーで有効にすることができます。デフォルトでは、SVMでのSMBサーバーの作成時にAdvanced Encryption Standard(AES)暗号化は無効になっています。AES暗号化が提供する強固なセキュリティを活用するには、AES暗号化を有効にする必要があります。

SMBのKerberos関連の通信は、SVMでSMBサーバーを作成する際や、SMBセッションの設定フェーズで使用されます。SMBサーバーはKerberos通信で次の暗号化タイプをサポートしています。

  • AES 256

  • AES 128

  • DES

  • RC4-HMAC

Kerberos通信で最高のセキュリティを持つ暗号化タイプを使用する場合は、SVMのKerberos通信でAES暗号化を有効にする必要があります。

SMBサーバーを作成すると、ドメイン コントローラーによってActive Directoryにコンピューター マシン アカウントが作成されます。この時点で、KDCは特定のマシン アカウントの暗号化機能を認識するようになっています。これ以降は、認証の際にクライアントがサーバーに提示するサービス チケットを暗号化するために特定の暗号化タイプが選択されます。

ONTAP 9.12.1以降では、Active Directory(AD)KDCに通知する暗号化タイプを指定できます。-advertised-enc-typesオプションを使用して、推奨される暗号化タイプを有効にしたり、脆弱な暗号化タイプを無効にしたりできます。Kerberosベースの通信に対して特定の暗号化タイプを有効および無効にする方法については、こちらを参照してください。

SMB 3.0で利用可能なIntel AES New Instructions(Intel AES NI)はAESアルゴリズムの改良版で、サポート対象のプロセッサー ファミリーでのデータ暗号化処理を高速化します。SMB 3.1.1以降では、SMB暗号化で使用されるハッシュ アルゴリズムとして、AES-128-CCMに代わってAES-128-GCMが使用されます。

Top of Page