エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

Kerberosベースの通信用のAES暗号化の有効化と無効化

Kerberosベースの通信で最大限のセキュリティを確保するには、SMBサーバーでAES-256およびAES-128暗号化を使用する必要があります。ONTAP 9.13.1以降では、AES暗号化がデフォルトで有効になります。 SMBサーバーでActive Directory(AD)KDCとのKerberosベースの通信にAES暗号化タイプを選択したくない場合は、AES暗号化を無効にすることができます。

AES暗号化がデフォルトで有効になっているかと、暗号化タイプを指定できるかは、ONTAPのバージョンによって異なります。

ONTAPのバージョン AES暗号化を有効にする方法 暗号化タイプ指定の可否

9.13.1以降

デフォルト

9.12.1

手動

9.11.1以前

手動

ONTAP 9.12.1以降では、-advertised-enc-typesオプションを使用してAES暗号化を有効および無効にし、AD KDCに通知する暗号化タイプも指定できます。デフォルト設定はrc4desですが、AESタイプを指定するとAES暗号化が有効になります。また、このオプションを使用して、脆弱な暗号化タイプRC4やDESを明示的に無効にすることもできます。ONTAP 9.11.1以前では、-is-aes-encryption-enabledオプションを使用してAES暗号化を有効または無効にする必要があります。暗号化タイプの指定はできません。

セキュリティを強化するため、Storage Virtual Machine(SVM)はAESセキュリティ オプションが変更されるたびに、AD内のマシン アカウントのパスワードを変更します。パスワードの変更には、マシン アカウントが所属する組織単位(OU)の管理ADクレデンシャルが必要になることがあります。

IDが保持されないディザスタ リカバリー デスティネーションとしてSVMが設定されている場合(SnapMirror構成で-identity-preserveオプションがfalseに設定されている場合)、SMBサーバーのデフォルト以外のセキュリティ設定はデスティネーションにレプリケートされません。ソースSVMでAES暗号化を有効にしている場合は、AES暗号化を手動で有効にする必要があります。

ONTAP 9.12.1以降
手順
  1. 次のいずれかを実行します。

    Kerberos通信のAES暗号化タイプの設定 入力するコマンド

    有効にする

    vserver cifs security modify -vserver vserver_name -advertised-enc-types aes-128,aes-256

    無効にする

    vserver cifs security modify -vserver vserver_name -advertised-enc-types des,rc4

    注: -is-aes-encryption-enabledオプションは、ONTAP 9.12.1で廃止されました。今後のリリースでは削除される可能性があります。

  2. AES暗号化が設定どおり有効または無効になっていることを確認します。vserver cifs security show -vserver vserver_name -fields advertised-enc-types

次の例は、SVM vs1のSMBサーバーでAES暗号化タイプを有効にします。

cluster1::> vserver cifs security modify -vserver vs1 -advertised-enc-types aes-128,aes-256

cluster1::> vserver cifs security show -vserver vs1 -fields advertised-enc-types

vserver  advertised-enc-types
-------- --------------------
vs1      aes-128,aes-256

次の例は、SVM vs2のSMBサーバーでAES暗号化タイプを有効にします。管理者は、SMBサーバーが所属するOUの管理ADクレデンシャルを入力するように求められます。

cluster1::> vserver cifs security modify -vserver vs2 -advertised-enc-types aes-128,aes-256

Info: In order to enable SMB AES encryption, the password for the SMB server
machine account must be reset. Enter the username and password for the
SMB domain "EXAMPLE.COM".

Enter your user ID: administrator

Enter your password:

cluster1::> vserver cifs security show -vserver vs2 -fields advertised-enc-types

vserver  advertised-enc-types
-------- --------------------
vs2      aes-128,aes-256
ONTAP 9.11.1以前
手順
  1. 次のいずれかを実行します。

    Kerberos通信のAES暗号化タイプの設定 入力するコマンド

    有効にする

    vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled true

    無効にする

    vserver cifs security modify -vserver vserver_name -is-aes-encryption-enabled false

  2. AES暗号化が設定どおり有効または無効になっていることを確認します。
    vserver cifs security show -vserver vserver_name -fields is-aes-encryption-enabled

    is-aes-encryption-enabledフィールドに、AES暗号化が有効になっている場合はtrueが、無効になっている場合はfalseが表示されます。

次の例は、SVM vs1のSMBサーバーでAES暗号化タイプを有効にします。

cluster1::> vserver cifs security modify -vserver vs1 -is-aes-encryption-enabled true

cluster1::> vserver cifs security show -vserver vs1 -fields is-aes-encryption-enabled

vserver  is-aes-encryption-enabled
-------- -------------------------
vs1      true

次の例は、SVM vs2のSMBサーバーでAES暗号化タイプを有効にします。管理者は、SMBサーバーが所属するOUの管理ADクレデンシャルを入力するように求められます。

cluster1::> vserver cifs security modify -vserver vs2 -is-aes-encryption-enabled true

Info: In order to enable SMB AES encryption, the password for the CIFS server
machine account must be reset. Enter the username and password for the
SMB domain "EXAMPLE.COM".

Enter your user ID: administrator

Enter your password:

cluster1::> vserver cifs security show -vserver vs2 -fields is-aes-encryption-enabled

vserver  is-aes-encryption-enabled
-------- -------------------------
vs2      true
Top of Page