Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure NetApp Files stöder NFS-klientkryptering i Kerberos-lägen (krb5, krb5i och krb5p) med AES-256-kryptering. Denna artikel beskriver de nödvändiga konfigurationerna för att använda en NFSv4.1-volym med Kerberos-kryptering.
Krav
Följande krav gäller för kryptering av NFSv4.1-klienter:
- Active Directory-domäntjänster (AD DS) eller Microsoft Entra-domäntjänster anslutning för att underlätta Kerberos-biljettering.
- Skapande av DNS A/PTR-poster för både klienten och Azure NetApp Files NFS-serverns IP-adresser.
- En Linux-klient: Den här artikeln innehåller vägledning för RHEL- och Ubuntu-klienter. Andra klienter arbetar också med liknande konfigurationssteg.
- NTP-serveråtkomst: Du kan använda en av de vanliga domänkontrollanterna för Active Directory Domain Controller (AD DC).
- För att dra nytta av domän- eller LDAP-användarautentisering, se till att NFSv4.1-volymer är aktiverade för LDAP. Se Konfigurera ADDS LDAP med utökade grupper.
- Se till att User Principal Names för användarkonton inte slutar med en symbol (till exempel user$@REALM.COM).
För grupphanterade tjänstkonton (gMSA) måste du ta bort det sista$från användarens huvudnamn innan kontot kan användas med Azure NetApp Files Kerberos-funktion.
Skapa en NFS Kerberos-volym
Följ stegen i Create an NFS volume for Azure NetApp Files för att skapa NFSv4.1-volymen.
På sidan Skapa en volym anger du NFS-versionen till NFSv4.1 och anger Kerberos till Aktiverad.
Viktigt!
Du kan inte ändra kerberos-aktiveringsvalet när volymen har skapats.
Välj Export Policy för att matcha den önskade nivån av åtkomst och säkerhetsalternativ (Kerberos 5, Kerberos 5i eller Kerberos 5p) för volymen.
För påverkan på prestanda av Kerberos, se Prestandapåverkan av Kerberos på NFSv4.1.
Du kan också ändra Kerberos-säkerhetsmetoderna för volymen genom att klicka på Exportpolicy i navigeringspanelen för Azure NetApp Files.
Välj Granska + Skapa för att skapa en NFSv4.1-volym.
Konfigurera Azure-portalen
Följ instruktionerna i Skapa en Active Directory-anslutning.
Kerberos kräver att du skapar minst ett datorkonto i Active Directory. Kontoinformationen du tillhandahåller används för att skapa konton för både SMB och NFSv4.1 Kerberos-volymer. Det här datorkontot skapas automatiskt när volymen skapas.
Under Kerberos Realm, ange AD-servernamn och KDC IP-adress.
AD-servern och KDC-IP:n kan vara samma server. Denna information används för att skapa datornkontot för SPN som används av Azure NetApp Files. När datorkontot har skapats använder Azure NetApp Files DNS Server-poster för att hitta ytterligare KDC-servrar efter behov.
Välj Anslut för att spara konfigurationen.
Konfigurera Active Directory-anslutningen
Konfiguration av NFSv4.1 Kerberos skapar två dator konton i Active Directory:
- Ett dator konto för SMB-delningar
- Ett datorkonto för NFSv4.1 – Du kan identifiera det här kontot med hjälp av prefixet
NFS-.
När du har skapat den första NFSv4.1 Kerberos-volymen anger du krypteringstypen för datorkontot med PowerShell-kommandot Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256.
Konfigurera NFS-klienten
Följ instruktionerna i Configure an NFS client for Azure NetApp Files för att konfigurera NFS-klienten.
Montera NFS Kerberos-volymen
Från sidan Volumes, välj den NFS-volym som du vill montera.
Välj Monteringsanvisningar från volymen för att visa anvisningarna.
Till exempel:
Skapa katalogen (monteringspunkt) för den nya volymen.
Ställ in standardkrypteringstypen till AES 256 för dator kontot:
Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT- Du behöver bara köra det här kommandot en gång för varje datoranvändarkonto.
- Du kan köra det här kommandot från en domänkontroller eller från en dator med RSAT installerat.
- Variabeln
$NFSCOMPUTERACCOUNTär det dator-konto som skapas i Active Directory när du implementerar Kerberos-volymen. Detta är kontot som är prefixerat medNFS-. -
$ANFSERVICEACCOUNT-variabeln är ett Active Directory-användarkonto utan privilegier med delegerade kontroller över organisationsenheten där datorns konto har skapats.
Montera volymen på värden:
sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT- Variabeln
$ANFEXPORTär denhost:/export-sökväg som finns i mount-instruktionerna. -
$ANFMOUNTPOINT-variabeln är mappen som användaren har skapat på Linux-värden.
- Variabeln
Prestandapåverkan av Kerberos på NFSv4.1
Du bör förstå de säkerhetsalternativ som finns tillgängliga för NFSv4.1-volymer, de testade prestandavarianterna och den förväntade prestandapåverkan av Kerberos. Detaljerad information finns i Prestandapåverkan av Kerberos på NFSv4.1-volymer.
Nästa steg
- Prestandapåverkan för Kerberos på NFSv4.1-volymer
- Felsöka volymfel för Azure NetApp Files
- Vanliga frågor och svar om NFS
- Vanliga frågor och svar om prestanda
- Skapa en NFS-volym för Azure NetApp Files
- Skapa en Active Directory-anslutning
- Konfigurera en NFS-klient för Azure NetApp Files
- Konfigurera ADDS LDAP med utökade grupper för NFS-volymåtkomst