تكوين تشفير NFSv4.1 Kerberos لملفات Azure NetApp

  • مقالة
  • قراءة خلال 3 دقائق

يدعم Azure NetApp Files تشفير عميل NFS في أوضاع Kerberos (krb5 وkrb5i وkrb5p) مع تشفير AES-256. توضح هذه المقالة التكوينات المطلوبة لاستخدام وحدة تخزين NFSv4.1 مع تشفير Kerberos.

المتطلبات

تنطبق المتطلبات التالية على تشفير عميل NFSv4.1:

  • اتصال خدمات مجال Active Directory (AD DS) أو Azure خدمات مجال Active Directory (AADDS) لتسهيل إصدار تذاكر Kerberos
  • إنشاء سجل DNS A/PTR لكل من العميل وعناوين IP لخادم NFS لملفات Azure NetApp
  • عميل Linux: توفر هذه المقالة إرشادات لعملاء RHEL وUbuntu. سيعمل العملاء الآخرون بخطوات تكوين مماثلة.
  • الوصول إلى خادم NTP: يمكنك استخدام إحدى وحدات تحكم مجال وحدة تحكم مجال Active Directory (AD DC) شائعة الاستخدام.
  • للاستفادة من مصادقة مستخدم النطاق أو LDAP، تأكد من تمكين وحدات تخزين NFSv4.1 ل LDAP. راجع تهيئة ADD LDAP مع المجموعات الموسعة.
  • تأكد من أن أسماء المستخدمين الرئيسية لحسابات المستخدمين لا تنتهي برمز $ (على سبيل المثال، user$@REALM.COM).
    بالنسبة لحسابات الخدمة المدارة$ من المجموعة (gMSA)، تحتاج إلى إزالة الزائدة من الاسم الأساسي للمستخدم قبل أن يمكن استخدام الحساب مع ميزة Azure NetApp Files Kerberos.

إنشاء وحدة تخزين NFS Kerberos

  1. اتبع الخطوات الواردة في إنشاء وحدة تخزين NFS لملفات Azure NetApp لإنشاء وحدة تخزين NFSv4.1.

    في الصفحة إنشاء وحدة تخزين، قم بتعيين إصدار NFS إلى NFSv4.1، ثم قم بتعيين Kerberos إلى ممكن.

    هام

    لا يمكنك تعديل تحديد تمكين Kerberos بعد إنشاء وحدة التخزين.

    Create NFSv4.1 Kerberos volume

  2. حدد نهج التصدير لمطابقة المستوى المطلوب من خيار الوصول والأمان (Kerberos 5 أو Kerberos 5i أو Kerberos 5p) لوحدة التخزين.

    للحصول على تأثير أداء Kerberos، راجع تأثير أداء Kerberos على NFSv4.1.

    يمكنك أيضا تعديل طرق أمان Kerberos لوحدة التخزين بالنقر فوق نهج التصدير في جزء التنقل ملفات Azure NetApp.

  3. انقر فوق مراجعة + إنشاء لإنشاء وحدة تخزين NFSv4.1.

تكوين مدخل Azure

  1. اتبع الإرشادات الموجودة في إنشاء اتصال Active Directory.

    يتطلب Kerberos إنشاء حساب جهاز واحد على الأقل في Active Directory. يتم استخدام معلومات الحساب التي تقدمها لإنشاء حسابات لكل من وحدات تخزين SMB وNFSv4.1 Kerberos. يتم إنشاء هذا الجهاز تلقائيا أثناء إنشاء وحدة التخزين.

  2. ضمن Kerberos Realm، أدخل اسم خادم AD وعنوانIP الخاص ب KDC .

    يمكن أن يكون خادم AD و KDC IP نفس الخادم. يتم استخدام هذه المعلومات لإنشاء حساب جهاز SPN المستخدم بواسطة Azure NetApp Files. بعد إنشاء حساب الجهاز، ستستخدم Azure NetApp Files سجلات خادم DNS لتحديد موقع خوادم KDC إضافية حسب الحاجة.

    Kerberos Realm

  3. انقر فوق انضمام لحفظ التكوين.

تكوين اتصال Active Directory

تكوين NFSv4.1 Kerberos بإنشاء حسابي كمبيوتر في Active Directory:

  • حساب كمبيوتر لأسهم الشركات الصغيرة والمتوسطة
  • حساب كمبيوتر ل NFSv4.1 --يمكنك تحديد هذا الحساب عن طريق البادئة NFS-.

بعد إنشاء وحدة تخزين NFSv4.1 Kerberos الأولى، قم بتعيين نوع التشفير لحساب الكمبيوتر باستخدام الأمر PowerShell التالي:

Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256

تكوين عميل NFS

اتبع الإرشادات الواردة في تكوين عميل NFS لملفات Azure NetApp لتكوين عميل NFS .

قم بتركيب وحدة تخزين NFS Kerberos

  1. من صفحة وحدات التخزين ، حدد وحدة تخزين NFS التي تريد تحميلها.

  2. حدد تعليمات التركيب من وحدة التخزين لعرض التعليمات.

    على سبيل المثال:

    Mount instructions for Kerberos volumes

  3. إنشاء الدليل (نقطة تحميل) لوحدة التخزين الجديدة.

  4. قم بتعيين نوع التشفير الافتراضي إلى AES 256 لحساب الكمبيوتر:
    Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

    • تحتاج إلى تشغيل هذا الأمر مرة واحدة فقط لكل حساب كمبيوتر.
    • يمكنك تشغيل هذا الأمر من وحدة تحكم مجال أو من كمبيوتر مثبت عليه RSAT .
    • $NFSCOMPUTERACCOUNT المتغير هو حساب الكمبيوتر الذي تم إنشاؤه في Active Directory عند نشر وحدة تخزين Kerberos. هذا هو الحساب المسبوق ب NFS-.
    • $ANFSERVICEACCOUNT المتغير هو حساب مستخدم Active Directory غير مميز مع عناصر تحكم مفوضة على الوحدة التنظيمية حيث تم إنشاء حساب الكمبيوتر.

  5. قم بتركيب وحدة التخزين على المضيف:

    sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=1048576,wsize=1048576,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

    • $ANFEXPORT المتغير هو المسار الموجود host:/export في تعليمات التركيب.
    • $ANFMOUNTPOINT المتغير هو المجلد الذي أنشأه المستخدم على مضيف Linux.

تأثير أداء Kerberos على NFSv4.1

يجب أن تفهم خيارات الأمان المتاحة لوحدات تخزين NFSv4.1 ومتجهات الأداء التي تم اختبارها وتأثير الأداء المتوقع ل kerberos. راجع تأثير أداء Kerberos على وحدات تخزين NFSv4.1 للحصول على التفاصيل.

الخطوات التالية