Azure NetApp Files için NFSv4.1 Kerberos şifrelemesini yapılandırma

Azure NetApp Files, AES-256 şifrelemesi ile Kerberos modlarında (krb5, krb5i ve krb5p) NFS istemci şifrelemesini destekler. Bu makalede, Kerberos şifrelemesi ile NFSv4.1 birimi kullanmak için gerekli yapılandırmalar açıklanmaktadır.

Gereksinimler

NFSv4.1 istemci şifrelemesi için aşağıdaki gereksinimler geçerlidir:

• Kerberos anahtarlama işlemini kolaylaştırmak için Active Directory Etki Alanı Hizmetleri (AD DS) veya Microsoft Entra Domain Services bağlantısı
• hem istemci hem de Azure NetApp Files NFS sunucusu IP adresleri için DNS A/PTR kaydı oluşturma
• Linux istemcisi: Bu makalede RHEL ve Ubuntu istemcileri için yönergeler sağlanır. Diğer istemciler benzer yapılandırma adımlarıyla çalışır.
• NTP sunucu erişimi: Yaygın olarak kullanılan Active Directory Etki Alanı Denetleyicisi (AD DC) etki alanı denetleyicilerinden birini kullanabilirsiniz.
• Etki alanı veya LDAP kullanıcı kimlik doğrulaması kullanmak için NFSv4.1 birimlerinin LDAP için etkinleştirildiğinden emin olun. Bkz . Adds LDAP'yi genişletilmiş gruplarla yapılandırma.
• Kullanıcı hesapları için Kullanıcı Asıl Adlarının bir $ simgeyle (örneğin, user$@REALM.COM) bitmediğinden emin olun.
  Grup tarafından yönetilen hizmet hesapları (gMSA) için hesabın Azure NetApp Files Kerberos özelliğiyle kullanılabilmesi için önce Kullanıcı Asıl Adı'ndan sondakini $ kaldırmanız gerekir.

NFS Kerberos Birimi Oluşturma

1. NFSv4.1 birimini oluşturmak için Azure NetApp Files için NFS birimi oluşturma'daki adımları izleyin.

   Birim Oluştur sayfasında, NFS sürümünü NFSv4.1 ve Kerberos'u Etkin olarak ayarlayın.

   Önemli

   Birim oluşturulduktan sonra Kerberos etkinleştirme seçimini değiştiremezsiniz.

   

2. Birim için istenen erişim ve güvenlik düzeyiyle (Kerberos 5, Kerberos 5i veya Kerberos 5p) eşleşecek İlkeyi Dışarı Aktar'ı seçin.

   Kerberos'un performans etkisi için bkz . Kerberos'un NFSv4.1 üzerindeki performans etkisi.

   Azure NetApp Files gezinti bölmesinde İlkeyi Dışarı Aktar'a tıklayarak birimin Kerberos güvenlik yöntemlerini de değiştirebilirsiniz.

3. NFSv4.1 birimini oluşturmak için Gözden Geçir + Oluştur'a tıklayın.

Azure portalını yapılandırma

1. Active Directory bağlantısı oluşturma başlığındaki yönergeleri izleyin.

   Kerberos, Active Directory'de en az bir bilgisayar hesabı oluşturmanızı gerektirir. Sağladığınız hesap bilgileri hem SMB hem de NFSv4.1 Kerberos birimleri için hesapları oluşturmak için kullanılır. Bu makine hesabı birim oluşturma sırasında otomatik olarak oluşturulur.

2. Kerberos Bölgesi'nin altında AD Sunucusu Adı'nıve KDC IP adresini girin.

   AD Sunucusu ve KDC IP aynı sunucu olabilir. Bu bilgiler, Azure NetApp Files tarafından kullanılan SPN bilgisayar hesabını oluşturmak için kullanılır. Bilgisayar hesabı oluşturulduktan sonra Azure NetApp Files gerektiğinde ek KDC sunucularını bulmak için DNS Sunucusu kayıtlarını kullanır.

   

3. Yapılandırmayı kaydetmek için Katıl'a tıklayın.

Active Directory bağlantısını yapılandırma

NFSv4.1 Kerberos yapılandırması Active Directory'de iki bilgisayar hesabı oluşturur:

• SMB paylaşımları için bir bilgisayar hesabı
• NFSv4.1 için bir bilgisayar hesabı--Ön ekini NFS-kullanarak bu hesabı tanımlayabilirsiniz.

İlk NFSv4.1 Kerberos birimini oluşturduktan sonra, aşağıdaki PowerShell komutunu kullanarak bilgisayar hesabı için şifreleme türünü ayarlayın:

Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256

NFS istemcisini yapılandırma

NFS istemcisini yapılandırmak için Azure NetApp Files için NFS istemcisi yapılandırma başlığındaki yönergeleri izleyin.

NFS Kerberos birimini bağlama

1. Birimler sayfasından bağlamak istediğiniz NFS birimini seçin.

2. Yönergeleri görüntülemek için birimdeki Bağlama yönergeleri'ni seçin.

   Örneğin:

   

3. Yeni birim için dizini (bağlama noktası) oluşturun.

4. Bilgisayar hesabı için varsayılan şifreleme türünü AES 256 olarak ayarlayın:
   Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

   • Bu komutu her bilgisayar hesabı için yalnızca bir kez çalıştırmanız gerekir.
   • Bu komutu bir etki alanı denetleyicisinden veya RSAT yüklü bir bilgisayardan çalıştırabilirsiniz.
   • $NFSCOMPUTERACCOUNT Değişken, Kerberos birimini dağıttığınızda Active Directory'de oluşturulan bilgisayar hesabıdır. Bu, ön eki olan NFS-hesaptır.
   • $ANFSERVICEACCOUNT değişkeni, bilgisayar hesabının oluşturulduğu Kuruluş Birimi üzerinde temsilci denetimleri olan ayrıcalıklı olmayan bir Active Directory kullanıcı hesabıdır.

5. Birimi konağa bağlayın:

   sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=1048576,wsize=1048576,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

   • $ANFEXPORT değişkeni, bağlama yönergelerinde bulunan yoldurhost:/export.
   • $ANFMOUNTPOINT değişkeni, Linux ana bilgisayarında kullanıcı tarafından oluşturulan klasördür.

Kerberos'un NFSv4.1 üzerindeki performans etkisi

NFSv4.1 birimleri için kullanılabilen güvenlik seçeneklerini, test edilen performans vektörlerini ve kerberos'un beklenen performans etkisini anlamanız gerekir. Ayrıntılar için bkz . Kerberos'un NFSv4.1 birimleri üzerindeki performans etkisi.

Sonraki adımlar

• Kerberos'un NFSv4.1 birimleri üzerindeki performans etkisi
• Azure NetApp Files için birim hataları giderme
• NFS hakkında SSS
• Performans hakkında SSS
• Azure NetApp Files için NFS birimi oluşturma
• Active Directory bağlantısı oluşturma
• Azure NetApp Files için NFS istemcisini yapılandırma
• NFS birim erişimi için genişletilmiş gruplarla ADDS LDAP'yi yapılandırma