Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Azure NetApp Files dá suporte à criptografia de cliente NFS em modos Kerberos (krb5, krb5i e krb5p) com criptografia AES-256. Este artigo descreve as configurações necessárias para usar um volume NFSv4.1 com criptografia Kerberos.
Requisitos
Os seguintes requisitos se aplicam à criptografia de cliente NFSv4.1:
- Conexão do AD DS (Active Directory Domain Services) ou do Microsoft Entra Domain Services para facilitar os serviços de tíquete do Kerberos
- Criação de registro DNS A/PTR para ambos os endereços IP do cliente e do servidor NFS do Azure NetApp Files
- Um cliente Linux: Este artigo fornece diretrizes para clientes RHEL e Ubuntu. Outros clientes também funcionam com etapas de configuração semelhantes.
- Acesso ao servidor NTP: Você pode usar um dos controladores de domínio do AD DC (Active Directory Domain Controller) comumente usados.
- Para aproveitar a autenticação de usuário do Domínio ou LDAP, verifique se os volumes NFSv4.1 estão habilitados para LDAP. Consulte Configurar ADDS LDAP com grupos estendidos.
- Verifique se os nomes UPN das contas de usuário não terminam com um símbolo
$(por exemplo, user$@REALM.COM).
Para gMSAs (Contas de serviços gerenciados por grupo), você precisa remover o$à direita do nome UPN para que a conta seja usada com o recurso Kerberos do Azure NetApp Files.
Criar um volume Kerberos do NFS
Siga as etapas em Criar um volume NFS para o Azure NetApp Files para criar o volume NFSv4.1.
Na página Criar um volume, defina a versão NFS como NFSv4.1 e defina Kerberos como Habilitado.
Importante
Não é possível modificar a seleção de habilitação do Kerberos após a criação do volume.
Selecione Política de Exportação para corresponder ao nível desejado de acesso e opção de segurança (Kerberos 5, Kerberos 5i ou Kerberos 5p) para o volume.
Para obter o impacto no desempenho do Kerberos, consulte o impacto no desempenho do Kerberos no NFSv4.1.
Você também pode modificar os métodos de segurança Kerberos para o volume clicando em Exportar Política no painel de navegação do Azure NetApp Files.
Selecione Examinar + Criar para criar o volume NFSv4.1.
Configurar o portal do Azure
Siga as instruções em Criar uma conexão do Active Directory.
O Kerberos requer que você crie pelo menos uma conta de computador no Active Directory. As informações da conta fornecidas são usadas para criar as contas para volumes Kerberos do SMB e do NFSv 4.1. Essa conta de computador é criada automaticamente durante a criação do volume.
Em Kerberos Realm, insira o Nome do Servidor do AD e o endereço IP KDC .
O Servidor AD e o IP KDC podem ser o mesmo servidor. Essas informações são usadas para criar a conta de computador SPN usada pelo Azure NetApp Files. Depois que a conta de computador é criada, o Azure NetApp Files usa registros do servidor DNS para localizar servidores KDC adicionais, conforme necessário. No Nome do Servidor do AD, forneça o nome do host do computador sem acrescentar o domínio.
Selecione Ingressar para salvar a configuração.
Configurar a conexão do Active Directory
A configuração do NFSv4.1 Kerberos cria duas contas de computador no Active Directory:
- Uma conta de computador para compartilhamentos SMB
- Uma conta de computador para NFSv4.1– Você pode identificar essa conta usando o prefixo
NFS-.
Depois de criar o primeiro volume Kerberos NFSv4.1, defina o tipo de criptografia para a conta de computador com o comando Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256do PowerShell.
Configurar o cliente NFS
Siga as instruções em Configurar um cliente NFS para Azure NetApp files para configurar o cliente NFS.
Montar o volume Kerberos do NFS
Na página Volumes , selecione o volume NFS que você deseja montar.
Selecione instruções de Montagem no volume para exibir as instruções.
Por exemplo:
Crie o diretório (ponto de montagem) para o novo volume.
Defina o tipo de criptografia padrão como AES 256 para a conta do computador:
Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT- Você precisa executar esse comando apenas uma vez para cada conta de computador.
- Você pode executar esse comando em um controlador de domínio ou em um computador com RSAT instalado.
- A
$NFSCOMPUTERACCOUNTvariável é a conta de computador criada no Active Directory quando você implanta o volume Kerberos. Essa é a conta que é prefixada comNFS-. - A
$ANFSERVICEACCOUNTvariável é uma conta de usuário do Active Directory sem privilégios com controles delegados sobre a Unidade Organizacional em que a conta de computador foi criada.
Monte o volume no host:
sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT- A variável
$ANFEXPORTé o caminhohost:/exportencontrado nas instruções de montagem. - A
$ANFMOUNTPOINTvariável é a pasta criada pelo usuário no host linux.
- A variável
Impacto no desempenho do Kerberos no NFSv4.1
Você deve entender as opções de segurança disponíveis para volumes NFSv4.1, os vetores de desempenho testados e o impacto de desempenho esperado do kerberos. Para obter informações detalhadas, consulte o impacto de desempenho do Kerberos em volumes NFSv4.1.
Próximas etapas
- Impacto de desempenho do Kerberos em volumes NFSv4.1
- Solucionar erros em volumes do Azure NetApp Files
- Perguntas frequentes sobre NFS
- Perguntas frequentes sobre o desempenho
- Criar um volume NFS para o Azure NetApp Files
- Criar uma conexão do Active Directory
- Configurar um cliente NFS para o Azure NetApp Files
- Configurar o ADDS LDAP com grupos estendidos para acesso ao volume NFS