Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure NetApp Files suporta a encriptação de cliente NFS nos modos Kerberos (krb5, krb5i e krb5p) com encriptação AES-256. O artigo descreve as configurações necessárias para utilizar um volume NFSv4.1 com encriptação Kerberos.
Requerimentos
Os seguintes requisitos aplicam-se à encriptação de cliente NFSv4.1:
- Serviços de Domínio Active Directory (AD DS) ou ligação a Serviços de Domínio Microsoft Entra para facilitar a emissão de tickets Kerberos.
- Criação de registos DNS A/PTR tanto para o cliente como para os endereços IP do servidor Azure NetApp Files NFS.
- Um cliente Linux: Este artigo fornece orientação para clientes RHEL e Ubuntu. Outros clientes também trabalham com etapas de configuração semelhantes.
- Acesso ao servidor NTP: Você pode usar um dos controladores de domínio do Controlador de Domínio Ative Directory (AD DC) comumente usados.
- Para aproveitar a autenticação de utilizadores de Domínio ou LDAP, certifique-se de que os volumes NFSv4.1 estão ativados para LDAP. Consulte Configurar o ADDS LDAP com grupos estendidos.
- Certifique-se de que os Nomes Principais de Utilizador para contas de utilizador não terminem com um símbolo (por exemplo, user$@REALM.COM).
Para as contas de serviço geridas em grupo (gMSA), é necessário remover a parte final do Nome Principal do Utilizador antes que a conta possa ser usada com a funcionalidade Kerberos do Azure NetApp Files.
Criar um volume NFS Kerberos
Siga os passos em Create an NFS volume for Azure NetApp Files para criar o volume NFSv4.1.
Na página Criar um volume, defina a versão NFS como NFSv4.1 e Kerberos como Habilitado.
Importante
Não é possível modificar a seleção de ativação Kerberos após a criação do volume.
Selecione Política de Exportação para corresponder ao nível de acesso e opção de segurança desejada (Kerberos 5, Kerberos 5i, ou Kerberos 5p) para o volume.
Para o impacto no desempenho do Kerberos, consulte Impacto no desempenho do Kerberos no NFSv4.1.
Também pode modificar os métodos de segurança Kerberos para o volume clicando em Política de Exportação no painel de navegação do Azure NetApp Files.
Selecione Review + Create para criar o volume NFSv4.1.
Configurar o portal Azure
Siga as instruções em Criar uma ligação ao Active Directory.
Kerberos requer que crie pelo menos uma conta de computador no Active Directory. A informação da conta que fornecer é utilizada para criar as contas tanto para volumes SMB como para volumes Kerberos NFSv4.1. Esta conta de máquina é criada automaticamente durante a criação do volume.
Sob Kerberos Realm, insira o Nome do Servidor AD e o endereço de IP do KDC.
O servidor AD e o IP do KDC podem ser o mesmo servidor. Esta informação é utilizada para criar a conta de computador SPN usada pelo Azure NetApp Files. Depois que a conta de computador é criada, os Arquivos NetApp do Azure usam registros do Servidor DNS para localizar servidores KDC adicionais, conforme necessário. No AD Server Name, forneça o nome de host da máquina sem adicionar o domínio.
Selecione Ingressar para salvar a configuração.
Configure a ligação ao Active Directory
A configuração do Kerberos no NFSv4.1 cria duas contas de computador no Active Directory.
- Uma conta de computador para partilhas SMB
- Uma conta de computador para NFSv4.1--Você pode identificar essa conta usando o prefixo
NFS-.
Depois de criar o primeiro volume Kerberos NFSv4.1, defina o tipo de criptografia para a conta de computador com o comando Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256PowerShell.
Configure o cliente NFS
Siga as instruções em Configure an NFS client for Azure NetApp Files para configurar o cliente NFS.
Montar o volume NFS Kerberos
Na página Volumes, selecione o volume NFS que deseja montar.
Selecione Montar instruções a partir do volume para exibir as instruções.
Por exemplo:
Crie o diretório (ponto de montagem) para o novo volume.
Defina o tipo de encriptação padrão para AES 256 na conta do computador:
Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT- Só precisa de executar este comando uma vez por cada conta de computador.
- Pode executar este comando a partir de um controlador de domínio ou de um PC com RSAT instalado.
- A variável
$NFSCOMPUTERACCOUNTé a conta de computador criada no Active Directory quando implementa o volume Kerberos. Esta é a conta que é prefixada comNFS-. - A variável
$ANFSERVICEACCOUNTé uma conta de utilizador do Active Directory não privilegiada com controlos delegados sobre a Unidade Organizacional onde a conta de computador foi criada.
Monte o volume no host:
sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT- A variável
$ANFEXPORTé o caminhohost:/exportencontrado nas instruções de montagem. - A variável
$ANFMOUNTPOINTé a pasta criada pelo utilizador no host Linux.
- A variável
Impacto no desempenho do Kerberos no NFSv4.1
Você deve compreender as opções de segurança disponíveis para volumes NFSv4.1, os vectores de desempenho testados, e o impacto esperado no desempenho do Kerberos. Para obter informações detalhadas, consulte Impacto no desempenho do Kerberos em volumes NFSv4.1.
Próximos passos
- Impacto no desempenho do Kerberos nos volumes NFSv4.1
- Resolução de problemas de erros de volume para Azure NetApp Files
- FAQ sobre NFS
- Perguntas Frequentes sobre Desempenho
- Criar um volume NFS para o Azure NetApp Files
- Criar uma conexão com o Ative Directory
- Configurar um cliente NFS para Ficheiros do Azure NetApp
- Configure ADDS LDAP com grupos estendidos para acesso ao volume NFS