Kerberos AES 设置与 ONTAP 的最佳实践
适用于
- ONTAP 9
- Cloud Volumes ONTAP (CVO)
- 使用 Kerberos 认证的 CIFS/SMB
- Active Directory (AD)
说明
NetApp 最佳做法是使用 AES 进行 ONTAP SMB Kerberos 通信,并作为标准 AD 强化的一部分弃用 RC4。
对于现代环境,首选的 ONTAP Kerberos 状态是:
- 已启用 AES-128 和 AES-256
- 在 ONTAP 版本和周围的 Active Directory 环境支持的情况下,RC4 已禁用
- 不使用 DES
此方法与当前 ONTAP 文档、NetApp 知识库指南以及 Microsoft 将 Active Directory 从 RC4 迁移的方向保持一致。
- 在 ONTAP 9.12.1 及更高版本上,客户应在验证域控制器、客户端和相关服务路径支持 AES 后,显式配置 SMB 服务器仅通告 AES 加密类型。
- 在 ONTAP 9.11.1 及更早版本上,在可能的情况下仍应启用 AES,但 RC4 通告不能完全禁用,因此有严格 RC4 移除要求的客户应计划升级。
在健康的环境中启用 AES 的风险通常较低,因为现有的 SMB 会话不会中断,并且只有新的 Kerberos 身份验证才会协商更强的加密类型。主要操作注意事项是,更改 AES 设置会重置 Active Directory 中 SMB 服务器计算机帐户的密码,这可能需要 OU 级别的管理凭据,应在维护窗口期间进行处理。