跳转到主内容

Kerberos AES 设置与 ONTAP 的最佳实践

Views:
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

适用于

  • ONTAP 9
  • Cloud Volumes ONTAP (CVO)
  • 使用 Kerberos 认证的 CIFS/SMB
  • Active Directory (AD)

说明

NetApp 最佳做法是使用 AES 进行 ONTAP SMB Kerberos 通信,并作为标准 AD 强化的一部分弃用 RC4。

对于现代环境,首选的 ONTAP Kerberos 状态是:

  • 已启用 AES-128 和 AES-256
  • 在 ONTAP 版本和周围的 Active Directory 环境支持的情况下,RC4 已禁用
  • 不使用 DES

此方法与当前 ONTAP 文档、NetApp 知识库指南以及 Microsoft 将 Active Directory 从 RC4 迁移的方向保持一致。

  •  在 ONTAP 9.12.1 及更高版本上,客户应在验证域控制器、客户端和相关服务路径支持 AES 后,显式配置 SMB 服务器仅通告 AES 加密类型。
  • 在 ONTAP 9.11.1 及更早版本上,在可能的情况下仍应启用 AES,但 RC4 通告不能完全禁用,因此有严格 RC4 移除要求的客户应计划升级。

在健康的环境中启用 AES 的风险通常较低,因为现有的 SMB 会话不会中断,并且只有新的 Kerberos 身份验证才会协商更强的加密类型。主要操作注意事项是,更改 AES 设置会重置 Active Directory 中 SMB 服务器计算机帐户的密码,这可能需要 OU 级别的管理凭据,应在维护窗口期间进行处理。

Sign in to view the entire content of this KB article.

New to NetApp?

Learn more about our award-winning Support

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.