ONTAP を使用した Kerberos AES 設定のベストプラクティス
環境
- ONTAP 9
- Cloud Volumes ONTAP(CVO)
- Kerberos認証を使用したCIFS/SMB
- Active Directory(AD)
概要
NetApp のベストプラクティスは、ONTAP SMB Kerberos 通信に AES を使用し、標準的な AD 強化の一環として RC4 から移行することです。
最新の環境では、推奨される ONTAP Kerberos の構成は次のとおりです:
- AES-128およびAES-256が有効
- ONTAPリリースと周辺のActive Directory環境がサポートしている場合、RC4は無効
- DESは使用しない
このアプローチは、現在のONTAPドキュメント、NetApp KBガイダンス、およびActive DirectoryをRC4から移行するというMicrosoftの方針と一致しています。
- ONTAP 9.12.1以降では、ドメインコントローラ、クライアント、および関連するサービスパスがAESをサポートしていることを確認した後、SMBサーバーを明示的に構成してAES暗号化タイプのみをアドバタイズするようにする必要があります。
- ONTAP 9.11.1以前では、可能な限りAESを有効にしておく必要がありますが、RC4のアドバタイズメントを完全に無効にすることはできないため、RC4の厳格な削除要件があるお客様はアップグレードを計画する必要があります。
健全な環境においては、AESを有効にすることは一般的にリスクが低いです。既存のSMBセッションは中断されず、より強力な暗号化タイプは新しいKerberos認証でのみネゴシエートされるためです。主な運用上の考慮事項は、AES設定を変更するとActive Directory内のSMBサーバーマシンアカウントのパスワードがリセットされるため、OUレベルの管理者資格情報が必要になる場合があり、メンテナンス期間内に処理する必要があるということです。