メインコンテンツへスキップ

ONTAP を使用した Kerberos AES 設定のベストプラクティス

Views:
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

環境

  • ONTAP 9
  • Cloud Volumes ONTAP(CVO)
  • Kerberos認証を使用したCIFS/SMB
  • Active Directory(AD)

概要

NetApp のベストプラクティスは、ONTAP SMB Kerberos 通信に AES を使用し、標準的な AD 強化の一環として RC4 から移行することです。

最新の環境では、推奨される ONTAP Kerberos の構成は次のとおりです:

  • AES-128およびAES-256が有効
  • ONTAPリリースと周辺のActive Directory環境がサポートしている場合、RC4は無効
  • DESは使用しない

このアプローチは、現在のONTAPドキュメント、NetApp KBガイダンス、およびActive DirectoryをRC4から移行するというMicrosoftの方針と一致しています。

  •  ONTAP 9.12.1以降では、ドメインコントローラ、クライアント、および関連するサービスパスがAESをサポートしていることを確認した後、SMBサーバーを明示的に構成してAES暗号化タイプのみをアドバタイズするようにする必要があります。
  • ONTAP 9.11.1以前では、可能な限りAESを有効にしておく必要がありますが、RC4のアドバタイズメントを完全に無効にすることはできないため、RC4の厳格な削除要件があるお客様はアップグレードを計画する必要があります。

健全な環境においては、AESを有効にすることは一般的にリスクが低いです。既存のSMBセッションは中断されず、より強力な暗号化タイプは新しいKerberos認証でのみネゴシエートされるためです。主な運用上の考慮事項は、AES設定を変更するとActive Directory内のSMBサーバーマシンアカウントのパスワードがリセットされるため、OUレベルの管理者資格情報が必要になる場合があり、メンテナンス期間内に処理する必要があるということです。

Sign in to view the entire content of this KB article.

New to NetApp?

Learn more about our award-winning Support

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.