CIFSサーバでKerberosベースの通信のDES暗号化を無効にすることはできますか。
環境
- ONTAP 9.12以降
- CIFS
- Kerberos
- Data Encryption Standard(DES;データ暗号化標準)
- Domain Controller(DC;ドメイン コントローラ)
回答
- はい。ONTAP 9のバージョンによっては、これが可能です
- 拡張機能1438811を使用するバージョンでは、CIFSセキュリティ用にアドバタイズされる暗号化タイプを設定します。DESは含まれません
- 9.12でのオプションは、des、rc4、aes-128、aes-256です
- DESもRC4も使用されないように、値をAES-128、AES-256に設定する例
::> cifs security modify -vserver vserver -advertised-enc-types aes-256,aes-128
::> cifs security modify -vserver vserver -advertised-enc-types aes-256,aes-128
- 検証
::> cifs security show -vserver vserver -fields advertised-enc-types
vserver advertised-enc-types
----------- --------------------
vserver aes-256,aes-128
- Kerberosベースの通信でRC4暗号化を無効にできます
- 拡張機能1438811を使用するバージョンでは、CIFSセキュリティ用にアドバタイズされる暗号化タイプを設定します。DESは含まれません
追加情報
- CIFS KerberosのONTAP 要件
- AES暗号化を使用してKerberosベースの通信のセキュリティを強化できます
- ONTAP 9のNASプロトコルでは、どのようなKerberos暗号化タイプがサポートされていますか。
- SMBサーバのセキュリティ設定ONTAP 9を管理します
- Kerberosベースの通信でAES暗号化に対してRC4を無効にできますか。
- Microsoft April 2022 HotfixesのあとにCIFSパスワードを変更すると、SecD:secsecsec.kerberos.preauth:エラーが表示されずに失敗します
- コマンド「cifs domain password schedule」が「secsecd_kerberos.preauth」で失敗します。