AES暗号化はCIFSサーバで有効にできますか
環境
- ONTAP 9
- CIFS
- AES
回答
- CIFSサーバーでAESサポートを有効にするには:
::> vserver cifs security modify -vserver <svm_name> -advertised-enc-types aes-128,aes-256
例:
vserver cifs security modify -vserver VS1 -is-aes-encryption-enabled true
Info: In order to update the advertised encryption types, the password for the CIFS server machine account must be reset. Enter the username and password for the CIFS domain "DOMAIN.LOCAL".
Enter your user ID:
|
警告
|
- ONTAPのバージョンが ONTAP 9.12.1より前の場合:
::> vserver cifs security modify -vserver <svm_name> -is-aes-encryption-enabled true
追加情報
- CIFSマシンアカウントのパスワードをリセットすると、CIFSアクセスの問題が発生する可能性がある
- CIFSサーバーを作成する前にSVMでAESを設定することは可能ですか?
- Microsoftの2022年4月の修正プログラム適用後、CIFSパスワードの変更が警告なしに失敗し、secd:secd.kerberos.preauth:errorが発生する
- vserver cifs security modify
- AES暗号化を使用してKerberosベースの通信に強力なセキュリティを設定する
- ONTAPでKerberosのAESを有効にすることによる影響は何ですか
- SMBサーバーは、Kerberos通信で次の暗号化タイプをサポートしています:
- AES 256
- AES 128
- DES
- RC4-HMAC
- ONTAP 9.12.1以降では、Active Directory(AD)KDCにアドバタイズする暗号化タイプを指定できます。
-advertised-enc-typesオプションを使用して推奨される暗号化タイプを有効にでき、また弱い暗号化タイプを無効にすることもできます。Kerberosベースの通信の暗号化タイプを有効化および無効化する方法をご確認ください。