Configurar hosts ESXi para la autenticación Kerberos

Si utiliza NFS 4.1 con Kerberos, debe realizar varias tareas para configurar los hosts para la autenticación Kerberos.

Cuando varios hosts ESXi comparten el mismo almacén de datos de NFS 4.1, se deben utilizar las mismas credenciales de Active Directory para todos los hosts que tienen acceso al almacén de datos compartido. Para automatizar esta tarea, configure el usuario en los perfiles de host y aplique el perfil a todos los hosts ESXi.

Prerequisitos

n Asegúrese de que los servidores de Microsoft Active Directory (AD) y NFS estén configurados para

utilizar Kerberos.

n Habilite el modo de cifrado DES-CBC-MD5 en AD. El cliente NFS 4.1 admite solo este modo de cifrado. n Asegúrese de que las exportaciones del servidor NFS estén configuradas para otorgar acceso completo

al usuario de Kerberos. Procedimiento

1 Configurar DNS para NFS 4.1 con Kerberos página 174

Cuando utiliza NFS 4.1 con Kerberos, debe cambiar la configuración de DNS en los hosts ESXi para indicarle al servidor DNS que está configurado para enviar registros DNS al centro de distribución de claves (KDC) de Kerberos. Por ejemplo, utilice la dirección del servidor de Active Directory, si AD se utiliza como servidor DNS.

2 Configurar protocolo Network Time Protocol para NFS 4.1 con Kerberos página 175

Si usa NFS 4.1 con Kerberos, configure el protocolo de tiempo de red (NTP) para asegurarse de que todos los hosts ESXi en la red de vSphere estén sincronizados.

3 Habilitar la autenticación Kerberos en Active Directory página 175

Si se utiliza almacenamiento NFS 4.1 con Kerberos, se debe agregar cada host ESXi a un dominio de Active Directory y habilitar la autenticación Kerberos. Kerberos se integra con Active Directory para habilitar el inicio de sesión único y proporciona una capa adicional de seguridad cuando se utiliza en una conexión de red que no es segura.

Qué hacer a continuación

Después de configurar el host para Kerberos, puede crear un almacén de datos NFS 4.1 con Kerberos habilitado.

Configurar DNS para NFS 4.1 con Kerberos

Procedimiento

1 En vSphere Web Client, desplácese hasta el host.

2 Haga clic en la pestaña Manage (Administrar) y en Networking (Redes) y seleccione TCP/IP configuration (Configuración de TCP/IP).

4 Introduzca la información de la configuración de DNS.

Opción Descripción

Domain (Dominio) Nombre del dominio de AD

Preferred DNS server (Servidor DNS preferido)

IP del servidor de AD

Search domains (Buscar dominios) Nombre del dominio de AD

Configurar protocolo Network Time Protocol para NFS 4.1 con Kerberos

Si usa NFS 4.1 con Kerberos, configure el protocolo de tiempo de red (NTP) para asegurarse de que todos los hosts ESXi en la red de vSphere estén sincronizados.

Procedimiento

1 Seleccione el host en el inventario de vSphere.

2 Haga clic en la pestaña Manage (Administrar) y en Settings (Configuración).

3 En la sección System (Sistema), seleccione Time Configuration (Configuración de hora). 4 Haga clic en Edit (Editar) y configure el servidor NTP.

a Seleccione Use Network Time Protocol (Enable NTP client) (Usar protocolo de hora de red [Habilitar el cliente NTP]).

b Establezca la directiva de inicio del servicio NTP.

c Introduzca la dirección IP de los servidores NTP con los que desea realizar la sincronización. d En la sección NTP Service Status (Estado del servicio NTP), haga clic en Start (Iniciar) o Restart

(Reiniciar).

5 Haga clic en OK (Aceptar).

El host se sincroniza con el servidor NTP.

Habilitar la autenticación Kerberos en Active Directory

Prerequisitos

Configure un dominio de AD y una cuenta de administrador de dominio con los derechos para agregar hosts al dominio.

Procedimiento

1 Agregue un host ESXi a un dominio de Active Directory. a En vSphere Web Client, seleccione el host ESXi.

b Haga clic en la pestaña Manage (Administrar) y en Settings (Configuración). c En System (Sistema), seleccione Authentication Services (Servicios de autenticación).

d Haga clic en Join Domain (Unirse al dominio), proporcione la configuración del dominio y haga clic en OK (Aceptar).

El tipo de servicios de directorio cambia a Active Directory.

2 Configure o edite las credenciales de un usuario Kerberos de NFS.

a En NFS Kerberos Credentials (Credenciales Kerberos de NFS), haga clic en Edit (Editar). b Escriba un nombre de usuario y contraseña.

Se accederá a los archivos almacenados en todos los almacenes de datos Kerberos con estas credenciales.

El estado de las credenciales Kerberos de NFS cambia a Enabled (Habilitado).

Crear almacenes de datos

Puede utilizar el asistente New Datastore (Nuevo almacén de datos) para crear almacenes de datos. Según el tipo de almacenamiento que tenga en el entorno y de las necesidades de almacenamiento, puede crear un almacén de datos de VMFS, NFS o virtual.

Al habilitar Virtual SAN, se crea un almacén de datos de Virtual SAN de forma automática. Para obtener información, consulte el documento Administración de VMware Virtual SAN.

También puede utilizar el asistente New Datastore (Nuevo almacén de datos) para administrar copias del almacén de datos de VMFS.

n Crear un almacén de datos de VMFS página 176

Los almacenes de datos de VMFS sirven como repositorios para las máquinas virtuales. Los almacenes de datos de VMFS se pueden configurar en cualquier dispositivo de almacenamiento basado en SCSI que el host detecte, incluidos el canal de fibra, iSCSI y los dispositivos de almacenamiento local.

n Crear un almacén de datos de NFS página 177

Puede utilizar el asistente New Datastore (Nuevo almacén de datos) para montar un volumen NFS.

n Crear un almacén de datos virtual página 178

Puede utilizar el asistente New Datastore (Nuevo almacén de datos) para crear un almacén de datos virtual.

In document Almacenamiento de vsphere (página 174-176)