Con la versión 4.1 de NFS, ESXi admite el mecanismo de autenticación Kerberos.
El mecanismo RPCSEC_GSS Kerberos es un servicio de autenticación. Permite instalar un cliente de NFS 4.1 en ESXi para probar su identidad en un servidor NFS antes de montar un recurso compartido de NFS. La seguridad Kerberos utiliza criptografía para funcionar en una conexión de red no segura.
La implementación de ESXi de Kerberos para NFS 4.1 proporciona dos modelos de seguridad, krb5 y krb5i, que ofrecen distintos niveles de seguridad.
n Kerberos para autenticación solamente (krb5) admite la comprobación de identidad.
n Kerberos para autenticación e integridad de datos (krb5i), además de la comprobación de identidad, proporciona servicios de integridad de datos. Estos servicios ayudan a proteger el tráfico de NFS para evitar la alteración mediante la comprobación de posibles modificaciones en los paquetes de datos. Kerberos admite algoritmos de cifrado que evitan que los usuarios no autorizados puedan acceder al tráfico de NFS. El cliente NFS 4.1 en ESXi intenta usar el algoritmo AES256-CTS-HMAC-SHA1-96 o AES128-CTS- HMAC-SHA1-96 para acceder a un recurso compartido en el servidor NAS. Antes de utilizar los almacenes de datos de NFS 4.1, asegúrese de que AES256-CTS-HMAC-SHA1-96 o AES128-CTS-HMAC-SHA1-96 estén habilitados en el servidor NAS.
Tabla 17‑5. Tipos de seguridad de Kerberos
ESXi 6.0 ESXi 6.5
Kerberos para autenticación
solamente (krb5) Suma de comprobación deintegridad para encabezado RPC
Sí con DES Sí con AES
Suma de comprobación de incorporación para datos de RPC
No No
Kerberos para autenticación
e integridad de datos (krb5i) Suma de comprobación deintegridad para encabezado RPC
Sin krb5i Sí con AES
Suma de comprobación de incorporación para datos de RPC
Sí con AES
Al utilizar la autenticación Kerberos, se deben tener en cuenta las siguientes consideraciones: n ESXi utiliza Kerberos con el dominio de Active Directory.
n Como administrador de vSphere, debe especificar credenciales de Active Directory para proporcionar acceso a un usuario de NFS a los almacenes de datos Kerberos de NFS 4.1. Se utiliza un único conjunto de credenciales para acceder a todos los almacenes de datos Kerberos montados en ese host.
n Cuando varios hosts ESXi comparten el almacén de datos NFS 4.1, se deben utilizar las mismas
credenciales de Active Directory para todos los hosts que tienen acceso al almacén de datos compartido. Para automatizar el proceso de asignación, establezca el usuario en los perfiles de host y aplique el perfil a todos los hosts ESXi.
n No se pueden usar dos mecanismos de seguridad, AUTH_SYS y Kerberos, para el mismo almacén de datos NFS 4.1 compartido por varios hosts.
Consulte la documentación de Almacenamiento de vSphere para obtener instrucciones paso a paso.
Configurar entorno de almacenamiento NFS
Se deben realizar varios pasos de configuración antes de montar un almacén de datos NFS en vSphere. Prerequisitos
n Familiarícese con las instrucciones en “Instrucciones y requisitos de almacenamiento NFS,” página 169. n Para obtener detalles sobre la configuración del almacenamiento NFS, consulte la documentación del
proveedor de almacenamiento.
n Si utiliza Kerberos, asegúrese de que AES256-CTS-HMAC-SHA1-96 o AES128-CTS-HMAC-SHA1-96 estén habilitados en el servidor NAS.
Procedimiento
1 En el servidor NFS, configure un volumen NFS y expórtelo para montarlo en los hosts ESXi.
a Tome nota de la dirección IP o del nombre DNS del servidor NFS y de la ruta de acceso completa, o del nombre de carpeta, del recurso compartido de NFS.
En NFS 4.1 se pueden recopilar varias direcciones IP o nombres de DNS para utilizar la compatibilidad con múltiples rutas que proporciona el almacén de datos NFS 4.1.
b Si planifica utilizar la autenticación Kerberos con NFS 4.1, especifique las credenciales Kerberos que utilizará ESXi para la autenticación.
2 En cada host ESXi, configure un puerto de red del VMkernel para el tráfico NFS. Para obtener más información, consulte la documentación sobre Redes de vSphere.
3 Si planifica utilizar la autenticación Kerberos con el almacén de datos NFS 4.1, configure los hosts ESXi para la autenticación Kerberos.
Consulte “Configurar hosts ESXi para la autenticación Kerberos,” página 176. Qué hacer a continuación
Ahora puede crear un almacén de datos NFS en los hosts ESXi.
Configurar hosts ESXi para la autenticación Kerberos
Si utiliza NFS 4.1 con Kerberos, debe realizar varias tareas para configurar los hosts para la autenticación Kerberos.
Cuando varios hosts ESXi comparten el almacén de datos NFS 4.1, se deben utilizar las mismas credenciales de Active Directory para todos los hosts que tienen acceso al almacén de datos compartido. Para
automatizar el proceso de asignación, configure el usuario en los perfiles de host y aplique el perfil a todos los hosts ESXi.
Prerequisitos
n Asegúrese de que los servidores de Microsoft Active Directory (AD) y NFS estén configurados para utilizar Kerberos.
n Habilite los modos de cifrado AES256-CTS-HMAC-SHA1-96 o AES128-CTS-HMAC-SHA1-96 en AD. El cliente NFS 4.1 no es compatible con el modo de cifrado DES-CBC-MD5.
n Asegúrese de que las exportaciones del servidor NFS estén configuradas para otorgar acceso completo al usuario de Kerberos.
Procedimiento
1 Configurar DNS para NFS 4.1 con Kerberos página 177
Cuando usa NFS 4.1 con Kerberos, debe cambiar la configuración de DNS en los hosts ESXi. La configuración debe apuntar al servidor DNS que está configurado para distribuir registros de DNS para el centro de distribución de claves (Key Distribution Center, KDC) de Kerberos. Por ejemplo, utilice la dirección del servidor de Active Directory si AD se utiliza como servidor DNS.
2 Configurar protocolo Network Time Protocol para NFS 4.1 con Kerberos página 177
Si usa NFS 4.1 con Kerberos, configure el protocolo de tiempo de red (NTP) para asegurarse de que todos los hosts ESXi en la red de vSphere estén sincronizados.
3 Habilitar la autenticación Kerberos en Active Directory página 177
Si se utiliza almacenamiento NFS 4.1 con Kerberos, se debe agregar cada host ESXi a un dominio de Active Directory y habilitar la autenticación Kerberos. Kerberos se integra con Active Directory para habilitar el inicio de sesión único y proporciona una capa adicional de seguridad cuando se utiliza en una conexión de red que no es segura.
Qué hacer a continuación
Después de configurar el host para Kerberos, puede crear un almacén de datos NFS 4.1 con Kerberos habilitado.