Users Guide

Table Of Contents

Kerberos est un service d'authentification distribué conçu pour offrir une authentification forte avec chiffrement à clé secrète. Il

fonctionne sur la base des "tickets" qui permettent aux nœuds qui communiquent sur un réseau non sécurisé de prouver leur identité de

manière sécurisée. Lorsqu'il est configuré pour servir en tant que serveur Secure NFS, le serveur NAS utilise le framework de sécurité

RPCSEC_GSS et le protocole d'authentification Kerberos pour vérifier les utilisateurs et les services.

Si le serveur NAS a été paramétré avec NFS uniquement, et si vous configurez le système NFS sécurisé ou LDAP avec Kerberos, vous

devez mettre en place Kerberos avec un realm personnalisé avant de configurer la sécurité dans PowerStore.

Si le serveur NAS a été configuré avec les protocoles NFS et SMB, vous avez la possibilité d’utiliser le service Kerberos hérité avec AD,

étant donné que le serveur SMB associé au domaine existe sur le serveur NAS.

Le système de stockage doit être configuré avec un serveur NTP. Kerberos s'appuie sur la synchronisation de l'heure correcte entre le

KDC, serveurs et le client sur le réseau.

Configuration de Kerberos pour le système NFS sécurisé

Si vous configurez Kerberos pour le système NFS sécurisé, tenez compte des points suivants :

● Si vous configurez le serveur NAS uniquement pour NFS, vous devez configurer le serveur NAS avec un domaine personnalisé. Si vous

avez configuré le serveur NAS avec NFS et SMB, vous pouvez utiliser le domaine AD ou personnalisé.

● Pour plus de sécurité, il est recommandé d'utiliser le protocole LDAPS ou LDAP avec Kerberos.

● Un serveur DNS doit être configuré au niveau du serveur NAS. Tous les membres du realm Kerberos, y compris le KDC, le serveur NFS

et les clients NFS, doivent être enregistrés sur le serveur DNS.

● Le nom de domaine complet de l'hôte du client NFS et le nom de domaine complet du serveur NAS doivent être enregistrés sur le

serveur DNS. Les clients et les serveurs doivent être en mesure de résoudre tous les membres du nom de domaine complet du realm

Kerberos sur une adresse IP.

● Une partie du nom de domaine complet relatif au SPN du client NFS doit être enregistré sur le serveur DNS.

● Un fichier keytab doit être téléchargé sur votre serveur NAS lors de la configuration de Secure NFS.

Créer un realm personnalisé pour Kerberos

Vous pouvez configurer un realm personnalisé à utiliser avec Kerberos.

Un realm Kerberos personnalisé vous permet de configurer n’importe quel type de KDC (MIT/Heimdal ou AD). Utilisez cette méthode

lorsque vous ne disposez pas d’un domaine de serveur SMB configuré sur le serveur NAS ou si vous souhaitez utiliser un realm Kerberos

autre que celui configuré pour le serveur SMB.

Créer un realm personnalisé pour un serveur NFS simple

Pour utiliser un KDC basé sur Unix, suivez la procédure ci-dessous avant de configurer Kerberos dans PowerStore. Elle part du principe

que vous souhaitez utiliser myrealm dans le realm Kerberos linux.dellemc.com en tant que nom d’hôte du serveur NFS.

1. Exécutez l’outil kadmin.local.

2. Créez les entités de sécurité et leurs clés :

kadmin.local: addprinc -randkey nfs/myrealm.linux.dellemc.com

et/ou

kadmin.local: addprinc -randkey nfs/myrealm

3. Placez la clé de l'entité de sécurité dans le fichier keytab myrealm.linux.dellemc.fr :

kadmin.local: ktadd -k myrealm.linux.dellemc.com.keytab nfs/myrealm.linux.dellemc.fr

Créer un realm personnalisé pour un serveur NAS multiprotocole (NFS et SMB)

Pour utiliser un KDC basé sur Windows sans utiliser le compte du serveur SMB sur le serveur NAS, suivez la procédure ci-dessous avant

de configurer Kerberos dans PowerStore. Elle part du principe que vous souhaitez utiliser myrealm.windows.dellemc.com en tant que nom

de domaine complet du serveur NFS.

1. Créez un compte myrealm pour le serveur NAS dans Active Directory (AD) du domaine Windows windows.dellemc.com.

Créer des serveurs NAS