Reference Guide

ManualsBrandsDell ManualsCompellent (SCPowerStore 3000T

Políticas de acesso para NFS, SMB e FTP

Em um ambiente multiprotocolo, o sistema de armazenamento usa políticas de acesso de file systems para gerenciar o controle de acesso

de seus file systems. Há dois tipos de segurança, UNIX e Windows.

Para autenticação de segurança do UNIX, a credencial é criada a partir dos serviços de diretório UNIX (UDS), com a exceção de acesso de

NFS não seguro, onde a credencial é fornecida pelo client do host. Os direitos do usuário são determinados pelos bits de modo e ACL de

NFSv4. Os identificadores de usuário e de grupo (UID e GID, respectivamente) são usados para a identificação. Não há privilégio associado

à segurança do UNIX.

Na autenticação de segurança do Windows, a credencial é criada pelo controlador de domínio (DC) do Windows e um banco de dados de

grupo local (LGDB) do servidor SMB. Os direitos do usuário são determinados pelas ACLs do SMB. O identificador de segurança (SID) é

usado para identificação. Existem privilégios associados à segurança do Windows, como TakeOwnership, Backup e Restore, que são

concedidos pelo LGDB ou GPO (Group Policy Object, objeto de política de grupo) do servidor SMB.

A seguinte tabela descreve as políticas de acesso que definem qual segurança é usada por quais protocolos:

Access policy Descrição

Nativa (padrão)

● Cada protocolo gerencia o acesso com a respectiva segurança nativa.

● A segurança dos compartilhamentos NFS usa a credencial do UNIX associada à solicitação para verificar os bits de

modo do UNIX NFSv3 ou da ACL do NFSv4. O acesso é então concedido ou negado.

● A segurança dos compartilhamentos SMB usa a credencial do Windows associada à solicitação para verificar a

ACL de SMB. O acesso é então concedido ou negado.

● Os bits de modo do UNIX NFSv3 e as alterações de permissão da ACL NFSv4 são sincronizados entre si.

● Não há nenhuma sincronização entre as permissões do Unix e do Windows.

Windows

● Protege o acesso em nível de arquivo do Windows e UNIX usando a segurança do Windows.

● Usa uma credencial do Windows para verificar a ACL de SMB.

● As permissões dos arquivos recém-criados são determinadas por uma conversão da ACL de SMB. As alterações de

permissão da ACL de SMB são sincronizadas com os bits de modo do UNIX NFSv3 ou ACL NFSv4.

● Os bits de modo de NFSv3 e as alterações de permissão da ACL NFSv4 são negados.

UNIX

● Protege o acesso em nível de arquivo do Windows e UNIX usando a segurança do UNIX.

● Mediante a solicitação de acesso do SMB, a credencial do UNIX criada a partir dos arquivos locais ou UDS é usada

para verificar os bits de modo de NFSv3 ou ACL NFSv4 quanto às permissões.

● As permissões dos arquivos recém-criados são determinadas por UMASK.

● Os bits de modo do UNIX NFSv3 ou as alterações de permissão da ACL NFSv4 são sincronizados com a ACL de

SMB.

● As alterações de permissão da ACL de SMB são permitidas para evitar interrupções, mas essas permissões não são

mantidas.

No caso de FTP, a autenticação com Windows ou UNIX depende do formato do nome de usuário usado ao autenticar para o servidor NAS.

Se a autenticação do Windows é usada, o controle de acesso ao FTP é semelhante ao do SMB. Caso contrário, a autenticação é

semelhante à do NFS. Os clientes de FTP e de SFTP são autenticados quando se conectam ao servidor NAS. Pode ser uma autenticação

SMB (quando o formato do nome de usuário é domain\user ou user@domain) ou uma autenticação UNIX (para outros formatos de

nome de usuário único). A autenticação SMB é garantida pelo DC Windows do domínio definido no servidor NAS. A autenticação UNIX é

garantida pelo DM de acordo com a senha criptografada armazenada em um servidor LDAP remoto, um servidor NIS remoto ou no

arquivo local de senha do servidor NAS.

Credenciais para segurança em nível de arquivo

Para impor a segurança em nível de arquivo, o sistema de armazenamento deve criar uma credencial associada à solicitação SMB ou NFS

sendo manipulada. Há dois tipos de credenciais, Windows e UNIX. As credenciais do Windows e UNIX são criadas pelo servidor NAS para

os seguintes casos de uso:

● Para criar uma credencial do UNIX, com mais de 16 grupos para uma solicitação de NFS. A propriedade da credencial estendida do

servidor NAS deve ser definida para fornecer essa capacidade.

● Para criar uma credencial do UNIX para uma solicitação SMB quando a política de acesso para o file system é UNIX.

● Para criar uma credencial do Windows para uma solicitação de SMB.

● Para criar uma credencial de Windows para uma solicitação de NFS quando a política de acesso para o file system é Windows.

Autenticação e acesso