Users Guide
配置 FTP 或 SFTP 共享协议
仅可为现有 NAS 服务器配置 FTP 或 FTP over SSH (SFTP) 设置。
被动模式 FTP 不受支持。
可以使用与 NFS 相同的方法对 FTP 访问进行身份验证。身份验证完成后,访问与 NFS 相同以实现安全和权限目的。如果格式不是
user@domain 或 domain\user,则使用 NFS 身份验证。NFS 身份验证使用本地文件、LDAP、NIS 或具有 LDAP 或 NIS 的本地文
件。
要使用本地文件进行 NFS、FTP 访问,passwd 文件必须包括用户的已加密密码。此密码仅用于 FTP 访问。passwd 文件使用与标
准 Unix 系统相同的格式和语法,您可以利用它生成本地 passwd 文件。在 Unix 系统上,使用 useradd 添加新用户,使用 passwd
为该用户设置密码。然后,从 /etc/shadow 文件复制经过哈希处理的密码,将其添加到 /etc/passwd 文件中的第二个字段,然
后将 /etc/passwd 文件上传到 NAS 服务器。
1. 选择 Storage > NAS Servers > [nas server] > Sharing Protocols > FTP 选项卡。
2. 在 FTP 下,如果“Disabled”处于开启状态,请滑动按钮以 Enable。
3. 还可以选择启用 SSH FTP。在 SFTP 下,如果“Disabled”处于开启状态,请滑动按钮以 Enable。
4. 在 Under FTP/SFTP Server Access 下,选择哪种类型的已通过身份验证的用户有权访问文件。
5. (可选)显示 Home Directory and Audit 选项。
● 选择或清除 Home directory restrictions。如果已禁用,请输入 Default home directory。
● 选择或清除 Enable FTP/SFTP Auditing。如果已选中,请输入保存审核文件的目录位置和允许的审核文件的最大大小。
6. (可选)显示消息,并输入默认欢迎消息和该天的消息。
7. (可选)显示访问控制列表以允许或拒绝访问筛选的用户、筛选的组和筛选的主机。
8. 单击 Apply。
为 NAS 服务器安全性配置 Kerberos
您可以配置具有 Kerberos 的 NAS 服务器。
Kerberos 是一种分布式身份认证服务,设计用于提供使用密钥加密技术的强大身份验证功能。它的原理基于“票据”,允许节点通
过非安全网络通信以一种安全方式证明它们的身份。当配置用作安全 NFS 服务器时,NAS 服务器将使用 RPCSEC_GSS 安全框架和
Kerberos 身份认证协议来验证用户和服务。
如果 NAS 服务器仅配置了 NFS,并且您正在配置具有 Kerberos 的安全 NFS 或 LDAP,则在 PowerStore 中配置安全性之前,必须先
配置具有自定义领域的 Kerberos。
如果 NAS 服务器配置了 NFS 和 SMB 协议,则您可以选择使用自从域加入 SMB 服务器起存在于 NAS 服务器上的随 AD 继承的
Kerberos。
存储系统必须使用 NTP 服务器进行配置。Kerberos 依赖于 KDC、服务器和网络客户端之间的正确时间同步。
为安全 NFS 配置 Kerberos
如果您要为安全 NFS 配置 Kerberos,请注意以下要求:
● 如果仅为 NFS 配置 NAS 服务器,则必须使用自定义领域配置 NAS 服务器。如果已使用 NFS 和 SMB 配置 NAS 服务器,则可以
使用 AD 或自定义领域。
● 建议使用采用 Kerberos 的 LDAPS 或 LDAP 以提高安全性。
● 必须在 NAS 服务器级别配置 DNS 服务器。Kerberos 领域的所有成员(包括 KDC、NFS 服务器和 NFS 客户端)必须在 DNS 服务
器中进行注册。
● NFS 客户端的主机名 FQDN 和 NAS 服务器 FQDN 必须在 DNS 服务器中进行注册。客户端和服务器必须能够将 Kerberos 领域
FQDN 的所有成员解析为 IP 地址。
● NFS 客户端的 SPN 的 FQDN 部分必须在 DNS 服务器中进行注册。
● 配置安全 NFS 时,必须将 Keytab 文件上传到 NAS 服务器。
创建 NAS 服务器 11