Reference Guide
A segurança NFS pode ser configurada usando o PowerStore Manager.
Relações do protocolo de arquivo
Com o Kerberos é necessário o seguinte:
● DNS - Você deve usar o nome DNS em vez de endereços IP.
● NTP- O PowerStore deve ter um servidor de NTP configurado.
NOTA: Kerberos conta com a sincronização de hora correta entre o Key Distribution Center, servidores e o client na rede.
● UDS - Para criar credenciais.
● Nome de host - O Kerberos funciona com nomes e não com endereços IP.
A segurança NFS usa um ou dois SPNs (Service Principal Names, nomes principais de serviço), dependendo do valor do nome de host. Se
o nome de host estiver no formato FQDN no domínio do host:
● O SPN curto: nfs/host@REALM
● O SPN longo: nfs/host.domainFQDN@REALM
Se o nome de host não estiver no formato FQDN, somente o SPN curto será usado.
Da mesma forma que o SMB, em que um servidor SMB pode ingressar em um domínio, um servidor NFS pode ingressar em um realm (o
termo Kerberos equivalente para domínio). Existem duas opções para isso:
● usar o domínio do Windows configurado, se houver
● configurar totalmente um KDC do UNIX com base em realm Kerberos
Se o administrador escolher usar o domínio do Windows configurado, não há nada mais a fazer. Cada SPN usado pelo serviço NFS é
automaticamente adicionado ou removido no KDC ao associar/retirar o servidor SMB. Observe que o servidor SMB não pode ser
destruído se NFS seguro for configurado para usar a configuração do SMB.
Se o administrador selecionar para usar um UNIX com base em realm Kerberos, será necessária configuração adicional:
● Nome do realm: o nome do realm Kerberos, que geralmente é escrito em letras maiúsculas.
● configurar totalmente um KDC do UNIX com base em realm Kerberos.
Para garantir que um client monta uma exportação NFS com uma segurança específica, um parâmetro de segurança, sec, é fornecido,
indicando qual a segurança mínima é permitida. Existem 4 tipos de segurança:
● AUTH_SYS: Segurança preexistente padrão, que não usa Kerberos. O servidor confia na credencial fornecida pelo client
● KRB5: Autenticação usando Kerberos v5
● KRB5i: Autenticação Kerberos mais integridade (assinatura)
● KRB5p: Autenticação Kerberos mais integridade e privacidade (criptografia)
Se um client NFS tentar montar uma exportação com uma segurança que é menor do que a segurança mínima configurada, o acesso será
negado. Por exemplo, se o acesso mínimo for KRB5i, qualquer montagem usando AUTH_SYS ou KRB5 será rejeitada.
Criando uma credencial
Quando um usuário se conecta ao sistema, ele apresenta somente a principal, user@REALM, que é extraída do tíquete Kerberos. Ao
contrário da segurança AUTH_SYS, a credencial não está incluída na solicitação NFS. Da principal, a parte do usuário (antes da @) é
extraída e usada para pesquisar o UDS para o ID exclusivo correspondente. Desse ID exclusivo, a credencial é criada pelo sistema usando o
UDS ativo, semelhante a quando a credencial estendida NFS está habilitada (com a exceção de que, sem o Kerberos, o ID exclusivo é
fornecido diretamente pela solicitação).
Se a principal não estiver mapeada no UDS, a credencial de usuário do UNIX padrão configurada é usada em vez disso. Se o usuário UNIX
padrão não estiver definido, a credencial usada será ninguém.
Segurança em objetos do file system
Em um ambiente de vários protocolos, a política de segurança é definida no nível do file system e é independente para cada file system.
Cada sistema de armazenamento usa suas políticas de acesso para determinar como reconciliar as diferenças entre a semântica de
controle de acesso de NFS e SMB. Selecionar uma política de acesso determina qual mecanismo é usado para aplicar a segurança do
arquivo no file system específico.
Autenticação e acesso
19