Reference Guide
SSH 授权
服务帐户基于以下因素进行授权:
● 应用程序隔离 — PowerStore 软件使用可隔离应用程序的容器技术。服务容器提供了设备服务的访问权限,只有一组服务脚本和
一组 Linux 命令可用。服务帐户无法访问向用户提供文件系统和数据块 I/O 的其他容器。
● Linux 文件系统权限 — 以任何方式修改系统操作的大多数 Linux 工具和应用程序对于服务用户不可用,需要超级用户帐户权限。
由于服务帐户没有此类访问权限,因此它无法使用需要拥有对其的执行权限才能使用的 Linux 工具和应用工具,也无法编辑需要
root 访问权限才能读取或修改或执行上述两种操作的配置文件。
● 访问控制 — 除了容器技术提供的应用程序隔离之外,设备上的访问控制列表 (ACL) 机制会使用非常具体的规则列表来明确授予
或拒绝服务帐户对系统资源的访问权限。这些规则会指定服务帐户对设备其他方面的权限,这些权限并未由标准 Linux 文件系统
权限另行定义。
设备服务脚本
设备的软件版本上安装了一组问题诊断、系统配置和系统恢复脚本。这些脚本可提供深层次的信息,还可提供比 PowerStore
Manager 级别更低的系统控制。PowerStore Service Scripts Guide 介绍了这些脚本及其常见应用场景。
设备节点以太网服务端口和 IPMItool
您的设备通过每个节点上的以太网服务端口提供控制台访问权限。这一访问需要使用 IPMItool。IPMItool 是一种类似于 SSH 或 Telnet
的网络工具,使用 IPMI 协议通过以太网与每个节点连接。IPMItool 是一款 Windows 实用程序,会通过安全通信通道访问设备的节点
控制台。此实用程序需要实体访问以激活控制台。
节点以太网服务端口接口提供与服务 SSH 接口(服务 LAN 接口)相同的功能和特性,而且还受到相同的限制。但用户是通过以太网
端口连接来访问接口的,而不是通过 SSH 客户端。此接口专为现场服务人员设计,他们可连接到设备而不必中断网络。无需专用管
理控制台。
此接口提供不可路由的直接点对点连接。服务人员可将服务 LAN 接口用于控制台输出,通过 SSH 访问 PowerStore Service Container
和 PowerStore Manager,包括 ICW(初始配置向导)。始终支持通过服务 LAN 接口对 Service Container 进行 SSH 访问,并且不能
禁用;但您可以管理服务帐户凭据。
有关服务脚本的列表,请参阅 PowerStore Service Scripts Guide。
NFS 安全
NFS 安全是通过 Kerberos 使用 NFSv3 和 NFSv4 对用户进行身份认证。Kerberos 提供完整性(签名)和隐私(加密)。无需启用完
整性和隐私,它们是 NFS 导出选项。
如果没有 Kerberos,服务器会完全依赖于客户端对用户进行身份认证:服务器信任客户端。如果使用 Kerberos,则情况并非如此,
服务器将信任密钥发行中心 (KDC)。将由 KDC 处理身份认证并管理帐户(主体)和密码。此外,不会以任何形式在线路中发送密
码。
如果没有 Kerberos,将在未加密的线路中发送用户的凭据,因而可以轻松地假冒。如果使用 Kerberos,用户的身份(主体)将包括
在加密的 Kerberos 票证中,只能由目标服务器和 KDC 读取。只有它们知道加密密钥。
在与 NFS 安全结合使用时,支持 Kerberos 中的 AES128 和 AES256 加密。与 NFS 安全一起,这还会影响 SMB 和 LDAP。这些加密
现在默认受 Windows 和 Linux 支持。这些新加密更安全;但是,是否使用它们由客户端决定。从这一用户主体,服务器将通过查询
活动 Unix Directory Service (UDS) 来生成该用户的凭据。由于 NIS 未设安全保护,因此建议不要将其与 NFS 安全结合使用。建议将
Kerberos 与 LDAP 或 LDAPS 结合使用。
可以通过 PowerStore Manager 配置 NFS 安全访问。
文件协议关系
使用 Kerberos 需要以下内容:
● DNS — 您必须使用 DNS 名称,而不是 IP 地址
● NTP — PowerStore 必须配置 NTP 服务器。
16
身份验证和访问