Reference Guide

SSH 授权

服务帐户基于以下因素进行授权：

● 应用程序隔离 — PowerStore 软件使用可隔离应用程序的容器技术。服务容器提供了设备服务的访问权限，只有一组服务脚本和

一组 Linux 命令可用。服务帐户无法访问向用户提供文件系统和数据块 I/O 的其他容器。

● Linux 文件系统权限 — 以任何方式修改系统操作的大多数 Linux 工具和应用程序对于服务用户不可用，需要超级用户帐户权限。

由于服务帐户没有此类访问权限，因此它无法使用需要拥有对其的执行权限才能使用的 Linux 工具和应用工具，也无法编辑需要

root 访问权限才能读取或修改或执行上述两种操作的配置文件。

● 访问控制 — 除了容器技术提供的应用程序隔离之外，设备上的访问控制列表 (ACL) 机制会使用非常具体的规则列表来明确授予

或拒绝服务帐户对系统资源的访问权限。这些规则会指定服务帐户对设备其他方面的权限，这些权限并未由标准 Linux 文件系统

权限另行定义。

设备服务脚本

设备的软件版本上安装了一组问题诊断、系统配置和系统恢复脚本。这些脚本可提供深层次的信息，还可提供比 PowerStore

Manager 级别更低的系统控制。PowerStore Service Scripts Guide 介绍了这些脚本及其常见应用场景。

设备节点以太网服务端口和 IPMItool

您的设备通过每个节点上的以太网服务端口提供控制台访问权限。这一访问需要使用 IPMItool。IPMItool 是一种类似于 SSH 或 Telnet

的网络工具，使用 IPMI 协议通过以太网与每个节点连接。IPMItool 是一款 Windows 实用程序，会通过安全通信通道访问设备的节点

控制台。此实用程序需要实体访问以激活控制台。

节点以太网服务端口接口提供与服务 SSH 接口（服务 LAN 接口）相同的功能和特性，而且还受到相同的限制。但用户是通过以太网

端口连接来访问接口的，而不是通过 SSH 客户端。此接口专为现场服务人员设计，他们可连接到设备而不必中断网络。无需专用管

理控制台。

此接口提供不可路由的直接点对点连接。服务人员可将服务 LAN 接口用于控制台输出，通过 SSH 访问 PowerStore Service Container

和 PowerStore Manager，包括 ICW（初始配置向导）。始终支持通过服务 LAN 接口对 Service Container 进行 SSH 访问，并且不能

禁用；但您可以管理服务帐户凭据。

有关服务脚本的列表，请参阅 PowerStore Service Scripts Guide。

NFS 安全

NFS 安全是通过 Kerberos 使用 NFSv3 和 NFSv4 对用户进行身份认证。Kerberos 提供完整性（签名）和隐私（加密）。无需启用完

整性和隐私，它们是 NFS 导出选项。

如果没有 Kerberos，服务器会完全依赖于客户端对用户进行身份认证：服务器信任客户端。如果使用 Kerberos，则情况并非如此，

服务器将信任密钥发行中心 (KDC)。将由 KDC 处理身份认证并管理帐户（主体）和密码。此外，不会以任何形式在线路中发送密

码。

如果没有 Kerberos，将在未加密的线路中发送用户的凭据，因而可以轻松地假冒。如果使用 Kerberos，用户的身份（主体）将包括

在加密的 Kerberos 票证中，只能由目标服务器和 KDC 读取。只有它们知道加密密钥。

在与 NFS 安全结合使用时，支持 Kerberos 中的 AES128 和 AES256 加密。与 NFS 安全一起，这还会影响 SMB 和 LDAP。这些加密

现在默认受 Windows 和 Linux 支持。这些新加密更安全；但是，是否使用它们由客户端决定。从这一用户主体，服务器将通过查询

活动 Unix Directory Service (UDS) 来生成该用户的凭据。由于 NIS 未设安全保护，因此建议不要将其与 NFS 安全结合使用。建议将

Kerberos 与 LDAP 或 LDAPS 结合使用。

可以通过 PowerStore Manager 配置 NFS 安全访问。

文件协议关系

使用 Kerberos 需要以下内容：

● DNS — 您必须使用 DNS 名称，而不是 IP 地址

● NTP — PowerStore 必须配置 NTP 服务器。

身份验证和访问