Manualshelf

Reference Guide

ManualsBrandsDell ManualsCompellent (SCPowerStore 9000T
11121314151617181920
Vollständiges Konfigurieren eines UNIX-KDC-basierten Kerberos-Bereichs
Wenn sich der Administrator für die Verwendung der konfigurierten Windows-Domain entscheidet, muss er nichts weiter tun. Jeder vom
NFS-Service verwendete SPN wird automatisch dem KDC hinzugefügt/daraus entfernt, wenn der SMB-Server hinzugefügt/entfernt
wird. Beachten Sie, dass der SMB-Server nicht gelöscht werden kann, wenn NFS secure für die Verwendung der SMB-Konfiguration
konfiguriert ist.
Wenn sich der Administrator für die Verwendung eines UNIX-basierten Kerberos-Bereichs entscheidet, ist weiteres Konfigurieren
erforderlich:
Realm name (Bereichsname): Der Name des Kerberos-Bereichs, der in der Regel nur Großbuchstaben enthält.
Vollständiges Konfigurieren eines UNIX-KDC-basierten Kerberos-Bereichs
Um zu erreichen, dass ein Client einen NFS-Export mit einer bestimmten Sicherheit mountet, wird ein Sicherheitsparameter, sec,
bereitgestellt, der angibt, welche minimale Sicherheit zulässig ist. Es gibt 4 Arten von Sicherheit:
AUTH_SYS: Standardmäßige Legacy-Sicherheit, bei der Kerberos nicht verwendet wird. Der Server vertraut den vom Client
bereitgestellten Anmeldedaten.
KRB5: Authentifizierung mithilfe von Kerberos v5
KRB5i: Kerberos-Authentifizierung plus Integrität (Signatur)
KRB5p: Kerberos-Authentifizierung plus Integrität und Datenschutz (Verschlüsselung)
Wenn ein NFS-Client versucht, einen Export mit einer Sicherheit zu mounten, die niedriger als die konfigurierte minimale Sicherheit ist,
wird der Zugriff verweigert. Wenn beispielsweise der minimale Zugriff KRB5i ist, werden alle Mounts mit AUTH_SYS oder KRB5
abgelehnt.
Erstellen von Anmeldedaten
Wenn ein Nutzer eine Verbindung zu dem System herstellt, wird nur der Prinzipal user@REALM präsentiert, der aus dem Kerberos-Ticket
extrahiert wird. Im Gegensatz zur AUTH_SYS-Sicherheit sind die Zugangsdaten nicht in der NFS-Anforderung enthalten. Aus dem
Prinzipal wird der Benutzerteil (vor dem @) extrahiert und zur Suche nach dem UDS für die entsprechende Benutzer-ID verwendet. Aus
dieser Benutzer-ID werden vom System mithilfe eines aktiven UDS die Anmeldedaten erstellt, ähnlich wie bei aktiven erweiterten NFS-
Anmeldedaten (mit der Ausnahme, dass ohne Kerberos die UID direkt von der Anforderung bereitgestellt wird).
Wenn der Prinzipal in der UDS nicht zugeordnet ist, werden stattdessen die konfigurierten Standard-UNIX-Benutzeranmeldedaten
verwendet. Wenn der UNIX-Standardbenutzer nicht festgelegt ist, werden keine Anmeldedaten verwendet.
Sicherheit auf Dateisystemobjekten
In einer Umgebung mit Multiprotokoll wird die Sicherheits-Policy auf Dateisystemebene festgelegt und ist unabhängig für jedes
Dateisystem. Jedes Dateisystem verwendet seine Zugriffs-Policy, um die Zusammenführung der unterschiedlichen Semantiken der NFS-
und SMB-Zugriffskontrollen zu bestimmen. Die Auswahl einer Zugriffs-Policy bestimmt, welcher Mechanismus verwendet wird, um
Dateisicherheit auf dem jeweiligen Dateisystem durchzusetzen.
ANMERKUNG:
Wenn das ältere SMB1-Protokoll in Ihrer Umgebung unterstützt werden muss, kann es mithilfe des Servicebefehls
svc_nas_cifssupport aktiviert werden. Weitere Informationen zu diesem Befehl erhalten Sie im PowerStore Service Scripts
Guide.
Unix-Sicherheitsmodell
Wenn die Unix-Policy ausgewählt ist, werden alle Versuche, die Sicherheit auf Dateiebene vom SMB-Protokoll zu ändern, wie z. B.
Änderungen an Zugriffskontrolllisten (ACLs), ignoriert. Als Unix-Zugriffsrechte werden die Modusbits oder NFSv4-ACL eines
Dateisystemobjekts bezeichnet. Modusbits werden durch eine Bitfolge dargestellt. Jedes Bit stellt einen Zugriffsmodus oder eine
Berechtigung dar, die dem Benutzer, der Eigentümer der Datei ist, der Gruppe, die mit dem Dateisystemobjekt verbunden ist, und allen
anderen Benutzern zugeordnet ist. UNIX-Modusbits werden als drei Reihen verketteter rwx-Tripel (für Lesen, Schreiben und Ausführen)
für jede Kategorie von Benutzern (Benutzer, Gruppe oder andere) angezeigt. Eine Zugriffskontrollliste (ACL) ist eine Liste von Benutzern
und Benutzergruppen, durch die der Zugriff auf und die Ablehnung von Services gesteuert wird.
20
Authentifizierung und Zugriff