Manualshelf

Reference Guide

ManualsBrandsDell ManualsCompellent (SCPowerStore 9000T
11121314151617181920
NOTA: Se o protocolo SMB1 mais antigo precisar ser compatível com seu ambiente, ele poderá ser ativado por meio do comando de
serviço svc_nas_cifssupport. Para obter mais informações sobre este comando de serviço, consulte o PowerStore Service
Scripts Guide.
Modelo de segurança UNIX
Quando a política do UNIX é selecionada, qualquer tentativa de alterar a segurança em nível de arquivo do protocolo SMB, como
alterações em ACLs (Access Control Lists, listas de controle de acesso), é ignorada. Os direitos de acesso do UNIX são chamados de bits
de modo ou ACL de NFSv4 dos objetos de um file system. Bits de modo são representados por uma string de bits. Cada bit representa um
modo de acesso ou privilégio concedido ao usuário proprietário do arquivo, ao grupo associado ao objeto do file system e a todos os outros
usuários. Os bits de modo do UNIX são representados como três conjuntos de definições rwx (leitura, gravação e execução)
concatenadas para cada categoria de usuários (usuário, grupo ou outros). Uma ACL é uma lista de usuários e grupos de usuários pela qual
o acesso ou a negação aos serviços é controlada.
Modelo de segurança Windows
O modelo de segurança do Windows é baseado principalmente nos direitos de objeto, que envolvem o uso de um SD (Security Descriptor,
descritor de segurança) e sua ACL (Access Control List, lista de controle de acesso). Quando a política de SMB é selecionada, as
alterações feitas nos bits de modo do protocolo NFS são ignoradas.
O acesso a um objeto do file system é baseado no fato de as permissões terem sido definidas para permitir ou negar por meio do uso de
um descritor de segurança. O SD descreve o proprietário do objeto e os SIDs dos grupos do objeto, além de suas ACLs. A ACL faz parte
do descritor de segurança de cada objeto. Cada ACL contém entradas de controle de acesso (ACEs). Cada ACE, por sua vez, contém um
único SID, que identifica um usuário, grupo ou computador, e uma lista de direitos negados ou permitidos para esse SID.
Acesso a file systems em um ambiente multiprotocolo
O acesso a arquivos é oferecido por meio de servidores NAS. Um servidor NAS contém um conjunto de file systems em que os dados são
armazenados. O servidor NAS fornece acesso a esses dados para protocolos de arquivos NFS e SMB por meio de compartilhamentos
SMB e NFS. O modo de servidor NAS no compartilhamento de vários protocolos permite o compartilhamento dos mesmos dados entre
SMB e NFS. Como o modo de compartilhamento de vários protocolos proporciona acesso simultâneo por SMB e NFS a um file system,
devem ser levados em consideração e configurados corretamente o mapeamento de usuários do Windows para usuários do UNIX e a
definição das regras de segurança a serem usadas (bits de modo, ACL e credenciais de usuários) para o compartilhamento de vários
protocolos.
NOTA:
Para obter informações sobre como configurar e gerenciar servidores NAS no que se refere a compartilhamento de vários
protocolos, mapeamento de usuários, políticas de acesso e credenciais de usuário, consulte a ajuda on-line do PowerStore Manager.
Mapeamento de usuários
Em um contexto multiprotocolo, um usuário Windows precisa ter um usuário UNIX correspondente. No entanto, um usuário UNIX precisa
ser associado a um usuário do Windows somente quando a política de acesso é Windows. Essa correspondência é necessária para que a
segurança do file system possa ser aplicada, mesmo se não for nativa para o protocolo. Os seguintes componentes são envolvidos no
mapeamento de usuários:
Serviços de diretório do UNIX, arquivos locais, ou ambos
Solucionadores Windows
Mapeamento seguro (secmap) - um cache que contém todos os mapeamentos entre SIDs e UID ou GIDs usados por um servidor NAS.
ntxmap
NOTA: O mapeamento de usuário não afeta os usuários ou grupos que são locais para o servidor SMB.
Serviços de diretório do UNIX e arquivos locais
Os UDS (UNIX Directory Services, serviços de diretórios do UNIX) e arquivos locais são usados para:
Retornar o nome da conta UNIX correspondente para um ID de usuário (UID) em particular.
Retornar o UID correspondente e o identificador de grupo primário (GID) para um nome de conta UNIX em particular.
20
Autenticação e acesso