Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Client-Authentifizierung und -Autorisierung

Beitragende

ONTAP nutzt Standardmethoden, um den Zugriff von Clients und Administratoren auf den Storage zu sichern und gegen Viren zu schützen. Fortschrittliche Technologien stehen zur Verschlüsselung von Daten im Ruhezustand und ALS WORM Storage zur Verfügung.

ONTAP authentifiziert einen Client-Computer und einen Benutzer, indem die Identität mit einer vertrauenswürdigen Quelle überprüft wird. ONTAP autorisiert einen Benutzer für den Zugriff auf eine Datei oder ein Verzeichnis, indem die Anmeldeinformationen des Benutzers mit den für die Datei oder das Verzeichnis konfigurierten Berechtigungen verglichen werden.

Authentifizierung

Sie können lokale oder Remote-Benutzerkonten erstellen:

  • Bei einem lokalen Konto handelt es sich um ein Konto, in dem die Kontoinformationen auf dem Speichersystem gespeichert sind.

  • Bei einem Remote-Konto werden Kontoinformationen auf einem Active Directory-Domänencontroller, einem LDAP-Server oder einem NIS-Server gespeichert.

ONTAP verwendet lokale oder externe Namensdienste, um Informationen zur Zuordnung von Host-Namen, Benutzer, Gruppe, Netzgruppe und Namen abzurufen. ONTAP unterstützt folgende Namensdienste:

  • Lokale Benutzer

  • DNS

  • Externe NIS-Domänen

  • Externe LDAP-Domänen

Eine Switch-Tabelle Name Service gibt die Quellen für die Suche nach Netzwerkinformationen und die Reihenfolge an, in der sie durchsucht werden sollen (Bereitstellung der entsprechenden Funktionalität der Datei /etc/nsswitch.conf auf UNIX-Systemen). Wenn ein NAS-Client eine Verbindung zur SVM herstellt, überprüft ONTAP die angegebenen Namensservices, um die erforderlichen Informationen abzurufen.

Kerberos-Unterstützung Kerberos ist ein Netzwerk-Authentifizierungsprotokoll, das durch Verschlüsselung von Benutzerpasswörtern in Client-Server-Implementierungen “sTrong Authentication” bereitstellt. ONTAP unterstützt Kerberos 5-Authentifizierung mit Integritätsprüfung (krb5i) und Kerberos 5-Authentifizierung mit Datenschutzprüfung (krb5p).

Autorisierung

ONTAP bewertet drei Sicherheitsstufen, um zu ermitteln, ob eine Einheit autorisiert ist, eine angeforderte Aktion für Dateien und Verzeichnisse, die sich auf einer SVM befinden, durchzuführen. Der Zugriff wird durch die effektiven Berechtigungen nach Auswertung der Sicherheitsstufen bestimmt:

  • Exportsicherheit (NFS) und Freigabe (SMB)

    Die Export- und Share-Sicherheit gilt für den Client-Zugriff auf einen bestimmten NFS-Export oder eine bestimmte SMB-Freigabe. Benutzer mit Administratorrechten können die Sicherheit von Export- und Share-Ebene über SMB- und NFS-Clients managen.

  • Sicherheit von Datei- und Verzeichnisdateien auf Storage-Ebene

    Die Sicherheit der Storage-Level Access Guard-Lösung gilt für den Zugriff von SMB- und NFS-Clients auf SVM Volumes. Es werden nur NTFS-Zugriffsberechtigungen unterstützt. Damit ONTAP auf UNIX-Benutzern Sicherheitsüberprüfungen für den Zugriff auf Daten auf Volumes durchführen kann, für die der Storage-Level Access Guard angewendet wurde, muss der UNIX-Benutzer einem Windows-Benutzer auf der SVM, der auch Eigentümer des Volumes ist, zuordnen.

  • Native Sicherheit auf Dateiebene durch NTFS, UNIX und NFSv4

    Die Datei oder das Verzeichnis, die das Storage-Objekt repräsentieren, enthält native Sicherheit auf Dateiebene. Sie können die Sicherheit auf Dateiebene von einem Client aus festlegen. Die Dateiberechtigungen haben unabhängig davon, ob SMB oder NFS für den Zugriff auf die Daten verwendet wird.

Authentifizierung mit SAML

ONTAP unterstützt Security Assertion Markup Language (SAML) zur Authentifizierung von Remote-Benutzern. Es werden mehrere beliebte Identitätsanbieter (IDPs) unterstützt. Weitere Informationen zu unterstützten IDPs und Anweisungen zum Aktivieren der SAML-Authentifizierung finden Sie unter "Konfigurieren Sie die SAML-Authentifizierung".

OAuth 2.0 mit ONTAP REST-API-Clients

Die Unterstützung für das Open Authorization-Framework (OAuth 2.0) ist ab ONTAP 9.14 verfügbar. Sie können OAuth 2.0 nur verwenden, um Autorisierungs- und Zugriffsentscheidungen zu treffen, wenn der Client die REST-API für den Zugriff auf ONTAP verwendet. Sie können die Funktion jedoch mit jeder der ONTAP-Administrationsschnittstellen konfigurieren und aktivieren, einschließlich der CLI, System Manager und REST API.

Die Standard-OAuth 2.0-Funktionen werden zusammen mit mehreren gängigen Autorisierungsservern unterstützt. Sie können die ONTAP-Sicherheit weiter verbessern, indem Sie auf gegenseitigem TLS basierende Zugriffstoken mit Senderbeschränkungen verwenden. Darüber hinaus steht eine Vielzahl von Autorisierungsoptionen zur Verfügung, darunter in sich geschlossene Bereiche sowie die Integration in die ONTAP REST-Rollen und lokale Benutzerdefinitionen. Weitere Informationen finden Sie unter "Überblick über die Implementierung von ONTAP OAuth 2.0" .