NFS-Sicherung
Exportregeln sind die funktionalen Elemente einer Exportrichtlinie. Die Exportregeln richten sich nach Client-Zugriffsanforderungen für ein Volume anhand bestimmter Parameter, die Sie konfigurieren, um zu bestimmen, wie mit den Clientzugriffsanfragen umzugehen ist. Eine Exportrichtlinie muss mindestens eine Exportregel enthalten, um den Zugriff auf Clients zu ermöglichen. Wenn eine Exportrichtlinie mehrere Regeln enthält, werden die Regeln in der Reihenfolge verarbeitet, in der sie in der Exportrichtlinie angezeigt werden.
Zugriffssteuerung ist ein zentraler Bestandteil des Sicherheitsstatus. Daher verwendet ONTAP die Funktion für die Exportrichtlinie, um den Zugriff auf NFS-Volumes auf Clients zu beschränken, die mit bestimmten Parametern übereinstimmen. Exportrichtlinien enthalten mindestens eine Exportregel, die jede Clientzugriffsanforderung verarbeitet. Jedem Volume ist eine Exportrichtlinie zugeordnet, um den Client-Zugriff auf das Volume zu konfigurieren. Das Ergebnis dieses Prozesses legt fest, ob dem Client (mit einer Meldung, dass ihm die Berechtigung verweigert wird) der Zugriff auf das Volume gewährt oder verweigert wird. Dieser Prozess bestimmt auch, welche Zugriffsebene auf das Volume bereitgestellt wird.
Für den Zugriff auf Daten durch Clients muss auf einer SVM eine Exportrichtlinie mit Exportrichtlinien vorhanden sein. Eine SVM kann mehrere Exportrichtlinien enthalten. |
Die Regelreihenfolge wird durch die Indexnummer der Regel vorgegeben. Wenn eine Regel mit einem Client übereinstimmt, werden die Berechtigungen dieser Regel verwendet und keine weiteren Regeln verarbeitet. Stimmen keine Regeln überein, wird dem Client der Zugriff verweigert.
Exportregeln bestimmen Clientzugriffsberechtigungen, indem die folgenden Kriterien angewendet werden:
-
Das Dateizugriffsprotokoll, das vom Client verwendet wird, der die Anforderung sendet (z. B. NFSv4 oder SMB)
-
Eine Client-Kennung (z. B. Hostname oder IP-Adresse)
-
Der vom Client zur Authentifizierung verwendete Sicherheitstyp (z. B. Kerberos v5, NTLM oder AUTH_SYS)
Wenn in einer Regel mehrere Kriterien angegeben sind und der Client einem oder mehreren Kriterien nicht entspricht, gilt die Regel nicht.
Eine Beispielrichtlinie für den Export enthält eine Exportregel mit den folgenden Parametern:
-
-protocol nfs
-
-clientmatch 10.1.16.0/255.255.255.0
-
-rorule any
-
-rwrule any
Der Sicherheitstyp legt fest, welche Zugriffsebene ein Client erhält. Die drei Zugriffsebenen sind schreibgeschützt, Lesen/Schreiben und Superuser (für Clients mit der Benutzer-ID 0
). Da die vom Sicherheitstyp festgelegte Zugriffsebene in dieser Reihenfolge bewertet wird, müssen Sie die folgenden Regeln beachten:
Regeln für Parameter auf Zugriffsebene in Exportregeln
Für einen Client, um die folgenden Zugriffsebenen zu erhalten | Diese Zugriffsparameter müssen mit dem Sicherheitstyp des Clients übereinstimmen |
---|---|
Normaler Benutzer schreibgeschützt |
Schreibgeschützt ( |
Normaler Benutzer Lese-/Schreibzugriff |
Read-only( |
Schreibgeschützt für Superuser |
Read-only ( |
Superuser lesen und schreiben |
Read-only ( |
Die folgenden Sicherheitstypen sind für jeden der folgenden drei Zugriffsparameter gültig:
-
Alle
-
Keine
-
Nie
Diese Sicherheitstypen sind für die Verwendung mit dem -superuser
Parameter:
-
Krb5
-
ntlm
-
Sys
Regeln für Zugriffsparameter-Ergebnisse
Wenn der Sicherheitstyp des Clients … | Dann … | ||
---|---|---|---|
Stimmt mit einem Sicherheitstyp überein, der im Zugriffsparameter angegeben wurde. |
Der Client erhält Zugriff auf diese Ebene mit seiner eigenen Benutzer-ID. |
||
Stimmt nicht mit einem angegebenen Sicherheitstyp überein, aber der Zugriffsparameter enthält die Option |
Der Client erhält Zugriff auf diese Ebene und erhält den anonymen Benutzer mit der vom Parameter angegebenen Benutzer-ID |
||
Stimmt nicht mit einem angegebenen Sicherheitstyp überein, und der Zugriffsparameter enthält nicht die Option |
Der Client erhält keinen Zugriff auf diese Ebene.
|
Kerberos 5 und Krb5p
Ab ONTAP 9 wird die Kerberos 5-Authentifizierung mit dem Datenschutzdienst (krb5p) unterstützt. Der krbp5-Authentifizierungsmodus ist sicher und schützt mithilfe von Prüfsummen vor Datenmanipulation und -Ausspähung, um den gesamten Verkehr zwischen Client und Server zu verschlüsseln. Die ONTAP-Lösung unterstützt 128-Bit- und 256-Bit-AES-Verschlüsselung für Kerberos. Der Datenschutzservice umfasst die Überprüfung der Integrität der empfangenen Daten, die Authentifizierung von Benutzern und die Verschlüsselung von Daten vor der Übertragung.
Die krb5p-Option ist am häufigsten in der Exportrichtlinie vorhanden, wo sie als Verschlüsselungsoption festgelegt ist. Die krb5p-Authentifizierungsmethode kann als Authentifizierungsparameter verwendet werden, wie im folgenden Beispiel gezeigt:
cluster1::> vserver export-policy check-access -vserver vs1 -client-ip 10.22.32.42 -volume flex_vol -authentication-method krb5p -protocol nfs3 -access- type read