Wie das Storage-System Null-Session-Zugriff ermöglicht
Da Null-Session-Shares keine Authentifizierung erfordern, müssen Clients, die einen Null-Session-Zugriff benötigen, ihre IP-Adressen auf dem Speichersystem zugeordnet sein.
Standardmäßig können nicht zugeordnete Null-Session-Clients auf bestimmte ONTAP Systemservices wie beispielsweise Share-Enumeration zugreifen. Der Zugriff auf alle Storage-Systemdaten ist jedoch eingeschränkt.
ONTAP unterstützt Windows RestrictAnonymous Registry-Einstellungswerte mit der |
Wenn nicht anders konfiguriert, ist ein Client, der einen lokalen Prozess ausführt, der Zugriff auf das Storage-System über eine Null-Sitzung anfordert, nur Mitglied nicht restriktiver Gruppen, wie „everyone
“. Um den Null-Session-Zugriff auf ausgewählte Speichersystemressourcen einzuschränken, möchten Sie möglicherweise eine Gruppe erstellen, der alle Null-Session-Clients angehören. Durch das Erstellen dieser Gruppe können Sie den Zugriff auf das Speichersystem einschränken und Berechtigungen für Speichersystemressourcen festlegen, die speziell auf Null-Session-Clients angewendet werden.
ONTAP bietet eine Zuordnungssyntax im vserver name-mapping
Befehlssatz, um die IP-Adresse von Clients anzugeben, die über eine Null-Benutzersitzung auf Speicherressourcen zugreifen dürfen. Nachdem Sie eine Gruppe für Null-Benutzer erstellt haben, können Sie Zugriffsbeschränkungen für Speicherressourcen des Speichersystems und Ressourcenberechtigungen festlegen, die nur für Null-Sessions gelten. Null-Benutzer wird als anonyme Anmeldung identifiziert. Null-Benutzer haben keinen Zugriff auf ein Home-Verzeichnis.
Jeder Null-Benutzer, der von einer zugeordneten IP-Adresse auf das Speichersystem zugreift, erhält zugewiesene Benutzerberechtigungen. Ziehen Sie geeignete Vorsichtsmaßnahmen in Betracht, um unerlaubten Zugriff auf Speichersysteme zu verhindern, die mit Null-Benutzern in Verbindung stehen. Stellen Sie das Storage-System und alle Clients, die keinen Zugriff auf das Speichersystem eines Benutzers benötigen, auf ein separates Netzwerk, um die Möglichkeit von IP-Adressen „spoofing
“ zu eliminieren.
Konfigurieren von Zugriffsbeschränkungen für anonyme Benutzer