Autenticación y autorización de clientes
ONTAP usa métodos estándar para proteger el acceso de clientes y administradores al almacenamiento y para protegerse frente a virus. Existen tecnologías avanzadas para el cifrado de datos en reposo y para el almacenamiento WORM.
ONTAP autentica un equipo de cliente y un usuario al verificar sus identidades con un origen de confianza. ONTAP autoriza a un usuario a acceder a un archivo o directorio comparando las credenciales del usuario con los permisos configurados en el archivo o directorio.
Autenticación
Es posible crear cuentas de usuario locales o remotas:
-
Una cuenta local es una en la cual reside la información de la cuenta en el sistema de almacenamiento.
-
Una cuenta remota es aquella en la que la información de cuenta se almacena en un controlador de dominio de Active Directory, un servidor LDAP o un servidor NIS.
ONTAP utiliza servicios de nombres locales o externos para buscar información de asignación de nombres, usuarios, grupos, netgroup y nombres. ONTAP admite los siguientes servicios de nombres:
-
Usuarios locales
-
DNS
-
Dominios NIS externos
-
Dominios LDAP externos
A name service switch table especifica las fuentes que se deben buscar información de la red y el orden en el que buscar (proporcionando la funcionalidad equivalente del archivo /etc/nsswitch.conf en sistemas UNIX). Cuando un cliente NAS se conecta a la SVM, ONTAP comprueba los servicios de nombres especificados para obtener la información necesaria.
Kerberos support Kerberos es un protocolo de autenticación de red que proporciona "autenticación de programas" mediante el cifrado de contraseñas de usuario en implementaciones cliente-servidor. ONTAP admite la autenticación Kerberos 5 con comprobación de integridad (krb5i) y la autenticación Kerberos 5 con comprobación de privacidad (krb5p). |
Autorización
ONTAP evalúa tres niveles de seguridad para determinar si una entidad está autorizada para realizar una acción solicitada sobre archivos y directorios que residen en una SVM. El acceso se determina mediante los permisos efectivos después de evaluar los niveles de seguridad:
-
Seguridad de exportación (NFS) y uso compartido (SMB)
La seguridad de exportación y uso compartido se aplica al acceso de los clientes a una exportación NFS o un recurso compartido de SMB dado. Los usuarios con privilegios administrativos pueden gestionar la seguridad de exportación y nivel de recurso compartido desde clientes SMB y NFS.
-
Seguridad de directorio y archivos del protector de acceso a nivel de almacenamiento
La seguridad de protección de acceso a nivel de almacenamiento se aplica al acceso de clientes SMB y NFS a volúmenes de SVM. Sólo se admiten permisos de acceso NTFS. Para que ONTAP realice comprobaciones de seguridad en los usuarios de UNIX con el fin de acceder a los datos de los volúmenes para los que se ha aplicado la protección de acceso a nivel de almacenamiento, el usuario de UNIX debe asignar a un usuario de Windows en la SVM propietaria del volumen.
-
Seguridad nativa a nivel de archivo de NTFS, UNIX y NFSv4
Existe una seguridad nativa a nivel de archivo en el archivo o directorio que representa el objeto de almacenamiento. Puede establecer la seguridad a nivel de archivo desde un cliente. Los permisos de archivos son efectivos independientemente de si se utiliza SMB o NFS para acceder a los datos.
Autenticación con SAML
ONTAP admite el lenguaje de marcado de aserción de seguridad (SAML) para la autenticación de usuarios remotos. Se admiten varios proveedores de identidad (IDPs) populares. Para obtener más información sobre los IDP admitidos e instrucciones para habilitar la autenticación SAML, consulte "Configurar la autenticación SAML".
OAuth 2,0 con clientes API REST DE ONTAP
La compatibilidad con el marco de autorización abierta (OAuth 2,0) está disponible a partir de ONTAP 9,14. Solo puede usar OAuth 2,0 para tomar decisiones de autorización y control de acceso cuando el cliente usa la API REST para acceder a ONTAP. Sin embargo, puede configurar y habilitar la función con cualquiera de las interfaces de administración de ONTAP, incluidas la interfaz de línea de comandos, System Manager y la API de REST.
Las capacidades estándar de OAuth 2,0 son compatibles junto con varios servidores de autorización populares. Puede mejorar aún más la seguridad de ONTAP mediante el uso de tokens de acceso restringidos por el remitente basados en TLS mutuo. Además, existe una gran variedad de opciones de autorización disponibles, incluidos ámbitos independientes y la integración con los roles REST DE ONTAP y definiciones de usuarios locales. Consulte "Descripción general de la implementación de ONTAP OAuth 2,0" si quiere más información.