Información general sobre cómo utilizar Kerberos con NFS para una mayor seguridad
-
PDF de este sitio de documentos
- Administración de clústeres
-
Administración de volúmenes
-
Gestión de almacenamiento lógico con CLI
- Utilice cuotas para restringir o realizar un seguimiento del uso de los recursos
-
Gestión de almacenamiento lógico con CLI
-
Gestión del almacenamiento nas
- Configure NFS con la CLI
- Gestione NFS con la interfaz de línea de comandos
-
Gestione SMB con la interfaz de línea de comandos
- Gestione servidores SMB
- Gestione el acceso a archivos mediante SMB
- Gestión del almacenamiento san
- Autenticación y control de acceso
- Seguridad y cifrado de datos
-
Protección de datos y recuperación ante desastres
- Protección de datos con la interfaz de línea de comandos
Recopilación de documentos PDF independientes
Creating your file...
Si se utiliza Kerberos en su entorno para autenticación segura, debe trabajar con el administrador de Kerberos para determinar requisitos y configuraciones del sistema de almacenamiento apropiadas y, a continuación, habilitar la SVM como cliente Kerberos.
Su entorno debe cumplir las siguientes directrices:
-
La implementación de su sitio debe seguir las prácticas recomendadas para la configuración del servidor Kerberos y del cliente antes de configurar Kerberos para ONTAP.
-
Si es posible, utilice NFSv4 o posteriores si es necesaria la autenticación de Kerberos.
NFSv3 se puede utilizar con Kerberos. Sin embargo, todas las ventajas de seguridad de Kerberos solo se materian en puestas en marcha de ONTAP de NFSv4 o posteriores.
-
Para promover el acceso redundante al servidor, se debe habilitar Kerberos en varias LIF de datos en varios nodos del clúster mediante el mismo SPN.
-
Cuando se habilita Kerberos en la SVM, debe especificarse uno de los siguientes métodos de seguridad en las reglas de exportación para volúmenes o qtrees en función de la configuración del cliente NFS.
-
krb5
(Protocolo Kerberos v5) -
krb5i
(Protocolo Kerberos v5 con comprobación de integridad con sumas de comprobación) -
krb5p
(Protocolo Kerberos v5 con servicio de privacidad)
-
Además del servidor Kerberos y los clientes, para ONTAP se deben configurar los siguientes servicios externos con el fin de admitir Kerberos:
-
Servicio de directorio
Debe utilizar un servicio de directorio seguro en su entorno, como Active Directory u OpenLDAP, que esté configurado para usar LDAP sobre SSL/TLS. No utilice NIS, cuyas solicitudes se envían en texto claro y, por lo tanto, no son seguras.
-
NTP
Debe tener un servidor de tiempo de trabajo que ejecute NTP. Esto es necesario para evitar errores de autenticación de Kerberos debido a una desviación de tiempo.
-
Resolución de nombres de dominio (DNS)
Cada cliente UNIX y cada LIF de SVM deben tener un registro de servicio (SRV) adecuado registrado con el KDC en zonas de búsqueda inversa y de reenvío. Todos los participantes deben poder resolverse correctamente a través de DNS.