Notes de mise à jour
Authentification et autorisation du client
Suggérer des modifications
-
Un fichier PDF de toute la documentation
-
Administration du cluster
-
L'administration des volumes
-
Gestion du stockage logique avec l'interface de ligne de commandes
-
Utilisez des quotas pour limiter ou suivre l'utilisation des ressources
-
-
-
Gestion du stockage NAS
-
Configurez NFS avec l'interface de ligne de commande
-
Gérez NFS avec l'interface de ligne de commande
-
Gestion de SMB avec l'interface de ligne de commandes
-
Gérer les serveurs SMB
-
Gérer l'accès aux fichiers via SMB
-
-
-
Gestion du stockage SAN
-
Authentification et contrôle d'accès
-
Sécurité et chiffrement des données
-
Utilisez FPolicy pour le contrôle et la gestion des fichiers sur SVM
-
-
Protection des données et reprise d'activité
-
Plusieurs fichiers PDF
Creating your file...
ONTAP utilise des méthodes standard pour sécuriser l'accès client et administrateur au stockage et se protéger contre les virus. Des technologies avancées sont disponibles pour le chiffrement des données au repos et WORM.
ONTAP authentifie un ordinateur client et un utilisateur en vérifiant son identité avec une source de confiance. ONTAP autorise un utilisateur à accéder à un fichier ou à un répertoire en comparant les informations d'identification de l'utilisateur aux autorisations configurées sur le fichier ou le répertoire.
Authentification
Vous pouvez créer des comptes utilisateur locaux ou distants :
-
Un compte local est un compte dans lequel les informations de compte résident sur le système de stockage.
-
Un compte distant est un compte dans lequel les informations de compte sont stockées sur un contrôleur de domaine Active Directory, un serveur LDAP ou un serveur NIS.
ONTAP utilise des services de noms locaux ou externes pour rechercher les informations de nom d'hôte, d'utilisateur, de groupe, de groupe réseau et de mappage de noms. ONTAP prend en charge les noms suivants :
-
Utilisateurs locaux
-
DNS
-
Domaines NIS externes
-
Domaines LDAP externes
Un name service switch table spécifie les sources à rechercher des informations sur le réseau et l'ordre dans lequel les rechercher (fournissant la fonctionnalité équivalente du fichier /etc/nsswitch.conf sur les systèmes UNIX). Lorsqu'un client NAS se connecte au SVM, ONTAP vérifie les services de nom spécifiés pour obtenir les informations requises.
prise en charge de Kerberos Kerberos est un protocole d'authentification réseau qui fournit "`l'authentification`tongs'' en cryptant les mots de passe utilisateur dans les implémentations client-serveur. ONTAP prend en charge l'authentification Kerberos 5 avec contrôle d'intégrité (krb5i) et l'authentification Kerberos 5 avec vérification de la confidentialité (krb5p). |
Autorisation
ONTAP évalue trois niveaux de sécurité pour déterminer si une entité est autorisée à effectuer une action demandée sur les fichiers et répertoires résidant sur une SVM. L'accès est déterminé par les autorisations effectives après évaluation des niveaux de sécurité :
-
Sécurité des exportations (NFS) et des partages (SMB)
La sécurité des exportations et des partages s'applique à l'accès client à une exportation NFS ou à un partage SMB donné. Les utilisateurs disposant de privilèges d'administration peuvent gérer la sécurité au niveau de l'exportation et du partage à partir des clients SMB et NFS.
-
Sécurité des fichiers et répertoires Access Guard du niveau de stockage
La sécurité Access Guard du niveau de stockage s'applique aux accès des clients SMB et NFS pour les volumes SVM. Seules les autorisations d'accès NTFS sont prises en charge. Pour que ONTAP puisse effectuer des vérifications de sécurité sur les utilisateurs UNIX afin d'accéder aux données sur les volumes pour lesquels Storage-Level Access Guard a été appliqué, l'utilisateur UNIX doit mapper un utilisateur Windows sur le SVM propriétaire du volume.
-
Sécurité native au niveau des fichiers NTFS, UNIX et NFSv4
La sécurité native au niveau du fichier existe sur le fichier ou le répertoire qui représente l'objet de stockage. Vous pouvez définir la sécurité au niveau des fichiers à partir d'un client. Les autorisations liées aux fichiers sont efficaces, que SMB ou NFS soit utilisé pour accéder aux données.
Authentification avec SAML
ONTAP prend en charge le langage SAML (Security assertion Markup Language) pour l'authentification des utilisateurs distants. Plusieurs fournisseurs d'identité (PDI) populaires sont pris en charge. Pour plus d'informations sur les PDI pris en charge et pour savoir comment activer l'authentification SAML, reportez-vous à la section "Configurez l'authentification SAML".
OAuth 2.0 avec clients API REST ONTAP
La prise en charge de l'infrastructure d'autorisation ouverte (OAuth 2.0) est disponible à partir de ONTAP 9.14. Vous ne pouvez utiliser OAuth 2.0 que pour prendre des décisions d'autorisation et de contrôle d'accès lorsque le client utilise l'API REST pour accéder à ONTAP. Toutefois, vous pouvez configurer et activer cette fonctionnalité avec n'importe quelle interface d'administration ONTAP, y compris l'interface de ligne de commandes, System Manager et l'API REST.
Les fonctionnalités standard d'OAuth 2.0 sont prises en charge avec plusieurs serveurs d'autorisation courants. Vous pouvez améliorer davantage la sécurité ONTAP en utilisant des jetons d'accès limités par l'expéditeur basés sur le protocole commun. De plus, de nombreuses options d'autorisation sont disponibles, notamment des étendues autonomes, ainsi que l'intégration avec les rôles REST ONTAP et les définitions d'utilisateur local. Voir "Présentation de la mise en œuvre de ONTAP OAuth 2.0" pour en savoir plus.