Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Authentification et autorisation du client

Contributeurs

ONTAP utilise des méthodes standard pour sécuriser l'accès client et administrateur au stockage et se protéger contre les virus. Des technologies avancées sont disponibles pour le chiffrement des données au repos et WORM.

ONTAP authentifie un ordinateur client et un utilisateur en vérifiant son identité avec une source de confiance. ONTAP autorise un utilisateur à accéder à un fichier ou à un répertoire en comparant les informations d'identification de l'utilisateur aux autorisations configurées sur le fichier ou le répertoire.

Authentification

Vous pouvez créer des comptes utilisateur locaux ou distants :

  • Un compte local est un compte dans lequel les informations de compte résident sur le système de stockage.

  • Un compte distant est un compte dans lequel les informations de compte sont stockées sur un contrôleur de domaine Active Directory, un serveur LDAP ou un serveur NIS.

ONTAP utilise des services de noms locaux ou externes pour rechercher les informations de nom d'hôte, d'utilisateur, de groupe, de groupe réseau et de mappage de noms. ONTAP prend en charge les noms suivants :

  • Utilisateurs locaux

  • DNS

  • Domaines NIS externes

  • Domaines LDAP externes

Un name service switch table spécifie les sources à rechercher des informations sur le réseau et l'ordre dans lequel les rechercher (fournissant la fonctionnalité équivalente du fichier /etc/nsswitch.conf sur les systèmes UNIX). Lorsqu'un client NAS se connecte au SVM, ONTAP vérifie les services de nom spécifiés pour obtenir les informations requises.

prise en charge de Kerberos Kerberos est un protocole d'authentification réseau qui fournit "`l'authentification`tongs'' en cryptant les mots de passe utilisateur dans les implémentations client-serveur. ONTAP prend en charge l'authentification Kerberos 5 avec contrôle d'intégrité (krb5i) et l'authentification Kerberos 5 avec vérification de la confidentialité (krb5p).

Autorisation

ONTAP évalue trois niveaux de sécurité pour déterminer si une entité est autorisée à effectuer une action demandée sur les fichiers et répertoires résidant sur une SVM. L'accès est déterminé par les autorisations effectives après évaluation des niveaux de sécurité :

  • Sécurité des exportations (NFS) et des partages (SMB)

    La sécurité des exportations et des partages s'applique à l'accès client à une exportation NFS ou à un partage SMB donné. Les utilisateurs disposant de privilèges d'administration peuvent gérer la sécurité au niveau de l'exportation et du partage à partir des clients SMB et NFS.

  • Sécurité des fichiers et répertoires Access Guard du niveau de stockage

    La sécurité Access Guard du niveau de stockage s'applique aux accès des clients SMB et NFS pour les volumes SVM. Seules les autorisations d'accès NTFS sont prises en charge. Pour que ONTAP puisse effectuer des vérifications de sécurité sur les utilisateurs UNIX afin d'accéder aux données sur les volumes pour lesquels Storage-Level Access Guard a été appliqué, l'utilisateur UNIX doit mapper un utilisateur Windows sur le SVM propriétaire du volume.

  • Sécurité native au niveau des fichiers NTFS, UNIX et NFSv4

    La sécurité native au niveau du fichier existe sur le fichier ou le répertoire qui représente l'objet de stockage. Vous pouvez définir la sécurité au niveau des fichiers à partir d'un client. Les autorisations liées aux fichiers sont efficaces, que SMB ou NFS soit utilisé pour accéder aux données.

Authentification avec SAML

ONTAP prend en charge le langage SAML (Security assertion Markup Language) pour l'authentification des utilisateurs distants. Plusieurs fournisseurs d'identité (PDI) populaires sont pris en charge. Pour plus d'informations sur les PDI pris en charge et pour savoir comment activer l'authentification SAML, reportez-vous à la section "Configurez l'authentification SAML".

OAuth 2.0 avec clients API REST ONTAP

La prise en charge de l'infrastructure d'autorisation ouverte (OAuth 2.0) est disponible à partir de ONTAP 9.14. Vous ne pouvez utiliser OAuth 2.0 que pour prendre des décisions d'autorisation et de contrôle d'accès lorsque le client utilise l'API REST pour accéder à ONTAP. Toutefois, vous pouvez configurer et activer cette fonctionnalité avec n'importe quelle interface d'administration ONTAP, y compris l'interface de ligne de commandes, System Manager et l'API REST.

Les fonctionnalités standard d'OAuth 2.0 sont prises en charge avec plusieurs serveurs d'autorisation courants. Vous pouvez améliorer davantage la sécurité ONTAP en utilisant des jetons d'accès limités par l'expéditeur basés sur le protocole commun. De plus, de nombreuses options d'autorisation sont disponibles, notamment des étendues autonomes, ainsi que l'intégration avec les rôles REST ONTAP et les définitions d'utilisateur local. Voir "Présentation de la mise en œuvre de ONTAP OAuth 2.0" pour en savoir plus.