Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Sécurisation NFS

Contributeurs

Les règles d'exportation sont les éléments fonctionnels d'une export-policy. Les règles d'exportation correspondent aux demandes d'accès client d'un volume par rapport à des paramètres spécifiques que vous configurez pour déterminer comment gérer les demandes d'accès client. Une export-policy doit contenir au moins une règle d'exportation pour permettre l'accès aux clients. Si une export-policy contient plusieurs règles, celles-ci sont traitées dans l'ordre dans lequel elles apparaissent dans l'export-policy.

Le contrôle d'accès est essentiel au maintien d'une posture de sécurité. Par conséquent, ONTAP utilise la fonctionnalité export policy pour limiter l'accès au volume NFS aux clients correspondant à des paramètres spécifiques. Les export-policy contiennent une ou plusieurs règles d'exportation qui traitent chaque requête d'accès client. Une export policy est associée à chaque volume afin de configurer l'accès client au volume. Le résultat de ce processus détermine si le client est autorisé ou refusé (avec un message d'autorisation refusée) à accéder au volume. Ce processus détermine également le niveau d'accès fourni au volume.

Remarque Pour que les clients puissent accéder aux données, une export policy doit exister sur un SVM. Un SVM peut contenir plusieurs export policies.

L'ordre des règles est dicté par le numéro d'index des règles. Si une règle correspond à un client, les autorisations de cette règle sont utilisées et aucune autre règle n'est traitée. Si aucune règle ne correspond, l'accès au client est refusé.

Les règles d'exportation déterminent les autorisations d'accès client en appliquant les critères suivants :

  • Protocole d'accès aux fichiers utilisé par le client qui envoie la requête (par exemple, NFSv4 ou SMB)

  • Un identifiant client (par exemple, le nom d'hôte ou l'adresse IP)

  • Type de sécurité utilisé par le client pour l'authentification (par exemple, Kerberos v5, NTLM ou AUTH_SYS)

Si une règle spécifie plusieurs critères et que le client ne correspond pas à un ou plusieurs d'entre eux, la règle ne s'applique pas.

Un exemple de export-policy contient une règle d'export avec les paramètres suivants :

  • -protocol nfs

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule any

  • -rwrule any

Le type de sécurité détermine le niveau d'accès qu'un client reçoit. Les trois niveaux d'accès sont lecture seule, lecture-écriture et superutilisateur (pour les clients avec l'ID utilisateur 0). Comme le niveau d'accès déterminé par le type de sécurité est évalué dans cet ordre, vous devez respecter les règles répertoriées :

Règles pour les paramètres de niveau d'accès dans les règles d'exportation

Pour qu'un client obtienne les niveaux d'accès suivants Ces paramètres d'accès doivent correspondre au type de sécurité du client

Lecture seule normale par l'utilisateur

Lecture seule (-rorule)

Lecture-écriture utilisateur normale

Lecture seule (-rorule) et lecture-écriture (-rwrule)

Super-utilisateur en lecture seule

Lecture seule (-rorule) et -superuser

Super-utilisateur lecture-écriture

Lecture seule (-rorule) et lecture-écriture (-rwrule) et -superuser

Les types de sécurité suivants sont valides pour chacun de ces trois paramètres d'accès :

  • Toutes

  • Aucune

  • Jamais

Ces types de sécurité ne peuvent pas être utilisés avec le -superuser paramètre :

  • krb5

  • ntlm

  • system

Règles pour les résultats des paramètres d'accès

Si le type de sécurité du client …​ Alors …​

Correspond à un type de sécurité spécifié dans le paramètre d'accès.

Le client reçoit l'accès pour ce niveau avec son propre ID utilisateur.

Ne correspond pas à un type de sécurité spécifié, mais le paramètre d'accès inclut l'option none.

Le client reçoit l'accès pour ce niveau et reçoit l'utilisateur anonyme avec l'ID utilisateur spécifié par le -anon paramètre.

Ne correspond pas à un type de sécurité spécifié et le paramètre d'accès n'inclut pas l'option none.

Le client ne reçoit aucun accès pour ce niveau.

Remarque Cette restriction ne s'applique pas au -superuser paramètre car ce paramètre n'inclut toujours aucune, même si elle n'est pas spécifiée.

Kerberos 5 et Krb5p

À partir de ONTAP 9, l'authentification Kerberos 5 avec service Privacy (krb5p) est prise en charge. Le mode d'authentification krbp5 est sécurisé et offre une protection contre la falsification et l'espionnage des données. Il utilise des checksums pour chiffrer l'ensemble du trafic entre le client et le serveur. La solution ONTAP prend en charge le chiffrement AES 128 bits et 256 bits pour Kerberos. Le service de confidentialité comprend la vérification de l'intégrité des données reçues, l'authentification des utilisateurs et le cryptage des données avant leur transmission.

L'option krb5p est la plus présente dans la fonctionnalité export policy, où elle est définie comme option de cryptage. La méthode d'authentification krb5p peut être utilisée comme paramètre d'authentification, comme illustré dans l'exemple suivant :

cluster1::> vserver export-policy check-access -vserver vs1 -client-ip 10.22.32.42 -volume flex_vol -authentication-method krb5p -protocol nfs3 -access- type read