Notes de mise à jour
Sécurisation NFS
Suggérer des modifications
-
Un fichier PDF de toute la documentation
-
Configuration, mise à niveau et restauration d'ONTAP
-
Administration du cluster
-
L'administration des volumes
-
Gestion du stockage logique avec l'interface de ligne de commandes
-
Utilisez des quotas pour limiter ou suivre l'utilisation des ressources
-
-
-
Gestion du stockage NAS
-
Configurez NFS avec l'interface de ligne de commande
-
Gérez NFS avec l'interface de ligne de commande
-
Gestion de SMB avec l'interface de ligne de commandes
-
Gérer les serveurs SMB
-
Gérer l'accès aux fichiers via SMB
-
-
-
Gestion du stockage SAN
-
Authentification et contrôle d'accès
-
Sécurité et chiffrement des données
-
Utilisez FPolicy pour le contrôle et la gestion des fichiers sur SVM
-
-
Protection des données et reprise d'activité
-
Plusieurs fichiers PDF
Creating your file...
Les règles d'exportation sont les éléments fonctionnels d'une export-policy. Les règles d'exportation correspondent aux demandes d'accès client d'un volume par rapport à des paramètres spécifiques que vous configurez pour déterminer comment gérer les demandes d'accès client. Une export-policy doit contenir au moins une règle d'exportation pour permettre l'accès aux clients. Si une export-policy contient plusieurs règles, celles-ci sont traitées dans l'ordre dans lequel elles apparaissent dans l'export-policy.
Le contrôle d'accès est essentiel au maintien d'une posture de sécurité. Par conséquent, ONTAP utilise la fonctionnalité export policy pour limiter l'accès au volume NFS aux clients correspondant à des paramètres spécifiques. Les export-policy contiennent une ou plusieurs règles d'exportation qui traitent chaque requête d'accès client. Une export policy est associée à chaque volume afin de configurer l'accès client au volume. Le résultat de ce processus détermine si le client est autorisé ou refusé (avec un message d'autorisation refusée) à accéder au volume. Ce processus détermine également le niveau d'accès fourni au volume.
|
Pour que les clients puissent accéder aux données, une export policy doit exister sur un SVM. Un SVM peut contenir plusieurs export policies. |
L'ordre des règles est dicté par le numéro d'index des règles. Si une règle correspond à un client, les autorisations de cette règle sont utilisées et aucune autre règle n'est traitée. Si aucune règle ne correspond, l'accès au client est refusé.
Les règles d'exportation déterminent les autorisations d'accès client en appliquant les critères suivants :
-
Protocole d'accès aux fichiers utilisé par le client qui envoie la requête (par exemple, NFSv4 ou SMB)
-
Un identifiant client (par exemple, le nom d'hôte ou l'adresse IP)
-
Type de sécurité utilisé par le client pour l'authentification (par exemple, Kerberos v5, NTLM ou AUTH_SYS)
Si une règle spécifie plusieurs critères et que le client ne correspond pas à un ou plusieurs d'entre eux, la règle ne s'applique pas.
Un exemple de export-policy contient une règle d'export avec les paramètres suivants :
-
-protocol nfs -
-clientmatch 10.1.16.0/255.255.255.0 -
-rorule any -
-rwrule any
Le type de sécurité détermine le niveau d'accès qu'un client reçoit. Les trois niveaux d'accès sont lecture seule, lecture-écriture et superutilisateur (pour les clients avec l'ID utilisateur 0). Comme le niveau d'accès déterminé par le type de sécurité est évalué dans cet ordre, vous devez respecter les règles répertoriées :
Règles pour les paramètres de niveau d'accès dans les règles d'exportation
| Pour qu'un client obtienne les niveaux d'accès suivants | Ces paramètres d'accès doivent correspondre au type de sécurité du client |
|---|---|
Lecture seule normale par l'utilisateur |
Lecture seule ( |
Lecture-écriture utilisateur normale |
Lecture seule ( |
Super-utilisateur en lecture seule |
Lecture seule ( |
Super-utilisateur lecture-écriture |
Lecture seule ( |
Les types de sécurité suivants sont valides pour chacun de ces trois paramètres d'accès :
-
Toutes
-
Aucune
-
Jamais
Ces types de sécurité ne peuvent pas être utilisés avec le -superuser paramètre :
-
krb5
-
ntlm
-
system
Règles pour les résultats des paramètres d'accès
| Si le type de sécurité du client … | Puis … | ||
|---|---|---|---|
Correspond à un type de sécurité spécifié dans le paramètre d'accès. |
Le client reçoit l'accès pour ce niveau avec son propre ID utilisateur. |
||
Ne correspond pas à un type de sécurité spécifié, mais le paramètre d'accès inclut l'option |
Le client reçoit l'accès pour ce niveau et reçoit l'utilisateur anonyme avec l'ID utilisateur spécifié par le |
||
Ne correspond pas à un type de sécurité spécifié et le paramètre d'accès n'inclut pas l'option |
Le client ne reçoit aucun accès pour ce niveau.
|
Kerberos 5 et Krb5p
À partir de ONTAP 9, l'authentification Kerberos 5 avec service Privacy (krb5p) est prise en charge. Le mode d'authentification krbp5 est sécurisé et offre une protection contre la falsification et l'espionnage des données. Il utilise des checksums pour chiffrer l'ensemble du trafic entre le client et le serveur. La solution ONTAP prend en charge le chiffrement AES 128 bits et 256 bits pour Kerberos. Le service de confidentialité comprend la vérification de l'intégrité des données reçues, l'authentification des utilisateurs et le cryptage des données avant leur transmission.
L'option krb5p est la plus présente dans la fonctionnalité export policy, où elle est définie comme option de cryptage. La méthode d'authentification krb5p peut être utilisée comme paramètre d'authentification, comme illustré dans l'exemple suivant :
cluster1::> vserver export-policy check-access -vserver vs1 -client-ip 10.22.32.42 -volume flex_vol -authentication-method krb5p -protocol nfs3 -access- type read