Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Autenticazione e autorizzazione del client

Collaboratori

ONTAP utilizza metodi standard per proteggere l'accesso client e amministratore allo storage e per proteggerlo dai virus. Sono disponibili tecnologie avanzate per la crittografia dei dati a riposo e per lo storage WORM.

ONTAP autentica un computer client e un utente verificando la propria identità con un'origine attendibile. ONTAP autorizza un utente ad accedere a un file o a una directory confrontando le credenziali dell'utente con le autorizzazioni configurate nel file o nella directory.

Autenticazione

È possibile creare account utente locali o remoti:

  • Un account locale è un account in cui le informazioni dell'account risiedono nel sistema di storage.

  • Un account remoto è un account in cui le informazioni sull'account vengono memorizzate in un controller di dominio Active Directory, in un server LDAP o in un server NIS.

ONTAP utilizza i servizi dei nomi locali o esterni per cercare informazioni relative a nome host, utente, gruppo, netgroup e mappatura dei nomi. ONTAP supporta i seguenti servizi per i nomi:

  • Utenti locali

  • DNS

  • Domini NIS esterni

  • Domini LDAP esterni

Una name service switch table specifica le fonti per la ricerca delle informazioni di rete e l'ordine in cui ricercarle (fornendo la funzionalità equivalente del file /etc/nsswitch.conf sui sistemi UNIX). Quando un client NAS si connette a SVM, ONTAP verifica i servizi dei nomi specificati per ottenere le informazioni richieste.

supporto Kerberos Kerberos è un protocollo di autenticazione di rete che fornisce “sautenticazione trong” crittografando le password utente nelle implementazioni client-server. ONTAP supporta l'autenticazione Kerberos 5 con controllo dell'integrità (krb5i) e l'autenticazione Kerberos 5 con controllo della privacy (krb5p).

Autorizzazione

ONTAP valuta tre livelli di sicurezza per determinare se un'entità è autorizzata a eseguire un'azione richiesta su file e directory che risiedono su una SVM. L'accesso è determinato dalle autorizzazioni effettive dopo la valutazione dei livelli di sicurezza:

  • Sicurezza di esportazione (NFS) e condivisione (SMB)

    La sicurezza di esportazione e condivisione si applica all'accesso client a una data esportazione NFS o condivisione SMB. Gli utenti con privilegi amministrativi possono gestire la sicurezza a livello di esportazione e condivisione dai client SMB e NFS.

  • Protezione di file e directory di Access Guard a livello di storage

    La sicurezza di Access Guard a livello di storage si applica all'accesso dei client SMB e NFS ai volumi SVM. Sono supportate solo le autorizzazioni di accesso NTFS. Affinché ONTAP esegua controlli di sicurezza sugli utenti UNIX per l'accesso ai dati sui volumi per i quali è stato applicato Storage-Level Access Guard, l'utente UNIX deve eseguire il mapping a un utente Windows sulla SVM proprietaria del volume.

  • Sicurezza nativa a livello di file in NTFS, UNIX e NFSv4

    La protezione nativa a livello di file esiste nel file o nella directory che rappresenta l'oggetto di storage. È possibile impostare la sicurezza a livello di file da un client. Le autorizzazioni dei file sono efficaci indipendentemente dal fatto che SMB o NFS vengano utilizzati per accedere ai dati.

Autenticazione con SAML

ONTAP supporta il linguaggio SAML (Security Assertion Markup Language) per l'autenticazione degli utenti remoti. Sono supportati diversi provider di identità (IDP). Per ulteriori informazioni sugli IDP supportati e istruzioni per l'attivazione dell'autenticazione SAML, fare riferimento a. "Configurare l'autenticazione SAML".

OAuth 2,0 con client API REST ONTAP

Il supporto per il framework Open Authorization (OAuth 2,0) è disponibile a partire da ONTAP 9,14. È possibile utilizzare OAuth 2,0 solo per prendere decisioni di autorizzazione e controllo degli accessi quando il client utilizza l'API REST per accedere a ONTAP. Tuttavia, puoi configurare e abilitare la funzionalità con qualsiasi interfaccia amministrativa di ONTAP, inclusi CLI, System Manager e API REST.

Le funzionalità standard di OAuth 2,0 sono supportate insieme a diversi server di autorizzazione più diffusi. È possibile migliorare ulteriormente la protezione di ONTAP utilizzando token di accesso con vincoli di mittente basati su TLS comuni. Inoltre, è disponibile una vasta gamma di opzioni di autorizzazione, tra cui ambiti indipendenti, oltre all'integrazione con i ruoli REST di ONTAP e le definizioni degli utenti locali. Vedere "Panoramica dell'implementazione di ONTAP OAuth 2,0" per ulteriori informazioni.