Sicurezza NFS
-
PDF del sito di questa documentazione
- Configurare, aggiornare e ripristinare ONTAP
- Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
- Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
Gestione dello storage logico con la CLI
-
Gestione dello storage NAS
- Configurare NFS con la CLI
- Gestisci NFS con la CLI
-
Gestire SMB con la CLI
- Gestire i server SMB
- Gestire l'accesso ai file utilizzando SMB
- Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
- Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
- Protezione dei dati e disaster recovery
Raccolta di documenti PDF separati
Creating your file...
Le regole di esportazione sono gli elementi funzionali di una policy di esportazione. Le regole di esportazione corrispondono alle richieste di accesso client per un volume rispetto a parametri specifici configurati per determinare come gestire le richieste di accesso client. Un criterio di esportazione deve contenere almeno una regola di esportazione per consentire l'accesso ai client. Se un criterio di esportazione contiene più di una regola, le regole vengono elaborate nell'ordine in cui appaiono nel criterio di esportazione.
Il controllo degli accessi è fondamentale per mantenere una posizione sicura. Pertanto, ONTAP utilizza la funzionalità di policy di esportazione per limitare l'accesso al volume NFS ai client che corrispondono a parametri specifici. I criteri di esportazione contengono una o più regole di esportazione che elaborano ogni richiesta di accesso client. A ciascun volume è associato un criterio di esportazione per configurare l'accesso del client al volume. Il risultato di questo processo determina se al client viene concesso o negato (con un messaggio di autorizzazione negata) l'accesso al volume. Questo processo determina inoltre il livello di accesso fornito al volume.
Per consentire ai client di accedere ai dati, deve esistere una policy di esportazione con regole di esportazione in una SVM. Una SVM può contenere diverse policy di esportazione. |
L'ordine delle regole è determinato dal numero di indice delle regole. Se una regola corrisponde a un client, vengono utilizzate le autorizzazioni di tale regola e non vengono elaborate altre regole. Se nessuna regola corrisponde, al client viene negato l'accesso.
Le regole di esportazione determinano le autorizzazioni di accesso dei client applicando i seguenti criteri:
-
Il protocollo di accesso ai file utilizzato dal client che invia la richiesta (ad esempio NFSv4 o SMB)
-
Un identificatore client (ad esempio, il nome host o l'indirizzo IP)
-
Il tipo di protezione utilizzato dal client per l'autenticazione (ad esempio, Kerberos v5, NTLM o AUTH_SYS)
Se una regola specifica più criteri e il client non corrisponde a uno o più criteri, la regola non viene applicata.
Un criterio di esportazione di esempio contiene una regola di esportazione con i seguenti parametri:
-
-protocol nfs
-
-clientmatch 10.1.16.0/255.255.255.0
-
-rorule any
-
-rwrule any
Il tipo di protezione determina il livello di accesso ricevuto da un client. I tre livelli di accesso sono di sola lettura, lettura-scrittura e superutente (per i client con ID utente 0
). Poiché il livello di accesso determinato dal tipo di protezione viene valutato in questo ordine, è necessario rispettare le regole elencate:
Regole per i parametri del livello di accesso nelle regole di esportazione
Per un client, ottenere i seguenti livelli di accesso | Questi parametri di accesso devono corrispondere al tipo di protezione del client |
---|---|
Utente normale di sola lettura |
Sola lettura ( |
Lettura/scrittura utente normale |
Sola lettura ( |
Superuser di sola lettura |
Sola lettura ( |
Lettura/scrittura superutente |
Sola lettura ( |
Di seguito sono riportati i tipi di protezione validi per ciascuno di questi tre parametri di accesso:
-
Qualsiasi
-
Nessuno
-
Mai
Questi tipi di protezione non sono validi per l'uso con il -superuser
parametro:
-
krb5
-
ntlm
-
sis
Regole per i risultati dei parametri di accesso
Se il tipo di protezione del client… | Allora… | ||
---|---|---|---|
Corrisponde a un tipo di protezione specificato nel parametro di accesso. |
Il client riceve l'accesso per quel livello con il proprio ID utente. |
||
Non corrisponde a un tipo di protezione specificato, ma il parametro di accesso include l'opzione |
Il client riceve l'accesso per quel livello e riceve l'utente anonimo con l'ID utente specificato dal |
||
Non corrisponde a un tipo di protezione specificato e il parametro di accesso non include l'opzione |
Il client non riceve alcun accesso per quel livello.
|
Kerberos 5 e Krb5p
A partire da ONTAP 9, è supportata l'autenticazione Kerberos 5 con servizio di privacy (krb5p). La modalità di autenticazione krbp5 è sicura e protegge da possibili tentativi di manomissione e snooping dei dati utilizzando dei checksum per crittografare tutto il traffico tra client e server. La soluzione ONTAP supporta la crittografia AES a 128 e 256 bit per Kerberos. Il servizio di privacy include la verifica dell'integrità dei dati ricevuti, l'autenticazione degli utenti e la crittografia dei dati prima della trasmissione.
L'opzione krb5p è più presente nella funzione dei criteri di esportazione, dove è impostata come opzione di crittografia. Il metodo di autenticazione krb5p può essere utilizzato come parametro di autenticazione, come illustrato nell'esempio seguente:
cluster1::> vserver export-policy check-access -vserver vs1 -client-ip 10.22.32.42 -volume flex_vol -authentication-method krb5p -protocol nfs3 -access- type read