웹 서비스 프록시에서 사용자 액세스를 관리합니다
보안을 위해 웹 서비스 API 및 Unified Manager에 대한 사용자 액세스를 관리할 수 있습니다.
액세스 관리 개요
액세스 관리에는 역할 기반 로그인, 암호 암호화, 기본 인증 및 LDAP 통합이 포함됩니다.
역할 기반 액세스
역할 기반 액세스 제어(RBAC)는 사전 정의된 사용자를 역할에 연결합니다. 각 역할은 특정 수준의 기능에 권한을 부여합니다.
다음 표에서는 각 역할에 대해 설명합니다.
역할 | 설명 |
---|---|
security.admin을 선택합니다 |
SSL 및 인증서 관리. |
storage.admin을 선택합니다 |
스토리지 시스템 구성에 대한 전체 읽기/쓰기 액세스 |
Storage.monitor를 선택합니다 |
스토리지 시스템 데이터를 볼 수 있는 읽기 전용 액세스 권한 |
support.admin을 클릭합니다 |
스토리지 시스템의 모든 하드웨어 리소스에 액세스하고 AutoSupport(ASUP) 검색 등의 작업을 지원합니다. |
기본 사용자 계정은 users.properties 파일에 정의되어 있습니다. users.properties 파일을 직접 수정하거나 Unified Manager의 액세스 관리 기능을 사용하여 사용자 계정을 변경할 수 있습니다.
다음 표에서는 Web Services 프록시에 사용할 수 있는 사용자 로그인을 보여 줍니다.
사전 정의된 사용자 로그인 | 설명 |
---|---|
관리자 |
모든 기능에 액세스할 수 있고 모든 역할을 포함하는 슈퍼 관리자. Unified Manager의 경우 처음 로그인할 때 암호를 설정해야 합니다. |
스토리지 |
관리자는 모든 스토리지 프로비저닝을 담당합니다. 이 사용자는 storage.admin, support.admin, storage.monitor 등의 역할을 수행합니다. 이 계정은 암호를 설정할 때까지 비활성화됩니다. |
보안 |
보안 구성을 담당하는 사용자입니다. 이 사용자에게는 security.admin 및 storage.monitor 역할이 포함됩니다. 이 계정은 암호를 설정할 때까지 비활성화됩니다. |
지원 |
하드웨어 리소스, 장애 데이터 및 펌웨어 업그레이드를 담당하는 사용자입니다. 이 사용자에게는 support.admin 및 storage.monitor 역할이 포함됩니다. 이 계정은 암호를 설정할 때까지 비활성화됩니다. |
모니터링 |
시스템에 대한 읽기 전용 액세스 권한이 있는 사용자입니다. 이 사용자는 storage.monitor 역할만 포함합니다. 이 계정은 암호를 설정할 때까지 비활성화됩니다. |
RW(기존 어레이의 경우) |
RW(읽기/쓰기) 사용자에게는 storage.admin, support.admin, storage.monitor 등의 역할이 포함됩니다. 이 계정은 암호를 설정할 때까지 비활성화됩니다. |
RO(기존 스토리지의 경우) |
ro(읽기 전용) 사용자에게는 storage.monitor 역할만 포함됩니다. 이 계정은 암호를 설정할 때까지 비활성화됩니다. |
암호 암호화
각 암호에 기존 SHA256 암호 인코딩을 사용하여 추가 암호화 프로세스를 적용할 수 있습니다. 이 추가 암호화 프로세스는 각 SHA256 해시 암호화에 대해 각 암호(SALT)에 임의의 바이트 세트를 적용합니다. 새로 만든 모든 암호에 소금된 SHA256 암호화가 적용됩니다.
Web Services Proxy 3.0 릴리스 이전에는 SHA256 해싱만 사용하여 암호를 암호화했습니다. 기존 SHA256 해시 전용 암호화된 암호는 이 인코딩을 유지하며 users.properties 파일에서 여전히 유효합니다. 그러나 SHA256 해시 전용 암호화 암호는 SHA256 암호화를 사용하는 암호만큼 안전하지 않습니다. |
기본 인증
기본적으로 기본 인증은 활성화되어 있으며, 이는 서버가 기본 인증 과제를 반환함을 의미합니다. 이 설정은 wsconfig.xml 파일에서 변경할 수 있습니다.
LDAP를 지원합니다
분산 디렉터리 정보 서비스에 액세스하고 유지 관리하기 위한 응용 프로그램 프로토콜인 LDAP(Lightweight Directory Access Protocol)가 웹 서비스 프록시에 대해 활성화됩니다. LDAP 통합을 통해 사용자 인증 및 역할을 그룹에 매핑할 수 있습니다.
LDAP 기능 구성에 대한 자세한 내용은 Unified Manager 인터페이스 또는 대화형 API 설명서의 LDAP 섹션에서 구성 옵션을 참조하십시오.
사용자 액세스를 구성합니다
암호에 추가 암호화를 적용하고 기본 인증을 설정하며 역할 기반 액세스를 정의하여 사용자 액세스를 관리할 수 있습니다.
암호에 추가 암호화를 적용합니다
최고 수준의 보안을 위해 기존 SHA256 암호 인코딩을 사용하여 암호에 추가 암호화를 적용할 수 있습니다.
이 추가 암호화 프로세스는 각 SHA256 해시 암호화에 대해 각 암호(SALT)에 임의의 바이트 세트를 적용합니다. 새로 만든 모든 암호에 소금된 SHA256 암호화가 적용됩니다.
-
다음 위치에 있는 users.properties 파일을 엽니다.
-
(Windows) — C:\Program Files\NetApp\SANtricity Web Services Proxy\Data\config입니다
-
(Linux) --/opt/NetApp/SANtricity_web_services_proxy/data/config
-
-
암호화된 암호를 일반 텍스트로 다시 입력합니다.
-
'ecurepasswds' 명령줄 유틸리티를 실행하여 암호를 다시 암호화하거나 간단히 웹 서비스 프록시를 다시 시작합니다. 이 유틸리티는 웹 서비스 프록시의 루트 설치 디렉터리에 설치됩니다.
또는 Unified Manager를 통해 암호를 편집할 때마다 로컬 사용자 암호를 솔트 및 해시 할 수 있습니다.
기본 인증을 구성합니다
기본적으로 기본 인증이 활성화되어 있으며 이는 서버가 기본 인증 과제를 반환함을 의미합니다. 필요한 경우 wsconfig.xml 파일에서 해당 설정을 변경할 수 있습니다.
-
다음 위치에 있는 wsconfig.xml 파일을 엽니다.
-
(Windows) — C:\Program Files\NetApp\SANtricity Web Services Proxy
-
(Linux) --/opt/NetApp/SANtricity_web_services_proxy
-
-
파일에서 FALSE(사용 안 함) 또는 TRUE(사용 가능)를 지정하여 다음 행을 수정합니다.
예: "<env key="enable-basic-auth">true</env>"
-
파일을 저장합니다.
-
Webserver 서비스를 다시 시작하여 변경 사항을 적용합니다.
역할 기반 액세스를 구성합니다
특정 기능에 대한 사용자 액세스를 제한하려면 각 사용자 계정에 대해 지정된 역할을 수정할 수 있습니다.
웹 서비스 프록시는 역할 기반 액세스 제어(RBAC)를 포함하며, 이 역할 기반 액세스 제어(RBAC)는 역할이 미리 정의된 사용자와 연결됩니다. 각 역할은 특정 수준의 기능에 권한을 부여합니다. users.properties 파일을 직접 수정하여 사용자 계정에 할당된 역할을 변경할 수 있습니다.
Unified Manager에서 Access Management를 사용하여 사용자 계정을 변경할 수도 있습니다. 자세한 내용은 Unified Manager와 함께 제공되는 온라인 도움말을 참조하십시오. |
-
다음 위치에 있는 users.properties 파일을 엽니다.
-
(Windows) — C:\Program Files\NetApp\SANtricity Web Services Proxy\Data\config입니다
-
(Linux) --/opt/NetApp/SANtricity_web_services_proxy/data/config
-
-
수정할 사용자 계정(스토리지, 보안, 모니터, 지원, RW, 또는 ro).
admin 사용자를 수정하지 마십시오. 모든 기능에 액세스할 수 있는 고급 사용자입니다. -
필요에 따라 지정된 역할을 추가하거나 제거합니다.
역할은 다음과 같습니다.
-
Security.admin — SSL 및 인증서 관리.
-
storage.admin — 스토리지 시스템 구성에 대한 전체 읽기/쓰기 액세스 권한.
-
Storage.monitor — 스토리지 시스템 데이터를 볼 수 있는 읽기 전용 액세스입니다.
-
support.admin — 스토리지 시스템의 모든 하드웨어 리소스에 액세스하고 AutoSupport(ASUP) 검색과 같은 작업을 지원합니다.
관리자를 포함한 모든 사용자는 storage.monitor 역할이 필요합니다.
-
-
파일을 저장합니다.