중소기업
"중소기업"Microsoft에서 개발한 네트워크 파일 공유 프로토콜로, 이더넷 네트워크를 통해 여러 SMB 클라이언트에 중앙 집중식 사용자/그룹 인증, 권한, 잠금 및 파일 공유 기능을 제공합니다. 파일과 폴더는 공유를 통해 클라이언트에게 제공되며, 다양한 공유 속성으로 구성될 수 있으며 공유 수준 권한을 통해 액세스 제어를 제공합니다. SMB는 Windows, Apple, Linux 클라이언트를 포함하여 해당 프로토콜을 지원하는 모든 클라이언트에 제공될 수 있습니다.
Google Cloud NetApp Volumes 프로토콜의 SMB 2.1 및 3.x 버전을 지원합니다.
접근 제어/SMB 공유
-
Windows 사용자 이름이 Google Cloud NetApp Volumes 볼륨에 대한 액세스를 요청하면 Google Cloud NetApp Volumes Google Cloud NetApp Volumes 관리자가 구성한 방법을 사용하여 UNIX 사용자 이름을 찾습니다.
-
외부 UNIX ID 공급자(LDAP)가 구성되어 있고 Windows/UNIX 사용자 이름이 동일한 경우, 추가 구성 없이 Windows 사용자 이름이 UNIX 사용자 이름과 1:1로 매핑됩니다. LDAP가 활성화되면 Active Directory가 사용자 및 그룹 개체의 UNIX 특성을 호스팅하는 데 사용됩니다.
-
Windows 이름과 UNIX 이름이 완전히 일치하지 않으면 Google Cloud NetApp Volumes LDAP 이름 매핑 구성을 사용할 수 있도록 LDAP를 구성해야 합니다(섹션 참조)."비대칭 이름 매핑을 위한 LDAP 사용" ).
-
LDAP가 사용되지 않으면 Windows SMB 사용자는 기본 로컬 UNIX 사용자로 매핑됩니다.
pcuser
Google Cloud NetApp Volumes 에서. 이는 사용자가 Windows에서 작성한 파일을 의미합니다.pcuser
UNIX 소유권을 다음과 같이 표시합니다.pcuser
다중 프로토콜 NAS 환경에서.pcuser
여기가 사실상nobody
Linux 환경의 사용자(UID 65534).
SMB만 사용하는 배포에서는 pcuser
매핑은 계속 발생하지만 Windows 사용자 및 그룹 소유권이 올바르게 표시되고 SMB 전용 볼륨에 대한 NFS 액세스가 허용되지 않으므로 문제가 되지 않습니다. 또한 SMB 전용 볼륨은 생성된 후 NFS 또는 이중 프로토콜 볼륨으로의 변환을 지원하지 않습니다.
Windows는 Active Directory 도메인 컨트롤러와의 사용자 이름 인증을 위해 Kerberos를 활용하는데, 이를 위해서는 Google Cloud NetApp Volumes 인스턴스 외부에 있는 AD DC와 사용자 이름/비밀번호를 교환해야 합니다. Kerberos 인증은 다음과 같은 경우에 사용됩니다. \\SERVERNAME
UNC 경로는 SMB 클라이언트에서 사용되며 다음 사항이 적용됩니다.
-
SERVERNAME에 대한 DNS A/AAAA 항목이 있습니다.
-
SERVERNAME에 대한 SMB/CIFS 액세스를 위한 유효한 SPN이 있습니다.
Google Cloud NetApp Volumes SMB 볼륨이 생성되면 머신 계정 이름은 섹션에 정의된 대로 생성됩니다."Google Cloud NetApp Volumes Active Directory에 표시되는 방식입니다." Google Cloud NetApp Volumes 동적 DNS(DDNS)를 활용하여 DNS에 필요한 A/AAAA 및 PTR 항목을 생성하고 머신 계정 주체에 필요한 SPN 항목을 생성하기 때문에 해당 머신 계정 이름은 SMB 공유 액세스 경로가 됩니다.
|
PTR 항목을 생성하려면 Google Cloud NetApp Volumes 인스턴스 IP 주소에 대한 역방향 조회 영역이 DNS 서버에 있어야 합니다. |
예를 들어, 이 Google Cloud NetApp Volumes 볼륨은 다음 UNC 공유 경로를 사용합니다. \\cvs-east- 433d.cvsdemo.local
.
Active Directory에서 Google Cloud NetApp Volumes 에서 생성된 SPN 항목은 다음과 같습니다.
DNS 정방향/역방향 조회 결과입니다.
PS C:\> nslookup NetApp Volumes-EAST-433D Server: activedirectory. region. lab. internal Address: 10. xx.0. xx Name: NetApp Volumes-EAST-433D.cvsdemo.local Address: 10. xxx.0. x PS C:\> nslookup 10. xxx.0. x Server: activedirectory.region.lab.internal Address: 10.xx.0.xx Name: NetApp Volumes-EAST-433D.CVSDEMO.LOCAL Address: 10. xxx.0. x
선택적으로 Google Cloud NetApp Volumes 에서 SMB 공유에 대한 SMB 암호화를 활성화/요구하여 더 많은 액세스 제어를 적용할 수 있습니다. 엔드포인트 중 하나에서 SMB 암호화가 지원되지 않으면 액세스가 허용되지 않습니다.
SMB 이름 별칭 사용
어떤 경우에는 최종 사용자가 Google Cloud NetApp Volumes 에 사용 중인 머신 계정 이름을 아는 것이 보안 문제가 될 수 있습니다. 다른 경우에는 최종 사용자에게 더 간단한 액세스 경로를 제공하고 싶을 수도 있습니다. 이런 경우 SMB 별칭을 만들 수 있습니다.
SMB 공유 경로에 대한 별칭을 만들려면 DNS의 CNAME 레코드를 활용할 수 있습니다. 예를 들어, 이름을 사용하려면 \\CIFS
대신 공유에 액세스하려면 \\cvs-east- 433d.cvsdemo.local
하지만 여전히 Kerberos 인증을 사용하고, 기존 A/AAAA 레코드를 가리키는 DNS의 CNAME과 기존 머신 계정에 추가된 SPN을 통해 Kerberos 액세스를 제공하려고 합니다.
CNAME을 추가한 후의 DNS 정방향 조회 결과는 다음과 같습니다.
PS C:\> nslookup cifs Server: ok-activedirectory.us-east4-a.c.cv-solution-architect-lab.internal Address: 10. xx.0. xx Name: NetApp Volumes-EAST-433D.cvsdemo.local Address: 10. xxx.0. x Aliases: cifs.cvsdemo.local
새로운 SPN을 추가한 후의 SPN 쿼리 결과는 다음과 같습니다.
패킷 캡처에서는 CNAME에 연결된 SPN을 사용하여 세션 설정 요청을 볼 수 있습니다.
SMB 인증 방언
Google Cloud NetApp Volumes 다음을 지원합니다. "방언" SMB 인증의 경우:
-
엘엠
-
NTLM
-
NTLMv2
-
케르베로스
SMB 공유 액세스를 위한 Kerberos 인증은 사용할 수 있는 가장 안전한 인증 수준입니다. AES 및 SMB 암호화를 활성화하면 보안 수준이 더욱 높아집니다.
Google Cloud NetApp Volumes LM 및 NTLM 인증에 대한 이전 버전과의 호환성도 지원합니다. Kerberos가 잘못 구성된 경우(예: SMB 별칭을 만드는 경우) 공유 액세스는 더 약한 인증 방법(예: NTLMv2)을 사용합니다. 이러한 메커니즘은 보안성이 낮기 때문에 일부 Active Directory 환경에서는 비활성화됩니다. 약한 인증 방법이 비활성화되고 Kerberos가 제대로 구성되지 않으면 대체할 수 있는 유효한 인증 방법이 없기 때문에 공유 액세스가 실패합니다.
Active Directory에서 지원되는 인증 수준을 구성/보기 위한 정보는 다음을 참조하세요. "네트워크 보안: LAN Manager 인증 수준" .
권한 모델
NTFS/파일 권한
NTFS 권한은 NTFS 논리를 따르는 파일 시스템의 파일과 폴더에 적용되는 권한입니다. NTFS 권한을 적용할 수 있습니다. Basic
또는 Advanced
그리고 설정할 수 있습니다 Allow
또는 Deny
접근 제어를 위해.
기본 권한에는 다음이 포함됩니다.
-
전체 제어
-
수정하다
-
읽기 및 실행
-
읽다
-
쓰다
사용자나 그룹에 대한 권한을 설정하는 경우 ACE라고 하며 ACL에 저장됩니다. NTFS 권한은 UNIX 모드 비트와 동일한 읽기/쓰기/실행 기본 기능을 사용하지만, 소유권 가져오기, 폴더 만들기/데이터 추가, 속성 쓰기 등과 같이 보다 세부적이고 확장된 액세스 제어(특수 권한이라고도 함)로 확장될 수도 있습니다.
표준 UNIX 모드 비트는 NTFS 권한과 동일한 수준의 세분성을 제공하지 않습니다(예: ACL에서 개별 사용자 및 그룹 개체에 대한 권한을 설정하거나 확장된 특성을 설정하는 기능). 그러나 NFSv4.1 ACL은 NTFS ACL과 동일한 기능을 제공합니다.
NTFS 권한은 공유 권한보다 더 구체적이며 공유 권한과 함께 사용할 수 있습니다. NTFS 권한 구조에서는 가장 제한적인 것이 적용됩니다. 따라서 액세스 권한을 정의할 때 사용자 또는 그룹에 대한 명시적 거부는 전체 제어 권한보다 우선합니다.
NTFS 권한은 Windows SMB 클라이언트에서 제어됩니다.
공유 권한
공유 권한은 NTFS 권한(읽기/변경/모든 권한만 해당)보다 일반적이며 SMB 공유에 대한 초기 항목을 제어합니다. 이는 NFS 내보내기 정책 규칙의 작동 방식과 유사합니다.
NFS 내보내기 정책 규칙은 IP 주소나 호스트 이름과 같은 호스트 기반 정보를 통해 액세스를 제어하지만, SMB 공유 권한은 공유 ACL의 사용자 및 그룹 ACE를 사용하여 액세스를 제어할 수 있습니다. Windows 클라이언트나 Google Cloud NetApp Volumes 관리 UI에서 공유 ACL을 설정할 수 있습니다.
기본적으로 공유 ACL과 초기 볼륨 ACL에는 모든 사람에게 전체 제어 권한이 포함됩니다. 파일 ACL은 변경해야 하지만 공유 권한은 공유 내 개체의 파일 권한에 의해 무시됩니다.
예를 들어, 사용자에게 Google Cloud NetApp Volumes 볼륨 파일 ACL에 대한 읽기 액세스 권한만 허용된 경우, 다음 그림에서 볼 수 있듯이 공유 ACL이 모든 사람에게 모든 권한이 부여되어 있더라도 파일 및 폴더를 만드는 액세스는 거부됩니다.
최상의 보안 결과를 얻으려면 다음을 수행하세요.
-
공유 및 파일 ACL에서 모든 사람을 제거하고 대신 사용자 또는 그룹에 대한 공유 액세스를 설정합니다.
-
관리의 편의성과 그룹 관리를 통해 공유 ACL에 사용자를 더 빠르게 추가/삭제하고 제거할 수 있도록 개별 사용자 대신 그룹을 사용하여 액세스를 제어합니다.
-
공유 권한에 대한 ACE에 덜 제한적이고 보다 일반적인 공유 액세스를 허용하고 파일 권한이 있는 사용자 및 그룹의 액세스를 잠가 보다 세부적인 액세스 제어를 제공합니다.
-
명시적으로 거부 ACL을 일반적으로 사용하지 마세요. 거부 ACL은 허용 ACL을 무시합니다. 파일 시스템에 대한 액세스를 신속하게 제한해야 하는 사용자나 그룹에 대해 명시적 거부 ACL 사용을 제한합니다.
-
다음 사항에 주의를 기울이십시오. "ACL 상속" 권한을 수정할 때의 설정; 파일 수가 많은 디렉토리나 볼륨의 최상위에 상속 플래그를 설정하면 해당 디렉토리나 볼륨 아래의 각 파일에 상속된 권한이 추가되어, 각 파일을 조정할 때 의도치 않은 액세스/거부 및 권한 수정의 장기적 반복과 같은 원치 않는 동작이 발생할 수 있습니다.
SMB 공유 보안 기능
Google Cloud NetApp Volumes 에서 SMB 액세스 권한이 있는 볼륨을 처음 만들면 해당 볼륨을 보호하기 위한 일련의 선택 사항이 제공됩니다.
이러한 선택 사항 중 일부는 Google Cloud NetApp Volumes 수준(성능 또는 소프트웨어)에 따라 달라지며 선택 사항은 다음과 같습니다.
-
스냅샷 디렉토리를 표시합니다( NetApp Volumes-Performance와 NetApp Volumes-SW 모두에서 사용 가능). 이 옵션은 SMB 클라이언트가 SMB 공유의 스냅샷 디렉토리에 액세스할 수 있는지 여부를 제어합니다.(
\\server\share\~snapshot
및/또는 이전 버전 탭). 기본 설정은 선택 안 함입니다. 즉, 볼륨이 기본적으로 숨겨지고 액세스가 허용되지 않음을 의미합니다.~snapshot
디렉토리에 있고 볼륨의 이전 버전 탭에 스냅샷 복사본이 나타나지 않습니다.
보안상의 이유, 성능상의 이유(AV 검사에서 이러한 폴더를 숨김) 또는 기본 설정상의 이유로 최종 사용자에게서 스냅샷 사본을 숨기는 것이 바람직할 수 있습니다. Google Cloud NetApp Volumes 스냅샷은 읽기 전용이므로 이러한 스냅샷이 표시되더라도 최종 사용자는 스냅샷 디렉터리에 있는 파일을 삭제하거나 수정할 수 없습니다. 스냅샷 복사본이 생성될 당시의 파일이나 폴더에 대한 파일 권한이 적용됩니다. 스냅샷 복사본 사이에서 파일이나 폴더의 권한이 변경되면 해당 변경 사항은 스냅샷 디렉터리의 파일이나 폴더에도 적용됩니다. 사용자와 그룹은 권한에 따라 이러한 파일이나 폴더에 액세스할 수 있습니다. 스냅샷 디렉토리에 있는 파일을 삭제하거나 수정하는 것은 불가능하지만, 스냅샷 디렉토리 외부로 파일이나 폴더를 복사하는 것은 가능합니다.
-
SMB 암호화를 활성화합니다( NetApp Volumes-Performance 및 NetApp Volumes-SW 모두에서 사용 가능). 기본적으로 SMB 공유에서는 SMB 암호화가 비활성화되어 있습니다(체크 안 함). 상자를 선택하면 SMB 암호화가 활성화되어 SMB 클라이언트와 서버 간 트래픽이 지원되는 가장 높은 암호화 수준으로 전송 중에 암호화됩니다. Google Cloud NetApp Volumes SMB에 대해 최대 AES-256 암호화를 지원합니다. SMB 암호화를 활성화하면 SMB 클라이언트가 알아차릴 수도 있고 알아차리지 못할 수도 있는 성능 저하가 발생합니다. 대략 10~20% 정도입니다. NetApp 성능 저하가 허용 가능한 수준인지 확인하기 위해 테스트를 강력히 권장합니다.
-
SMB 공유 숨기기( NetApp Volumes-Performance 및 NetApp Volumes-SW 모두에서 사용 가능). 이 옵션을 설정하면 일반 탐색 시 SMB 공유 경로가 숨겨집니다. 이는 공유 경로를 모르는 클라이언트가 기본 UNC 경로에 액세스할 때 공유를 볼 수 없음을 의미합니다(예:
\\NetApp Volumes-SMB
). 확인란을 선택하면 SMB 공유 경로를 명시적으로 알고 있는 클라이언트나 그룹 정책 개체에 의해 정의된 공유 경로를 가진 클라이언트만 액세스할 수 있습니다(난독화를 통한 보안). -
액세스 기반 열거(ABE)를 활성화합니다(NetApp Volumes-SW에만 해당). 이는 SMB 공유를 숨기는 것과 비슷하지만, 공유나 파일은 해당 개체에 대한 액세스 권한이 없는 사용자나 그룹에게만 숨겨집니다. 예를 들어, Windows 사용자인 경우
joe
최소한 읽기 권한이 허용되지 않으면 Windows 사용자는 권한을 통해joe
SMB 공유나 파일을 전혀 볼 수 없습니다. 이 기능은 기본적으로 비활성화되어 있으며, 확인란을 선택하면 활성화할 수 있습니다. ABE에 대한 자세한 내용은 NetApp 기술 자료 문서를 참조하세요. "액세스 기반 열거(ABE)는 어떻게 작동합니까?" -
CA(Continuously Available) 공유 지원을 활성화합니다(NetApp Volumes-Performance에만 해당). "지속적으로 이용 가능한 SMB 주식" Google Cloud NetApp Volumes 백엔드 시스템의 노드 전체에 잠금 상태를 복제하여 장애 조치 이벤트 중에 애플리케이션 중단을 최소화하는 방법을 제공합니다. 이는 보안 기능은 아니지만 전반적인 복원력을 향상시킵니다. 현재 이 기능은 SQL Server 및 FSLogix 애플리케이션에서만 지원됩니다.
기본 숨겨진 공유
Google Cloud NetApp Volumes 에서 SMB 서버가 생성되면 "숨겨진 관리 공유" ($ 명명 규칙을 사용하여) 데이터 볼륨 SMB 공유에 추가로 생성됩니다. 여기에는 C$(네임스페이스 액세스)와 IPC$(프로그램 간 통신을 위한 명명된 파이프 공유, 예: Microsoft Management Console(MMC) 액세스에 사용되는 원격 프로시저 호출(RPC))가 포함됩니다.
IPC$ 공유에는 공유 ACL이 포함되어 있지 않으며 수정할 수 없습니다. 이는 RPC 호출에만 엄격하게 사용됩니다. "Windows는 기본적으로 이러한 공유에 대한 익명 액세스를 허용하지 않습니다." .
C$ 공유는 기본적으로 BUILTIN/Administrators 액세스를 허용하지만 Google Cloud NetApp Volumes 자동화는 공유 ACL을 제거하고 누구에게도 액세스를 허용하지 않습니다. C$ 공유에 액세스하면 Google Cloud NetApp Volumes 파일 시스템에 마운트된 모든 볼륨을 볼 수 있기 때문입니다. 결과적으로, 탐색을 시도합니다. \\SERVER\C$
실패하다.
로컬/BUILTIN 관리자/백업 권한이 있는 계정
Google Cloud NetApp Volumes SMB 서버는 특정 도메인 사용자 및 그룹에 액세스 권한을 적용하는 로컬 그룹(예: BUILTIN\Administrators)이 있다는 점에서 일반 Windows SMB 서버와 비슷한 기능을 유지합니다.
백업 사용자에 추가할 사용자를 지정하면 해당 Active Directory 연결을 사용하는 Google Cloud NetApp Volumes 인스턴스의 BUILTIN\Backup Operators 그룹에 사용자가 추가되어 다음을 가져옵니다. "SeBackupPrivilege 및 SeRestorePrivilege" .
보안 권한 사용자에 사용자를 추가하면 사용자에게 SeSecurityPrivilege가 부여됩니다. 이는 다음과 같은 일부 애플리케이션 사용 사례에 유용합니다. "SMB 공유의 SQL Server" .
적절한 권한이 있으면 MMC를 통해 Google Cloud NetApp Volumes 로컬 그룹 멤버십을 볼 수 있습니다. 다음 그림은 Google Cloud NetApp Volumes 콘솔을 사용하여 추가된 사용자를 보여줍니다.
다음 표는 기본 BUILTIN 그룹 목록과 기본적으로 추가되는 사용자/그룹을 보여줍니다.
로컬/BUILTIN 그룹 | 기본 멤버 |
---|---|
BUILTIN\관리자* |
도메인\도메인 관리자 |
BUILTIN\백업 운영자* |
None |
건물\게스트 |
도메인\도메인 게스트 |
BUILTIN\파워 유저 |
None |
BUILTIN\도메인 사용자 |
도메인\도메인 사용자 |
*그룹 멤버십은 Google Cloud NetApp Volumes Active Directory 연결 구성에서 제어됩니다.
MMC 창에서 로컬 사용자와 그룹(및 그룹 구성원)을 볼 수 있지만, 이 콘솔에서 개체를 추가하거나 삭제하거나 그룹 구성원 자격을 변경할 수는 없습니다. 기본적으로 Google Cloud NetApp Volumes 의 BUILTIN\Administrators 그룹에는 Domain Admins 그룹과 Administrator만 추가됩니다. 현재로서는 이를 수정할 수 없습니다.
MMC/컴퓨터 관리 액세스
Google Cloud NetApp Volumes 의 SMB 액세스는 컴퓨터 관리 MMC에 대한 연결을 제공하여 공유 항목을 보고, 공유 ACL을 관리하고, SMB 세션을 보고 관리하고 파일을 열 수 있도록 해줍니다.
Google Cloud NetApp Volumes 에서 SMB 공유 및 세션을 보려면 MMC를 사용하려면 현재 로그인한 사용자가 도메인 관리자여야 합니다. 다른 사용자는 MMC에서 SMB 서버를 보거나 관리할 수 있는 권한이 있으며, Google Cloud NetApp Volumes SMB 인스턴스에서 공유 또는 세션을 보려고 하면 권한이 없습니다 대화 상자가 표시됩니다.
SMB 서버에 연결하려면 컴퓨터 관리를 열고 컴퓨터 관리를 마우스 오른쪽 버튼으로 클릭한 다음 다른 컴퓨터에 연결을 선택하세요. 그러면 SMB 서버 이름( Google Cloud NetApp Volumes 볼륨 정보에서 확인 가능)을 입력할 수 있는 컴퓨터 선택 대화 상자가 열립니다.
적절한 권한으로 SMB 공유를 보면 Active Directory 연결을 공유하는 Google Cloud NetApp Volumes 인스턴스의 모든 사용 가능한 공유를 볼 수 있습니다. 이 동작을 제어하려면 Google Cloud NetApp Volumes 볼륨 인스턴스에서 SMB 공유 숨기기 옵션을 설정합니다.
지역당 하나의 Active Directory 연결만 허용됩니다.
다음 표는 MMC에서 지원/지원되지 않는 기능 목록을 보여줍니다.
지원되는 기능 | 지원되지 않는 기능 |
---|---|
|
|
SMB 서버 보안 정보
Google Cloud NetApp Volumes 의 SMB 서버는 Kerberos 클록 오차, 티켓 수명, 암호화 등을 포함하여 SMB 연결에 대한 보안 정책을 정의하는 일련의 옵션을 사용합니다.
다음 표에는 해당 옵션의 목록, 기능, 기본 구성, Google Cloud NetApp Volumes 에서 수정할 수 있는지 여부가 나와 있습니다. 일부 옵션은 Google Cloud NetApp Volumes 에 적용되지 않습니다.
보안 옵션 | 그것이 하는 일 | 기본값 | 바꿀 수 있나요? |
---|---|---|---|
최대 Kerberos 클록 오차(분) |
Google Cloud NetApp Volumes 와 도메인 컨트롤러 간의 최대 시간 차이. 시간 오차가 5분을 초과하면 Kerberos 인증이 실패합니다. 이는 Active Directory 기본값으로 설정됩니다. |
5 |
아니요 |
Kerberos 티켓 수명(시간) |
갱신이 필요하기 전까지 Kerberos 티켓이 유효한 최대 시간입니다. 10시간 이내에 갱신이 이루어지지 않을 경우 새로운 티켓을 구매해야 합니다. Google Cloud NetApp Volumes 이러한 갱신을 자동으로 수행합니다. Active Directory의 기본값은 10시간입니다. |
10 |
아니요 |
최대 Kerberos 티켓 갱신(일) |
새로운 승인 요청이 필요하기 전에 Kerberos 티켓을 갱신할 수 있는 최대 일수입니다. Google Cloud NetApp Volumes SMB 연결에 대한 티켓을 자동으로 갱신합니다. Active Directory의 기본값은 7일입니다. |
7 |
아니요 |
Kerberos KDC 연결 시간 초과(초) |
KDC 연결이 시간 초과되기 전까지의 시간(초)입니다. |
3 |
아니요 |
수신 SMB 트래픽에 대한 서명 필요 |
SMB 트래픽에 대한 서명이 필요하도록 설정합니다. true로 설정하면 서명을 지원하지 않는 클라이언트는 연결에 실패합니다. |
거짓 |
|
로컬 사용자 계정에 대한 암호 복잡성 요구 |
로컬 SMB 사용자의 비밀번호에 사용됩니다. Google Cloud NetApp Volumes 로컬 사용자 생성을 지원하지 않으므로 이 옵션은 Google Cloud NetApp Volumes 에 적용되지 않습니다. |
진실 |
아니요 |
Active Directory LDAP 연결에 start_tls 사용 |
Active Directory LDAP에 대한 TLS 연결을 시작하는 데 사용됩니다. Google Cloud NetApp Volumes 현재 이 기능을 활성화할 수 없습니다. |
거짓 |
아니요 |
Kerberos에 AES-128 및 AES-256 암호화가 활성화되어 있습니까? |
이는 Active Directory 연결에 AES 암호화를 사용할지 여부를 제어하며, Active Directory 연결을 만들거나 수정할 때 Active Directory 인증에 AES 암호화 사용 옵션을 통해 제어됩니다. |
거짓 |
예 |
LM 호환성 수준 |
Active Directory 연결에 지원되는 인증 언어 수준입니다. "섹션을 참조하세요.SMB 인증 방언 " 자세한 내용은. |
ntlmv2-krb |
아니요 |
수신 CIFS 트래픽에 SMB 암호화 요구 |
모든 공유에 SMB 암호화가 필요합니다. 이것은 Google Cloud NetApp Volumes 에서는 사용되지 않습니다. 대신 볼륨별로 암호화를 설정합니다(섹션 참조).SMB 공유 보안 기능 "). |
거짓 |
아니요 |
클라이언트 세션 보안 |
LDAP 통신에 대한 서명 및/또는 봉인을 설정합니다. 이 문제는 현재 Google Cloud NetApp Volumes 에 설정되어 있지 않지만 향후 릴리스에서는 이 문제를 해결하는 데 필요할 수 있습니다. Windows 패치로 인한 LDAP 인증 문제에 대한 수정 사항은 다음 섹션에서 다룹니다."LDAP 채널 바인딩." . |
None |
아니요 |
DC 연결을 위한 SMB2 활성화 |
DC 연결에는 SMB2를 사용합니다. 기본적으로 활성화되어 있습니다. |
시스템 기본값 |
아니요 |
LDAP 추천 추적 |
여러 LDAP 서버를 사용하는 경우, 참조 추적을 통해 클라이언트는 첫 번째 서버에서 항목을 찾을 수 없을 때 목록에 있는 다른 LDAP 서버를 참조할 수 있습니다. 현재 Google Cloud NetApp Volumes 에서는 지원되지 않습니다. |
거짓 |
아니요 |
보안 Active Directory 연결을 위해 LDAPS 사용 |
SSL을 통한 LDAP 사용을 활성화합니다. 현재 Google Cloud NetApp Volumes 에서는 지원되지 않습니다. |
거짓 |
아니요 |
DC 연결에는 암호화가 필요합니다. |
성공적인 DC 연결을 위해서는 암호화가 필요합니다. Google Cloud NetApp Volumes 에서는 기본적으로 비활성화되어 있습니다. |
거짓 |
아니요 |