Skip to main content
NetApp Solutions
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

중소기업

기여자

"중소기업" 는 이더넷 네트워크를 통해 여러 SMB 클라이언트에 중앙 집중식 사용자/그룹 인증, 권한, 잠금 및 파일 공유를 제공하는 Microsoft에서 개발한 네트워크 파일 공유 프로토콜입니다. 파일 및 폴더는 다양한 공유 속성으로 구성할 수 있고 공유 수준 권한을 통해 액세스 제어를 제공하는 공유를 통해 클라이언트에 제공됩니다. SMB는 Windows, Apple 및 Linux 클라이언트를 비롯하여 프로토콜을 지원하는 모든 클라이언트에 제공될 수 있습니다.

Google Cloud NetApp Volumes는 SMB 2.1 및 3.x 버전의 프로토콜을 지원합니다.

액세스 제어/SMB 공유

  • Windows 사용자 이름이 Google Cloud NetApp 볼륨 볼륨에 대한 액세스를 요청하면 Google Cloud NetApp Volumes는 Google Cloud NetApp 볼륨 관리자가 구성한 방법을 사용하여 UNIX 사용자 이름을 찾습니다.

  • 외부 UNIX ID 공급자(LDAP)가 구성되어 있고 Windows/UNIX 사용자 이름이 동일한 경우 Windows 사용자 이름은 추가 구성 없이 1:1을 UNIX 사용자 이름으로 매핑합니다. LDAP가 설정되면 Active Directory를 사용하여 사용자 및 그룹 객체에 대한 UNIX 속성을 호스팅합니다.

  • Windows 이름과 UNIX 이름이 동일하게 일치하지 않는 경우, Google Cloud NetApp 볼륨에서 LDAP 이름 매핑 구성을 사용하도록 LDAP를 구성해야 ""비대칭 이름 매핑에 LDAP 사용""합니다(섹션 참조).

  • LDAP를 사용하지 않는 경우 Windows SMB 사용자는 Google Cloud NetApp 볼륨에 이라는 이름의 기본 로컬 UNIX 사용자에 매핑됩니다. pcuser 즉, 다중 프로토콜 NAS 환경에서와 같이 UNIX 소유권에 pcuser 매핑되는 사용자가 Windows로 작성한 파일을 pcuser 의미합니다. pcuser Linux 환경에서 사용자를 효과적으로 nobody 확인할 수 있습니다(UID 65534).

SMB만 사용하는 배포에서는 "pcuser" 매핑이 계속 발생하지만 Windows 사용자 및 그룹 소유권이 올바르게 표시되고 SMB 전용 볼륨에 대한 NFS 액세스가 허용되지 않으므로 문제가 되지 않습니다. 또한 SMB 전용 볼륨은 생성된 후 NFS 또는 이중 프로토콜 볼륨으로의 전환을 지원하지 않습니다.

Windows는 Active Directory 도메인 컨트롤러와의 사용자 이름 인증에 Kerberos를 사용합니다. 이 경우 Google Cloud NetApp 볼륨 인스턴스 외부에 있는 AD DC와 사용자 이름/암호를 교환해야 합니다. Kerberos 인증은 SMB 클라이언트에서 UNC 경로를 사용하고 다음 조건에 맞을 때 사용됩니다 \\SERVERNAME.

  • 서버 이름 에 대한 DNS A/AAAA 항목이 있습니다

  • SMB/CIFS 액세스에 유효한 SPN이 SERVERNAME에 존재합니다

Google Cloud NetApp 볼륨은 동적 DNS(DDNS)를 활용하여 DNS에 필요한 A/AAAA 및 PTR 항목을 생성하고 머신 계정 주체에 필요한 SPN 항목을 생성하므로 Google Cloud NetApp 볼륨 SMB 볼륨이 생성된다는 섹션에 정의된 대로 머신 계정 이름이 ""Google Cloud NetApp 볼륨이 Active Directory에 표시되는 방법""생성됩니다.

참고 PTR 항목을 생성하려면 Google Cloud NetApp 볼륨 인스턴스 IP 주소에 대한 역방향 조회 영역이 DNS 서버에 있어야 합니다.

예를 들어, 이 Google Cloud NetApp 볼륨 볼륨은 다음 UNC 공유 경로를 \\cvs-east- 433d.cvsdemo.local 사용합니다.

Active Directory에서 Google Cloud NetApp 볼륨에서 생성된 SPN 항목은 다음과 같습니다.

입력/출력 대화 상자 또는 작성된 내용을 표시하는 그림

DNS 정방향/역방향 조회 결과입니다.

PS C:\> nslookup NetApp Volumes-EAST-433D
Server:  activedirectory. region. lab. internal
Address:  10. xx.0. xx
Name:    NetApp Volumes-EAST-433D.cvsdemo.local
Address:  10. xxx.0. x
PS C:\> nslookup 10. xxx.0. x
Server:  activedirectory.region.lab.internal
Address:  10.xx.0.xx
Name:    NetApp Volumes-EAST-433D.CVSDEMO.LOCAL
Address:  10. xxx.0. x

선택적으로 Google Cloud NetApp Volumes에서 SMB 공유에 SMB 암호화를 설정/요구하여 더 많은 액세스 제어를 적용할 수 있습니다. 엔드포인트 중 하나가 SMB 암호화를 지원하지 않는 경우 액세스가 허용되지 않습니다.

SMB 이름 별칭 사용

경우에 따라 최종 사용자가 Google Cloud NetApp 볼륨에 사용 중인 머신 계정 이름을 아는 것이 보안상 우려될 수 있습니다. 또는 최종 사용자에게 더 간단한 액세스 경로를 제공하려는 경우도 있습니다. 이 경우 SMB 별칭을 생성할 수 있습니다.

SMB 공유 경로에 대한 별칭을 만들려는 경우 DNS에서 CNAME 레코드로 알려진 별칭을 활용할 수 있습니다. 예를 들어 이름이 \\cvs-east-433d.cvssdemo.local이 아닌 공유에 액세스하기 위해 \\cifs"를 사용하되 Kerberos 인증을 계속 사용하려면 기존 A/AAAA 레코드를 가리키는 DNS의 CNAME과 기존 컴퓨터 계정에 추가된 추가 SPN이 Kerberos 액세스를 제공합니다.

입력/출력 대화 상자 또는 작성된 내용을 표시하는 그림

CNAME을 추가한 후 생성되는 DNS 정방향 조회 결과입니다.

PS C:\> nslookup cifs
Server:  ok-activedirectory.us-east4-a.c.cv-solution-architect-lab.internal
Address:  10. xx.0. xx
Name:    NetApp Volumes-EAST-433D.cvsdemo.local
Address:  10. xxx.0. x
Aliases:  cifs.cvsdemo.local

새 SPN을 추가한 후 생성되는 SPN 쿼리입니다.

입력/출력 대화 상자 또는 작성된 내용을 표시하는 그림

패킷 캡처에서는 CNAME에 연결된 SPN을 사용하여 세션 설정 요청을 볼 수 있습니다.

입력/출력 대화 상자 또는 작성된 내용을 표시하는 그림

SMB 인증 방언

Google Cloud NetApp Volumes는 SMB 인증을 위해 다음을 "방언" 지원합니다.

  • LM

  • NTLM

  • NTLMv2

  • Kerberos

SMB 공유 액세스를 위한 Kerberos 인증은 사용할 수 있는 가장 안전한 인증 수준입니다. AES 및 SMB 암호화를 활성화하면 보안 수준이 더욱 높아집니다.

Google Cloud NetApp 볼륨은 LM 및 NTLM 인증을 위한 이전 버전과의 호환성도 지원합니다. Kerberos가 잘못 구성된 경우(예: SMB 별칭 생성 시), 공유 액세스는 NTLMv2와 같은 취약한 인증 방법으로 되돌아갑니다. 이러한 메커니즘은 보안성이 떨어지기 때문에 일부 Active Directory 환경에서는 비활성화됩니다. 취약한 인증 방법을 사용하지 않도록 설정하고 Kerberos를 제대로 구성하지 않으면 다시 사용할 유효한 인증 방법이 없기 때문에 공유 액세스가 실패합니다.

Active Directory에서 지원되는 인증 수준을 구성/보는 방법에 대한 자세한 내용은 을 참조하십시오 "네트워크 보안: LAN Manager 인증 레벨".

권한 모델

NTFS/파일 권한

NTFS 권한은 NTFS 로직을 따르는 파일 시스템의 파일 및 폴더에 적용되는 권한입니다. 기본 또는 고급 에서 NTFS 권한을 적용할 수 있으며 액세스 제어를 위해 허용 또는 거부 로 설정할 수 있습니다.

기본 사용 권한은 다음과 같습니다.

  • 모든 권한

  • 수정

  • 읽기 및 실행

  • 읽기

  • 쓰기

ACE라고 하는 사용자 또는 그룹에 대한 사용 권한을 설정하면 ACL에 상주합니다. NTFS 권한은 UNIX 모드 비트와 동일한 읽기/쓰기/실행 기본 사항을 사용하지만 소유권 가져오기, 폴더 만들기/데이터 추가, 속성 쓰기 등과 같은 보다 세분화된 확장 액세스 제어(특수 권한이라고도 함)로 확장할 수도 있습니다.

표준 UNIX 모드 비트는 NTFS 권한과 동일한 수준의 세분화 수준을 제공하지 않습니다(예: ACL에서 개별 사용자 및 그룹 개체에 대한 권한을 설정하거나 확장 속성을 설정할 수 있음). 그러나 NFSv4.1 ACL은 NTFS ACL과 동일한 기능을 제공합니다.

NTFS 권한은 공유 권한보다 더 구체적이며 공유 권한과 함께 사용할 수 있습니다. NTFS 권한 구조에서는 가장 제한적인 권한이 적용됩니다. 따라서 사용자 또는 그룹에 대한 명시적 변명의 경우 액세스 권한을 정의할 때 전체 제어보다 우선합니다.

NTFS 권한은 Windows SMB 클라이언트에서 제어됩니다.

공유 권한

공유 권한은 NTFS 권한(읽기/변경/모든 제어만 해당)보다 더 일반적이며, SMB 공유의 초기 항목을 제어합니다. 이는 NFS 내보내기 정책 규칙의 작동 방식과 유사합니다.

NFS 내보내기 정책 규칙은 IP 주소 또는 호스트 이름과 같은 호스트 기반 정보를 통해 액세스를 제어하지만 SMB 공유 권한은 공유 ACL에서 사용자 및 그룹 ACE를 사용하여 액세스를 제어할 수 있습니다. Windows 클라이언트 또는 Google Cloud NetApp 볼륨 관리 UI에서 공유 ACL을 설정할 수 있습니다.

기본적으로 공유 ACL 및 초기 볼륨 ACL에는 모든 권한이 있는 모든 사용자가 포함됩니다. 파일 ACL은 변경되어야 하지만 공유 권한은 공유의 객체에 대한 파일 권한에 의해 무시됩니다.

예를 들어, 사용자가 Google Cloud NetApp 볼륨 볼륨 파일 ACL에 대한 읽기 권한만 허용되는 경우 다음 그림과 같이 공유 ACL을 모든 권한이 있는 사용자로 설정하더라도 파일 및 폴더 생성 액세스가 거부됩니다.

입력/출력 대화 상자 또는 작성된 내용을 표시하는 그림

입력/출력 대화 상자 또는 작성된 내용을 표시하는 그림

최상의 보안 결과를 얻으려면 다음을 수행하십시오.

  • 공유 및 파일 ACL에서 모든 사용자를 제거하고 대신 사용자 또는 그룹에 대한 공유 액세스를 설정합니다.

  • 개별 사용자 대신 그룹을 사용하여 액세스 제어를 수행할 수 있어 관리가 용이하고 그룹 관리를 통해 ACL을 공유할 사용자를 더 빠르게 제거/추가할 수 있습니다.

  • 공유 권한에 있는 ACE에 대한 덜 제한적이고 보다 일반적인 공유 액세스를 허용하고 보다 세분화된 액세스 제어를 위한 파일 권한을 가진 사용자 및 그룹에 대한 액세스를 잠급니다.

  • 명시적 거부 ACL은 ACL 허용 을 재정의하므로 일반적인 사용을 피합니다. 파일 시스템에 대한 액세스를 신속하게 제한해야 하는 사용자 또는 그룹의 명시적 거부 ACL 사용을 제한합니다.

  • 에 주의를 기울이십시오 "ACL 상속" 사용 권한을 수정할 때 설정; 파일 수가 많은 디렉토리 또는 볼륨의 최상위 레벨에서 상속 플래그를 설정하면 해당 디렉토리 또는 볼륨 아래의 각 파일에 상속된 사용 권한이 추가되었음을 의미합니다. 의도하지 않은 액세스/거부 및 각 파일이 조정될 때 권한 수정 장기 이탈과 같은 원치 않는 동작이 발생할 수 있습니다.

SMB는 보안 기능을 공유합니다

Google Cloud NetApp 볼륨에서 SMB 액세스로 볼륨을 처음으로 생성할 때 해당 볼륨을 보호할 수 있는 일련의 선택 사항이 표시됩니다.

이러한 선택 사항 중 일부는 Google Cloud NetApp 볼륨 수준(성능 또는 소프트웨어)에 따라 다르며 다음과 같은 선택을 할 수 있습니다.

  • * 스냅샷 디렉토리를 표시합니다(NetApp 볼륨 - 성능 및 NetApp 볼륨 - SW 모두에 사용 가능). * 이 옵션은 SMB 클라이언트가 SMB 공유 및/또는 이전 버전 탭에서 스냅샷 디렉토리에 액세스할 수 있는지 여부를 (\\server\share\~snapshot`제어합니다.) 기본 설정은 선택되지 않습니다. 즉, 볼륨이 기본적으로 디렉토리에 대한 액세스를 숨기거나 허용하지 않으며 볼륨에 대한 이전 버전 탭에 스냅샷 복사본이 표시되지 않습니다. `~snapshot

입력/출력 대화 상자 또는 작성된 내용을 표시하는 그림

보안 상의 이유, 성능상의 이유(AV 스캔에서 이러한 폴더 숨기기) 또는 기본 설정을 위해 최종 사용자로부터 스냅샷 복사본을 숨기는 것이 좋습니다. Google Cloud NetApp 볼륨 스냅샷은 읽기 전용이므로 이러한 스냅샷이 표시되더라도 최종 사용자는 스냅샷 디렉토리에서 파일을 삭제하거나 수정할 수 없습니다. 스냅샷 복사본이 생성된 시점의 파일 또는 폴더에 대한 파일 권한이 적용됩니다. 파일 또는 폴더의 사용 권한이 Snapshot 복사본 간에 변경되면 변경 내용이 Snapshot 디렉토리의 파일 또는 폴더에도 적용됩니다. 사용자 및 그룹은 권한에 따라 이러한 파일 또는 폴더에 액세스할 수 있습니다. 스냅샷 디렉토리에서 파일을 삭제하거나 수정할 수는 없지만 스냅샷 디렉토리에서 파일 또는 폴더를 복사할 수는 있습니다.

  • * SMB 암호화를 활성화합니다(NetApp 볼륨 - 성능 및 NetApp 볼륨 - SW 모두에 사용 가능). * SMB 공유에서는 SMB 암호화가 기본적으로 해제되어 있습니다(선택 해제). 이 확인란을 선택하면 SMB 암호화가 활성화됩니다. 즉, SMB 클라이언트와 서버 간의 트래픽은 협상된 가장 높은 암호화 수준으로 전송 중에 암호화됩니다. Google Cloud NetApp Volumes는 SMB에 대해 최대 AES-256의 암호화를 지원합니다. SMB 암호화를 활성화하면 SMB 클라이언트에서 성능 저하가 발생할 수 있으며, 이는 대략 10~20% 범위에서 나타날 수도 있고 그렇지 않을 수도 있습니다. 테스트 결과, 성능 저하가 허용 가능한지 여부를 확인하는 것이 좋습니다.

  • * SMB 공유 숨기기(NetApp 볼륨 - 성능 및 NetApp 볼륨 - SW 모두에 사용 가능). * 이 옵션을 설정하면 SMB 공유 경로가 일반 검색에서 숨겨집니다. 즉, 공유 경로를 모르는 클라이언트는 기본 UNC 경로(예:)에 액세스할 때 공유를 볼 수 없습니다 \\NetApp Volumes-SMB. 이 확인란을 선택하면 SMB 공유 경로를 명시적으로 알고 있거나 그룹 정책 개체에서 정의한 공유 경로를 가진 클라이언트만 액세스할 수 있습니다(난독 처리를 통한 보안).

  • * 액세스 기반 열거 사용(ABE)(NetApp 볼륨 - SW 전용). * 공유 또는 파일은 개체에 액세스할 수 있는 권한이 없는 사용자 또는 그룹에서만 숨겨진다는 점을 제외하면 SMB 공유를 숨기는 것과 유사합니다. 예를 들어, Windows 사용자가 joe 권한을 통해 최소한 읽기 액세스 권한을 허용하지 않으면 Windows 사용자는 joe SMB 공유 또는 파일을 전혀 볼 수 없습니다. 이 기능은 기본적으로 비활성화되어 있으며 확인란을 선택하여 활성화할 수 있습니다. ABE에 대한 자세한 내용은 NetApp 기술 자료 문서 를 참조하십시오 "ABE(Access Based Enumeration)는 어떻게 작동합니까?"

  • * CA(Continuous Available) 공유 지원 활성화(NetApp 볼륨 - 성능만 해당). * "지속적으로 사용 가능한 SMB 공유" Google Cloud NetApp 볼륨 백엔드 시스템의 노드 간에 잠금 상태를 복제하여 페일오버 이벤트 중에 애플리케이션 중단을 최소화할 수 있는 방법을 제공합니다. 이 기능은 보안 기능이 아니지만 전반적으로 더 뛰어난 복원력을 제공합니다. 현재 이 기능에는 SQL Server 및 FSLogix 애플리케이션만 지원됩니다.

숨겨진 기본 공유

Google Cloud NetApp 볼륨에 SMB 서버가 생성되면 "숨겨진 관리 공유" 데이터 볼륨 SMB 공유 외에 추가로 생성됩니다(이름 지정 규칙 사용). 여기에는 C$(네임스페이스 액세스) 및 IPC$(Microsoft Management Console(MMC) 액세스에 사용되는 RPC(원격 프로시저 호출)와 같은 프로그램 간 통신을 위한 명명된 파이프 공유)가 포함됩니다.

IPC$ 공유는 공유 ACL을 포함하지 않으며 수정할 수 없습니다. RPC 호출 및 에 엄격하게 사용됩니다 "Windows에서는 기본적으로 이러한 공유에 대한 익명 액세스를 허용하지 않습니다".

C$ 공유는 기본적으로 BUILTIN/관리자 액세스를 허용하지만, Google Cloud NetApp 볼륨 자동화는 공유 ACL을 제거하고 다른 사람에 대한 액세스를 허용하지 않습니다. C$ 공유에 액세스하여 Google Cloud NetApp 볼륨 파일 시스템의 모든 마운트된 볼륨을 볼 수 있기 때문입니다. 따라서 에서 탐색이 실패하도록 \\SERVER\C$ 시도합니다.

로컬/BUILTIN 관리자/백업 권한이 있는 계정

Google Cloud NetApp 볼륨 SMB 서버는 도메인 사용자 및 그룹을 선택하는 데 액세스 권한을 적용하는 로컬 그룹(예: BUILTIN\Administrators)이 있다는 점에서 일반 Windows SMB 서버와 유사한 기능을 유지합니다.

Backup Users에 추가할 사용자를 지정하면 해당 Active Directory 연결을 사용하는 Google Cloud NetApp Volumes 인스턴스의 BUILTIN\Backup Operators 그룹에 해당 사용자가 추가되고 이 그룹에 추가됩니다. "SeBackupPrivilege 및 SeRestorePrivilege를 참조하십시오"

사용자를 보안 권한 사용자 에 추가하면 사용자에게 SeSecurityPrivilege 가 부여되며, 이 권한은 와 같은 일부 응용 프로그램 사용 사례에 유용합니다 "SMB 공유의 SQL Server".

입력/출력 대화 상자 또는 작성된 내용을 표시하는 그림

MMC를 통해 Google Cloud NetApp 로컬 그룹 멤버십을 적절한 Privileges로 볼 수 있습니다. 다음 그림에서는 Google Cloud NetApp 볼륨 콘솔을 사용하여 추가된 사용자를 보여 줍니다.

입력/출력 대화 상자 또는 작성된 내용을 표시하는 그림

다음 표에서는 기본 BUILTIN 그룹 목록과 기본적으로 추가되는 사용자/그룹을 보여 줍니다.

로컬/BUILTIN 그룹 기본 멤버

BUILTIN\Administrators *

Domain\Domain Admins입니다

BUILTIN\Backup Operators *

없음

BUILTIN\Guest입니다

도메인\도메인 게스트입니다

BUILTIN\고급 사용자

없음

BUILTIN\도메인 사용자

도메인\도메인 사용자

  • Google Cloud NetApp 볼륨 Active Directory 연결 구성에서 그룹 멤버십을 제어합니다.

MMC 창에서 로컬 사용자 및 그룹(및 그룹 구성원)을 볼 수 있지만 개체를 추가 또는 삭제하거나 이 콘솔에서 그룹 구성원을 변경할 수는 없습니다. 기본적으로 Domain Admins 그룹 및 Administrator만 Google Cloud NetApp 볼륨의 BUILTIN\Administrators 그룹에 추가됩니다. 현재 수정할 수 없습니다.

입력/출력 대화 상자 또는 작성된 내용을 표시하는 그림

입력/출력 대화 상자 또는 작성된 내용을 표시하는 그림

MMC/컴퓨터 관리 액세스

Google Cloud NetApp Volumes의 SMB 액세스: 컴퓨터 관리 MMC에 대한 연결을 제공합니다. 이렇게 하면 공유를 보고, ACL을 공유하고, SMB 세션 및 열린 파일을 확인/관리할 수 있습니다.

MMC를 사용하여 Google Cloud NetApp 볼륨에서 SMB 공유 및 세션을 보려면 현재 로그인한 사용자가 도메인 관리자여야 합니다. 다른 사용자는 MMC에서 SMB 서버를 보거나 관리할 수 있으며, Google Cloud NetApp 볼륨 SMB 인스턴스에서 공유 또는 세션을 확인하려고 할 때 사용 권한이 없음 대화 상자를 받을 수 있습니다.

SMB 서버에 연결하려면 컴퓨터 관리를 열고 컴퓨터 관리를 마우스 오른쪽 단추로 클릭한 다음 다른 컴퓨터에 연결을 선택합니다. 그러면 SMB 서버 이름(Google Cloud NetApp 볼륨 볼륨 정보에 있음)을 입력할 수 있는 컴퓨터 선택 대화 상자가 열립니다.

적절한 권한으로 SMB 공유를 보면 Active Directory 연결을 공유하는 Google Cloud NetApp 볼륨 인스턴스에서 사용 가능한 모든 공유를 볼 수 있습니다. 이 동작을 제어하려면 Google Cloud NetApp 볼륨 인스턴스에서 SMB 공유 숨기기 옵션을 설정하십시오.

지역당 하나의 Active Directory 연결만 허용됩니다.

입력/출력 대화 상자 또는 작성된 내용을 표시하는 그림

입력/출력 대화 상자 또는 작성된 내용을 표시하는 그림

다음 표에는 MMC에서 지원/지원되지 않는 기능 목록이 나와 있습니다.

지원되는 함수 지원되지 않는 함수
  • 공유 보기

  • 활성 SMB 세션을 봅니다

  • 열린 파일을 봅니다

  • 로컬 사용자 및 그룹을 봅니다

  • 로컬 그룹 구성원 자격을 봅니다

  • 시스템의 세션, 파일 및 트리 연결 목록을 열거합니다

  • 시스템에서 열려 있는 파일을 닫습니다

  • 열려 있는 세션을 닫습니다

  • 공유 생성/관리

  • 새 로컬 사용자/그룹을 생성합니다

  • 기존 로컬 사용자/그룹 관리/보기

  • 이벤트 또는 성능 로그를 봅니다

  • 스토리지 관리

  • 서비스 및 애플리케이션 관리

SMB 서버 보안 정보

Google Cloud NetApp Volumes의 SMB 서버는 Kerberos 클록 편중, 티켓 사용 기간, 암호화 등과 같은 SMB 연결에 대한 보안 정책을 정의하는 일련의 옵션을 사용합니다.

다음 표에는 이러한 옵션 목록, 해당 기능, 기본 구성, Google Cloud NetApp 볼륨에서 수정할 수 있는 경우 목록이 나와 있습니다. 일부 옵션은 Google Cloud NetApp 볼륨에 적용되지 않습니다.

보안 옵션 기능 기본값 변경할 수 있습니까?

최대 Kerberos 클럭 비뚤어짐(분)

Google Cloud NetApp 볼륨과 도메인 컨트롤러 간의 최대 시간 편중 시간 차이가 5분을 초과하면 Kerberos 인증이 실패합니다. 이 값은 Active Directory 기본값으로 설정됩니다.

5

아니요

Kerberos 티켓 수명(시간)

갱신이 요구되기 전에 Kerberos 티켓이 유효한 상태로 유지되는 최대 시간입니다. 10시간 전에 갱신이 발생하지 않으면 새 티켓을 받아야 합니다. Google Cloud NetApp Volumes는 이러한 갱신을 자동으로 수행합니다. Active Directory 기본값은 10시간입니다.

10

아니요

최대 Kerberos 티켓 갱신(일)

새 승인 요청이 필요해지기 전에 Kerberos 티켓을 갱신할 수 있는 최대 일 수입니다. Google Cloud NetApp 볼륨은 SMB 연결 티켓을 자동으로 갱신합니다. 7일은 Active Directory 기본값입니다.

7

아니요

Kerberos KDC 연결 시간 초과(초)

KDC 연결이 시간 초과되기 전의 시간(초)입니다.

3

아니요

수신 SMB 트래픽에 서명 필요

SMB 트래픽에 서명 필요 로 설정합니다. true로 설정하면 서명을 지원하지 않는 클라이언트가 연결되지 않습니다.

거짓

로컬 사용자 계정에 암호 복잡성 필요

로컬 SMB 사용자의 암호에 사용됩니다. Google Cloud NetApp 볼륨은 로컬 사용자 생성을 지원하지 않으므로 이 옵션은 Google Cloud NetApp 볼륨에 적용되지 않습니다.

아니요

Active Directory LDAP 연결에 start_TLS를 사용합니다

Active Directory LDAP에 대한 TLS 연결 시작을 활성화하는 데 사용됩니다. Google Cloud NetApp Volumes는 현재 이 활성화를 지원하지 않습니다.

거짓

아니요

Kerberos를 사용하도록 AES-128 및 AES-256 암호화를 사용합니다

Active Directory 연결에 AES 암호화를 사용할지 여부를 제어하고 Active Directory 연결을 생성/수정할 때 Active Directory 인증에 AES 암호화 사용 옵션을 사용하여 제어합니다.

거짓

LM 호환성 수준

Active Directory 연결에 대해 지원되는 인증 방언의 수준입니다. 자세한 내용은 " 단원을 참조하십시오SMB 인증 방언"를 참조하십시오.

NTLMv2 - KRB

아니요

수신 CIFS 트래픽에 SMB 암호화 필요

모든 공유에 SMB 암호화가 필요합니다. Google Cloud NetApp 볼륨에 사용되지 않고, 볼륨 단위로 암호화를 설정합니다(" 섹션 참조).SMB는 보안 기능을 공유합니다

거짓

아니요

클라이언트 세션 보안

LDAP 통신에 대한 서명 및/또는 봉인을 설정합니다. 이 기능은 현재 Google Cloud NetApp 볼륨에 설정되어 있지 않지만 향후 릴리즈에서 필요할 수 있습니다. Windows 패치로 인한 LDAP 인증 문제에 대한 해결 방법은 섹션에서 "“LDAP 채널 바인딩.”"설명합니다.

없음

아니요

SMB2가 DC 연결에 대해 설정됩니다

DC 연결에 SMB2를 사용합니다. 기본적으로 사용됩니다.

System - 기본값입니다

아니요

LDAP 조회

여러 LDAP 서버를 사용하는 경우 조회 추적을 통해 첫 번째 서버에서 항목을 찾을 수 없을 때 클라이언트가 목록의 다른 LDAP 서버를 참조할 수 있습니다. 이는 현재 Google Cloud NetApp 볼륨에서 지원되지 않습니다.

거짓

아니요

보안 Active Directory 연결에 LDAPS를 사용합니다

SSL을 통한 LDAP 사용을 활성화합니다. 현재 Google Cloud NetApp 볼륨에서 지원되지 않습니다.

거짓

아니요

DC 연결에 암호화가 필요합니다

성공적인 DC 연결을 위해 암호화가 필요합니다. Google Cloud NetApp 볼륨에서는 기본적으로 비활성화되어 있습니다.

거짓

아니요