인공 지능
중소기업
변경 제안
PDF
"중소기업" 는 이더넷 네트워크를 통해 여러 SMB 클라이언트에 중앙 집중식 사용자/그룹 인증, 권한, 잠금 및 파일 공유를 제공하는 Microsoft에서 개발한 네트워크 파일 공유 프로토콜입니다. 파일 및 폴더는 다양한 공유 속성으로 구성할 수 있고 공유 수준 권한을 통해 액세스 제어를 제공하는 공유를 통해 클라이언트에 제공됩니다. SMB는 Windows, Apple 및 Linux 클라이언트를 비롯하여 프로토콜을 지원하는 모든 클라이언트에 제공될 수 있습니다.
Cloud Volumes Service는 SMB 2.1 및 3.x 버전의 프로토콜을 지원합니다.
액세스 제어/SMB 공유
-
Windows 사용자 이름이 Cloud Volumes Service 볼륨에 대한 액세스를 요청하면 Cloud Volumes Service는 Cloud Volumes Service 관리자가 구성한 방법을 사용하여 UNIX 사용자 이름을 찾습니다.
-
외부 UNIX ID 공급자(LDAP)가 구성되어 있고 Windows/UNIX 사용자 이름이 동일한 경우 Windows 사용자 이름은 추가 구성 없이 1:1을 UNIX 사용자 이름으로 매핑합니다. LDAP가 설정되면 Active Directory를 사용하여 사용자 및 그룹 객체에 대한 UNIX 속성을 호스팅합니다.
-
Windows 이름과 UNIX 이름이 동일하게 일치하지 않으면 Cloud Volumes Service에서 LDAP 이름 매핑 구성을 사용할 수 있도록 LDAP를 구성해야 합니다(섹션 참조) ""비대칭 이름 매핑에 LDAP 사용"")를 클릭합니다.
-
LDAP를 사용하지 않는 경우 Windows SMB 사용자는 Cloud Volumes Service의 기본 로컬 UNIX 사용자 "pcuser"로 매핑됩니다. 즉, 멀티프로토콜 NAS 환경에서 pcuser로 매핑되는 사용자가 Windows에서 작성한 파일이 UNIX 소유권을 pcuser로 표시합니다. 여기에 있는 'pcuser'는 사실상 리눅스 환경(UID 65534)의 'nobody' 사용자입니다.
SMB만 사용하는 배포에서는 "pcuser" 매핑이 계속 발생하지만 Windows 사용자 및 그룹 소유권이 올바르게 표시되고 SMB 전용 볼륨에 대한 NFS 액세스가 허용되지 않으므로 문제가 되지 않습니다. 또한 SMB 전용 볼륨은 생성된 후 NFS 또는 이중 프로토콜 볼륨으로의 전환을 지원하지 않습니다.
Windows는 Active Directory 도메인 컨트롤러에서 사용자 이름 인증에 Kerberos를 사용합니다. 이 경우 AD DC와 사용자 이름/암호 교환이 필요하며 이는 Cloud Volumes Service 인스턴스 외부에 있습니다. Kerberos 인증은 SMB 클라이언트가 '\\서버 이름' UNC 경로를 사용하는 경우 사용되며 다음 조건이 적용됩니다.
-
서버 이름 에 대한 DNS A/AAAA 항목이 있습니다
-
SMB/CIFS 액세스에 유효한 SPN이 SERVERNAME에 존재합니다
Cloud Volumes Service SMB 볼륨이 생성되면 섹션에 정의된 대로 시스템 계정 이름이 생성됩니다 ""Cloud Volumes Service가 Active Directory에 표시되는 방식"" Cloud Volumes Service는 DDNS(동적 DNS)를 활용하여 DNS에 필요한 A/AAAA 및 PTR 항목을 생성하고 시스템 계정 보안 주체에 필요한 SPN 항목을 생성하기 때문에 해당 시스템 계정 이름도 SMB 공유 액세스 경로가 됩니다.
|
PTR 항목을 작성하려면 Cloud Volumes Service 인스턴스 IP 주소에 대한 역방향 조회 영역이 DNS 서버에 있어야 합니다. |
예를 들어, 이 Cloud Volumes Service 볼륨은 '\\cvs-east-433d.cvsdemo.local' UNC 공유 경로를 사용합니다.
Active Directory에서는 Cloud Volumes Service에서 생성한 SPN 항목이 다음과 같습니다.
DNS 정방향/역방향 조회 결과입니다.
PS C:\> nslookup CVS-EAST-433D Server: activedirectory. region. lab. internal Address: 10. xx.0. xx Name: CVS-EAST-433D.cvsdemo.local Address: 10. xxx.0. x PS C:\> nslookup 10. xxx.0. x Server: activedirectory.region.lab.internal Address: 10.xx.0.xx Name: CVS-EAST-433D.CVSDEMO.LOCAL Address: 10. xxx.0. x
선택적으로 Cloud Volumes Service에서 SMB 공유에 대한 SMB 암호화를 설정/요구하여 더 많은 액세스 제어를 적용할 수 있습니다. 엔드포인트 중 하나가 SMB 암호화를 지원하지 않는 경우 액세스가 허용되지 않습니다.
SMB 이름 별칭 사용
경우에 따라 최종 사용자가 Cloud Volumes Service에 사용 중인 컴퓨터 계정 이름을 알아야 하는 보안 문제가 발생할 수 있습니다. 또는 최종 사용자에게 더 간단한 액세스 경로를 제공하려는 경우도 있습니다. 이 경우 SMB 별칭을 생성할 수 있습니다.
SMB 공유 경로에 대한 별칭을 만들려는 경우 DNS에서 CNAME 레코드로 알려진 별칭을 활용할 수 있습니다. 예를 들어 이름이 \\cvs-east-433d.cvssdemo.local이 아닌 공유에 액세스하기 위해 \\cifs"를 사용하되 Kerberos 인증을 계속 사용하려면 기존 A/AAAA 레코드를 가리키는 DNS의 CNAME과 기존 컴퓨터 계정에 추가된 추가 SPN이 Kerberos 액세스를 제공합니다.
CNAME을 추가한 후 생성되는 DNS 정방향 조회 결과입니다.
PS C:\> nslookup cifs Server: ok-activedirectory.us-east4-a.c.cv-solution-architect-lab.internal Address: 10. xx.0. xx Name: CVS-EAST-433D.cvsdemo.local Address: 10. xxx.0. x Aliases: cifs.cvsdemo.local
새 SPN을 추가한 후 생성되는 SPN 쿼리입니다.
패킷 캡처에서는 CNAME에 연결된 SPN을 사용하여 세션 설정 요청을 볼 수 있습니다.
SMB 인증 방언
Cloud Volumes Service는 다음을 지원합니다 "방언" SMB 인증의 경우:
-
LM
-
NTLM
-
NTLMv2
-
Kerberos
SMB 공유 액세스를 위한 Kerberos 인증은 사용할 수 있는 가장 안전한 인증 수준입니다. AES 및 SMB 암호화를 활성화하면 보안 수준이 더욱 높아집니다.
또한 Cloud Volumes Service는 LM 및 NTLM 인증에 대한 이전 버전과의 호환성을 지원합니다. Kerberos가 잘못 구성된 경우(예: SMB 별칭 생성 시), 공유 액세스는 NTLMv2와 같은 취약한 인증 방법으로 되돌아갑니다. 이러한 메커니즘은 보안성이 떨어지기 때문에 일부 Active Directory 환경에서는 비활성화됩니다. 취약한 인증 방법을 사용하지 않도록 설정하고 Kerberos를 제대로 구성하지 않으면 다시 사용할 유효한 인증 방법이 없기 때문에 공유 액세스가 실패합니다.
Active Directory에서 지원되는 인증 수준을 구성/보는 방법에 대한 자세한 내용은 을 참조하십시오 "네트워크 보안: LAN Manager 인증 레벨".
권한 모델
NTFS/파일 권한
NTFS 권한은 NTFS 로직을 따르는 파일 시스템의 파일 및 폴더에 적용되는 권한입니다. 기본 또는 고급 에서 NTFS 권한을 적용할 수 있으며 액세스 제어를 위해 허용 또는 거부 로 설정할 수 있습니다.
기본 사용 권한은 다음과 같습니다.
-
모든 권한
-
수정
-
읽기 및 실행
-
읽기
-
쓰기
ACE라고 하는 사용자 또는 그룹에 대한 사용 권한을 설정하면 ACL에 상주합니다. NTFS 권한은 UNIX 모드 비트와 동일한 읽기/쓰기/실행 기본 사항을 사용하지만 소유권 가져오기, 폴더 만들기/데이터 추가, 속성 쓰기 등과 같은 보다 세분화된 확장 액세스 제어(특수 권한이라고도 함)로 확장할 수도 있습니다.
표준 UNIX 모드 비트는 NTFS 권한과 동일한 수준의 세분화 수준을 제공하지 않습니다(예: ACL에서 개별 사용자 및 그룹 개체에 대한 권한을 설정하거나 확장 속성을 설정할 수 있음). 그러나 NFSv4.1 ACL은 NTFS ACL과 동일한 기능을 제공합니다.
NTFS 권한은 공유 권한보다 더 구체적이며 공유 권한과 함께 사용할 수 있습니다. NTFS 권한 구조에서는 가장 제한적인 권한이 적용됩니다. 따라서 사용자 또는 그룹에 대한 명시적 변명의 경우 액세스 권한을 정의할 때 전체 제어보다 우선합니다.
NTFS 권한은 Windows SMB 클라이언트에서 제어됩니다.
공유 권한
공유 권한은 NTFS 권한(읽기/변경/모든 제어만 해당)보다 더 일반적이며, SMB 공유의 초기 항목을 제어합니다. 이는 NFS 내보내기 정책 규칙의 작동 방식과 유사합니다.
NFS 내보내기 정책 규칙은 IP 주소 또는 호스트 이름과 같은 호스트 기반 정보를 통해 액세스를 제어하지만 SMB 공유 권한은 공유 ACL에서 사용자 및 그룹 ACE를 사용하여 액세스를 제어할 수 있습니다. Windows 클라이언트 또는 Cloud Volumes Service 관리 UI에서 공유 ACL을 설정할 수 있습니다.
기본적으로 공유 ACL 및 초기 볼륨 ACL에는 모든 권한이 있는 모든 사용자가 포함됩니다. 파일 ACL은 변경되어야 하지만 공유 권한은 공유의 객체에 대한 파일 권한에 의해 무시됩니다.
예를 들어, 사용자가 Cloud Volumes Service 볼륨 파일 ACL에 대한 읽기 액세스만 허용되는 경우 다음 그림과 같이 공유 ACL이 모든 권한이 있는 사용자로 설정되어 있어도 파일 및 폴더 생성에 대한 액세스가 거부됩니다.
최상의 보안 결과를 얻으려면 다음을 수행하십시오.
-
공유 및 파일 ACL에서 모든 사용자를 제거하고 대신 사용자 또는 그룹에 대한 공유 액세스를 설정합니다.
-
개별 사용자 대신 그룹을 사용하여 액세스 제어를 수행할 수 있어 관리가 용이하고 그룹 관리를 통해 ACL을 공유할 사용자를 더 빠르게 제거/추가할 수 있습니다.
-
공유 권한에 있는 ACE에 대한 덜 제한적이고 보다 일반적인 공유 액세스를 허용하고 보다 세분화된 액세스 제어를 위한 파일 권한을 가진 사용자 및 그룹에 대한 액세스를 잠급니다.
-
명시적 거부 ACL은 ACL 허용 을 재정의하므로 일반적인 사용을 피합니다. 파일 시스템에 대한 액세스를 신속하게 제한해야 하는 사용자 또는 그룹의 명시적 거부 ACL 사용을 제한합니다.
-
에 주의를 기울이십시오 "ACL 상속" 사용 권한을 수정할 때 설정; 파일 수가 많은 디렉토리 또는 볼륨의 최상위 레벨에서 상속 플래그를 설정하면 해당 디렉토리 또는 볼륨 아래의 각 파일에 상속된 사용 권한이 추가되었음을 의미합니다. 의도하지 않은 액세스/거부 및 각 파일이 조정될 때 권한 수정 장기 이탈과 같은 원치 않는 동작이 발생할 수 있습니다.
SMB는 보안 기능을 공유합니다
Cloud Volumes Service에서 SMB 액세스가 가능한 볼륨을 처음 생성하면 해당 볼륨을 보호하기 위한 일련의 선택 사항이 표시됩니다.
이러한 선택 사항 중 일부는 Cloud Volumes Service 레벨(성능 또는 소프트웨어)에 따라 달라지며 다음과 같은 옵션이 있습니다.
-
* 스냅샷 디렉토리를 표시합니다(CVS - 성능 및 CVS - SW 모두에서 사용 가능). * 이 옵션은 SMB 클라이언트가 SMB 공유의 스냅샷 디렉토리에 액세스할 수 있는지 여부를 제어합니다('\\server\share\~snapshot' 및/또는 Previous Versions 탭). 기본 설정은 선택되지 않습니다. 즉, 볼륨이 기본적으로 `~snapshot' 디렉토리에 대한 액세스를 숨기거나 허용하지 않으며 볼륨의 이전 버전 탭에 스냅샷 복사본이 나타나지 않습니다.
보안 상의 이유, 성능상의 이유(AV 스캔에서 이러한 폴더 숨기기) 또는 기본 설정을 위해 최종 사용자로부터 스냅샷 복사본을 숨기는 것이 좋습니다. Cloud Volumes Service 스냅샷은 읽기 전용이므로 이러한 스냅샷이 표시되는 경우에도 최종 사용자는 스냅샷 디렉토리의 파일을 삭제하거나 수정할 수 없습니다. 스냅샷 복사본이 생성된 시점의 파일 또는 폴더에 대한 파일 권한이 적용됩니다. 파일 또는 폴더의 사용 권한이 Snapshot 복사본 간에 변경되면 변경 내용이 Snapshot 디렉토리의 파일 또는 폴더에도 적용됩니다. 사용자 및 그룹은 권한에 따라 이러한 파일 또는 폴더에 액세스할 수 있습니다. 스냅샷 디렉토리에서 파일을 삭제하거나 수정할 수는 없지만 스냅샷 디렉토리에서 파일 또는 폴더를 복사할 수는 있습니다.
-
* SMB 암호화 활성화(CVS - 성능 및 CVS - SW 모두에 사용 가능). * SMB 공유에서 SMB 암호화는 기본적으로 비활성화되어 있습니다(선택 취소됨). 이 확인란을 선택하면 SMB 암호화가 활성화됩니다. 즉, SMB 클라이언트와 서버 간의 트래픽은 협상된 가장 높은 암호화 수준으로 전송 중에 암호화됩니다. Cloud Volumes Service는 SMB에 대해 최대 AES-256 암호화를 지원합니다. SMB 암호화를 활성화하면 SMB 클라이언트에서 성능 저하가 발생할 수 있으며, 이는 대략 10~20% 범위에서 나타날 수도 있고 그렇지 않을 수도 있습니다. 테스트 결과, 성능 저하가 허용 가능한지 여부를 확인하는 것이 좋습니다.
-
* SMB 공유 숨기기(CVS - 성능 및 CVS - SW 모두에 사용 가능) * 이 옵션을 설정하면 SMB 공유 경로가 일반 탐색에서 숨겨집니다. 즉, 공유 경로를 모르는 클라이언트는 기본 UNC 경로("\\CVS-SMB" 등)에 액세스할 때 공유를 볼 수 없습니다. 이 확인란을 선택하면 SMB 공유 경로를 명시적으로 알고 있거나 그룹 정책 개체에서 정의한 공유 경로를 가진 클라이언트만 액세스할 수 있습니다(난독 처리를 통한 보안).
-
* ABE(액세스 기반 열거) 사용(CVS-SW만 해당). * SMB 공유를 숨기는 것과 비슷하지만, 공유 또는 파일이 개체에 액세스할 권한이 없는 사용자 또는 그룹에서만 숨겨지는 것을 제외하고는 차이가 있습니다. 예를 들어, Windows 사용자 'Joe'가 권한을 통한 읽기 액세스를 최소한 허용하지 않으면 Windows 사용자 'Joe'는 SMB 공유나 파일을 전혀 볼 수 없습니다. 이 기능은 기본적으로 비활성화되어 있으며 확인란을 선택하여 활성화할 수 있습니다. ABE에 대한 자세한 내용은 NetApp 기술 자료 문서를 참조하십시오 "ABE(Access Based Enumeration)는 어떻게 작동합니까?"
-
* 지속적으로 사용 가능한(CA) 공유 지원 활성화(CVS - 성능만 해당) * "지속적으로 사용 가능한 SMB 공유" Cloud Volumes Service 백엔드 시스템의 노드 간에 잠금 상태를 복제하여 페일오버 이벤트 중에 애플리케이션 중단을 최소화할 수 있는 방법을 제공합니다. 이 기능은 보안 기능이 아니지만 전반적으로 더 뛰어난 복원력을 제공합니다. 현재 이 기능에는 SQL Server 및 FSLogix 애플리케이션만 지원됩니다.
숨겨진 기본 공유
SMB 서버가 Cloud Volumes Service에서 생성되면 서버가 생성됩니다 "숨겨진 관리 공유" ($ 명명 규칙 사용) - 데이터 볼륨 SMB 공유 이외에 생성됩니다. 여기에는 C$(네임스페이스 액세스) 및 IPC$(Microsoft Management Console(MMC) 액세스에 사용되는 RPC(원격 프로시저 호출)와 같은 프로그램 간 통신을 위한 명명된 파이프 공유)가 포함됩니다.
IPC$ 공유는 공유 ACL을 포함하지 않으며 수정할 수 없습니다. RPC 호출 및 에 엄격하게 사용됩니다 "Windows에서는 기본적으로 이러한 공유에 대한 익명 액세스를 허용하지 않습니다".
C$ 공유는 기본적으로 BUILTIN/Administrators 액세스를 허용하지만, Cloud Volumes Service 자동화는 공유 ACL을 제거하고, C$ 공유에 대한 액세스를 통해 Cloud Volumes Service 파일 시스템에 마운트된 모든 볼륨을 볼 수 있으므로 다른 사람에게 액세스를 허용하지 않습니다. 따라서 '\\server\C$'로 이동하려고 하면 실패합니다.
로컬/BUILTIN 관리자/백업 권한이 있는 계정
Cloud Volumes Service SMB 서버는 일부 도메인 사용자 및 그룹에 액세스 권한을 적용하는 로컬 그룹(예: BUILTIN\Administrators)이 있다는 점에서 일반 Windows SMB 서버와 유사한 기능을 유지합니다.
백업 사용자에 추가할 사용자를 지정하면 해당 Active Directory 연결을 사용하는 Cloud Volumes Service 인스턴스의 BUILTIN\Backup Operators 그룹에 사용자가 추가되고 이 그룹에 이 사용자가 추가됩니다 "SeBackupPrivilege 및 SeRestorePrivilege를 참조하십시오".
사용자를 보안 권한 사용자 에 추가하면 사용자에게 SeSecurityPrivilege 가 부여되며, 이 권한은 와 같은 일부 응용 프로그램 사용 사례에 유용합니다 "SMB 공유의 SQL Server".
적절한 권한이 있는 MMC를 통해 Cloud Volumes Service 로컬 그룹 구성원 자격을 볼 수 있습니다. 다음 그림에서는 Cloud Volumes Service 콘솔을 사용하여 추가된 사용자를 보여 줍니다.
다음 표에서는 기본 BUILTIN 그룹 목록과 기본적으로 추가되는 사용자/그룹을 보여 줍니다.
| 로컬/BUILTIN 그룹 | 기본 멤버 |
|---|---|
BUILTIN\Administrators * |
Domain\Domain Admins입니다 |
BUILTIN\Backup Operators * |
없음 |
BUILTIN\Guest입니다 |
도메인\도메인 게스트입니다 |
BUILTIN\고급 사용자 |
없음 |
BUILTIN\도메인 사용자 |
도메인\도메인 사용자 |
-
Cloud Volumes Service Active Directory 연결 구성에서 그룹 멤버십이 제어됩니다.
MMC 창에서 로컬 사용자 및 그룹(및 그룹 구성원)을 볼 수 있지만 개체를 추가 또는 삭제하거나 이 콘솔에서 그룹 구성원을 변경할 수는 없습니다. 기본적으로 도메인 관리자 그룹 및 관리자만 Cloud Volumes Service의 BUILTIN\Administrators 그룹에 추가됩니다. 현재 수정할 수 없습니다.
MMC/컴퓨터 관리 액세스
Cloud Volumes Service의 SMB 액세스는 공유를 보고, 공유 ACL을 관리하고, SMB 세션 및 열린 파일을 확인/관리할 수 있는 컴퓨터 관리 MMC에 대한 연결을 제공합니다.
MMC를 사용하여 Cloud Volumes Service에서 SMB 공유 및 세션을 보려면 현재 로그인한 사용자가 도메인 관리자여야 합니다. 다른 사용자는 MMC에서 SMB 서버를 보거나 관리할 수 있으며 Cloud Volumes Service SMB 인스턴스에서 공유 또는 세션을 보려고 할 때 사용 권한 없음 대화 상자를 받을 수 있습니다.
SMB 서버에 연결하려면 컴퓨터 관리를 열고 컴퓨터 관리를 마우스 오른쪽 단추로 클릭한 다음 다른 컴퓨터에 연결을 선택합니다. 그러면 Cloud Volumes Service 볼륨 정보에 있는 SMB 서버 이름을 입력할 수 있는 컴퓨터 선택 대화 상자가 열립니다.
적절한 권한이 있는 SMB 공유를 보면 Active Directory 연결을 공유하는 Cloud Volumes Service 인스턴스에서 사용 가능한 모든 공유가 표시됩니다. 이 동작을 제어하려면 Cloud Volumes Service 볼륨 인스턴스에서 SMB 공유 숨기기 옵션을 설정합니다.
지역당 하나의 Active Directory 연결만 허용됩니다.
다음 표에는 MMC에서 지원/지원되지 않는 기능 목록이 나와 있습니다.
| 지원되는 함수 | 지원되지 않는 함수 |
|---|---|
|
|
SMB 서버 보안 정보
Cloud Volumes Service의 SMB 서버는 Kerberos 클록 편중, 티켓 사용 기간, 암호화 등 SMB 연결에 대한 보안 정책을 정의하는 일련의 옵션을 사용합니다.
다음 표에는 이러한 옵션, 기능, 기본 설정 및 Cloud Volumes Service를 사용하여 수정할 수 있는 경우 등이 나와 있습니다. 일부 옵션은 Cloud Volumes Service에는 적용되지 않습니다.
| 보안 옵션 | 기능 | 기본값 | 변경할 수 있습니까? |
|---|---|---|---|
최대 Kerberos 클럭 비뚤어짐(분) |
Cloud Volumes Service와 도메인 컨트롤러 간의 최대 시간 편중 시간 차이가 5분을 초과하면 Kerberos 인증이 실패합니다. 이 값은 Active Directory 기본값으로 설정됩니다. |
5 |
아니요 |
Kerberos 티켓 수명(시간) |
갱신이 요구되기 전에 Kerberos 티켓이 유효한 상태로 유지되는 최대 시간입니다. 10시간 전에 갱신이 발생하지 않으면 새 티켓을 받아야 합니다. Cloud Volumes Service는 이러한 갱신을 자동으로 수행합니다. Active Directory 기본값은 10시간입니다. |
10 |
아니요 |
최대 Kerberos 티켓 갱신(일) |
새 승인 요청이 필요해지기 전에 Kerberos 티켓을 갱신할 수 있는 최대 일 수입니다. Cloud Volumes Service는 SMB 연결에 대한 티켓을 자동으로 갱신합니다. 7일은 Active Directory 기본값입니다. |
7 |
아니요 |
Kerberos KDC 연결 시간 초과(초) |
KDC 연결이 시간 초과되기 전의 시간(초)입니다. |
3 |
아니요 |
수신 SMB 트래픽에 서명 필요 |
SMB 트래픽에 서명 필요 로 설정합니다. true로 설정하면 서명을 지원하지 않는 클라이언트가 연결되지 않습니다. |
거짓 |
|
로컬 사용자 계정에 암호 복잡성 필요 |
로컬 SMB 사용자의 암호에 사용됩니다. Cloud Volumes Service는 로컬 사용자 생성을 지원하지 않으므로 이 옵션은 Cloud Volumes Service에는 적용되지 않습니다. |
참 |
아니요 |
Active Directory LDAP 연결에 start_TLS를 사용합니다 |
Active Directory LDAP에 대한 TLS 연결 시작을 활성화하는 데 사용됩니다. Cloud Volumes Service에서는 현재 이 설정을 지원하지 않습니다. |
거짓 |
아니요 |
Kerberos를 사용하도록 AES-128 및 AES-256 암호화를 사용합니다 |
Active Directory 연결에 AES 암호화를 사용할지 여부를 제어하고 Active Directory 연결을 생성/수정할 때 Active Directory 인증에 AES 암호화 사용 옵션을 사용하여 제어합니다. |
거짓 |
예 |
LM 호환성 수준 |
Active Directory 연결에 대해 지원되는 인증 방언의 수준입니다. 자세한 내용은 " 단원을 참조하십시오SMB 인증 방언"를 참조하십시오. |
NTLMv2 - KRB |
아니요 |
수신 CIFS 트래픽에 SMB 암호화 필요 |
모든 공유에 SMB 암호화가 필요합니다. 이 기능은 Cloud Volumes Service에서 사용되지 않으며 대신 볼륨별로 암호화를 설정합니다(“ 절 참조)SMB는 보안 기능을 공유합니다"). |
거짓 |
아니요 |
클라이언트 세션 보안 |
LDAP 통신에 대한 서명 및/또는 봉인을 설정합니다. 이 설정은 현재 Cloud Volumes Service에 설정되어 있지 않지만 향후 릴리즈에서 필요할 수 있습니다. Windows 패치로 인한 LDAP 인증 문제에 대한 해결 방법은 섹션에서 설명합니다 "“LDAP 채널 바인딩.”". |
없음 |
아니요 |
SMB2가 DC 연결에 대해 설정됩니다 |
DC 연결에 SMB2를 사용합니다. 기본적으로 사용됩니다. |
System - 기본값입니다 |
아니요 |
LDAP 조회 |
여러 LDAP 서버를 사용하는 경우 조회 추적을 통해 첫 번째 서버에서 항목을 찾을 수 없을 때 클라이언트가 목록의 다른 LDAP 서버를 참조할 수 있습니다. 현재 Cloud Volumes Service에서는 지원되지 않습니다. |
거짓 |
아니요 |
보안 Active Directory 연결에 LDAPS를 사용합니다 |
SSL을 통한 LDAP 사용을 활성화합니다. 현재 Cloud Volumes Service에서 지원되지 않습니다. |
거짓 |
아니요 |
DC 연결에 암호화가 필요합니다 |
성공적인 DC 연결을 위해 암호화가 필요합니다. Cloud Volumes Service에서 기본적으로 비활성화되어 있습니다. |
거짓 |
아니요 |