클라이언트 인증 및 권한 부여
변경 제안
PDF
ONTAP는 표준 방법을 사용하여 클라이언트 및 관리자의 스토리지 액세스를 보호하고 바이러스로부터 보호합니다. 사용되지 않는 데이터의 암호화 및 WORM 스토리지의 고급 기술을 사용할 수 있습니다.
ONTAP는 신뢰할 수 있는 소스로 ID를 확인하여 클라이언트 시스템과 사용자를 인증합니다. ONTAP는 사용자의 자격 증명을 파일 또는 디렉터리에 구성된 권한과 비교하여 사용자가 파일 또는 디렉터리에 액세스할 수 있도록 승인합니다.
인증
로컬 또는 원격 사용자 계정을 생성할 수 있습니다.
-
로컬 계정은 계정 정보가 스토리지 시스템에 상주하는 계정입니다.
-
원격 계정은 계정 정보가 Active Directory 도메인 컨트롤러, LDAP 서버 또는 NIS 서버에 저장되는 계정입니다.
ONTAP는 로컬 또는 외부 이름 서비스를 사용하여 호스트 이름, 사용자, 그룹, 넷그룹 및 이름 매핑 정보를 조회합니다. ONTAP는 다음과 같은 이름 서비스를 지원합니다.
-
로컬 사용자
-
DNS
-
외부 NIS 도메인입니다
-
외부 LDAP 도메인입니다
_name 서비스 스위치 table_은 네트워크 정보를 검색할 소스 및 검색 순서를 지정합니다(UNIX 시스템의 /etc/nsswitch.conf 파일에 해당하는 기능 제공). NAS 클라이언트가 SVM에 연결되면 ONTAP는 지정된 이름 서비스를 확인하여 필요한 정보를 얻습니다.
|
권한 부여
ONTAP은 세 가지 보안 수준을 평가하여 엔티티가 SVM에 있는 파일 및 디렉토리에 대해 요청된 작업을 수행할 수 있는 권한이 있는지 확인합니다. 액세스 권한은 보안 수준을 평가한 후 유효한 사용 권한에 따라 결정됩니다.
-
내보내기(NFS) 및 공유(SMB) 보안
내보내기 및 공유 보안은 지정된 NFS 내보내기 또는 SMB 공유에 대한 클라이언트 액세스에 적용됩니다. 관리 권한이 있는 사용자는 SMB 및 NFS 클라이언트의 내보내기 및 공유 수준 보안을 관리할 수 있습니다.
-
스토리지 레벨 Access Guard 파일 및 디렉토리 보안
스토리지 레벨 액세스 가드 보안은 SMB 및 NFS 클라이언트가 SVM 볼륨에 액세스하는 데 적용됩니다. NTFS 액세스 권한만 지원됩니다. ONTAP에서 UNIX 사용자에 대한 보안 검사를 수행하여 스토리지 수준 액세스 가드가 적용된 볼륨의 데이터에 액세스하려면 UNIX 사용자는 볼륨을 소유한 SVM에서 Windows 사용자에게 매핑해야 합니다.
-
NTFS, UNIX 및 NFSv4 네이티브 파일 레벨 보안
네이티브 파일 레벨 보안은 스토리지 객체를 나타내는 파일 또는 디렉토리에 존재합니다. 클라이언트에서 파일 수준 보안을 설정할 수 있습니다. 파일 권한은 SMB 또는 NFS를 사용하여 데이터를 액세스하든 관계없이 유효합니다.
SAML을 통한 인증
ONTAP는 원격 사용자 인증을 위해 SAML(Security Assertion Markup Language)을 지원합니다. 몇 가지 인기 ID 공급자(IdP)가 지원됩니다. 지원되는 IdP 및 SAML 인증 설정에 대한 자세한 내용은 을 참조하십시오 "SAML 인증을 구성합니다".
ONTAP REST API 클라이언트가 포함된 OAuth 2.0
Open Authorization(OAuth 2.0) 프레임워크에 대한 지원은 ONTAP 9.14부터 제공됩니다. 클라이언트가 REST API를 사용하여 ONTAP에 액세스할 때 OAuth 2.0만 사용하여 권한 부여 및 액세스 결정을 제어할 수 있습니다. 하지만 CLI, System Manager, REST API를 포함한 모든 ONTAP 관리 인터페이스에서 기능을 구성하고 사용하도록 설정할 수 있습니다.
표준 OAuth 2.0 기능은 널리 사용되는 여러 인증 서버와 함께 지원됩니다. 상호 TLS를 기반으로 보낸 사람 제한 액세스 토큰을 사용하면 ONTAP 보안을 더욱 강화할 수 있습니다. 또한 자체 포함된 범위, ONTAP REST 역할 및 로컬 사용자 정의와의 통합 등 다양한 인증 옵션을 사용할 수 있습니다. 을 참조하십시오 "ONTAP OAuth 2.0 구축 개요" 를 참조하십시오.