클라이언트 인증 및 권한 부여
변경 제안
PDF
ONTAP는 표준 방법을 사용하여 클라이언트 및 관리자의 스토리지 액세스를 보호하고 바이러스로부터 보호합니다. 사용되지 않는 데이터의 암호화 및 WORM 스토리지의 고급 기술을 사용할 수 있습니다.
ONTAP는 신뢰할 수 있는 소스로 ID를 확인하여 클라이언트 시스템과 사용자를 인증합니다. ONTAP는 사용자의 자격 증명을 파일 또는 디렉터리에 구성된 권한과 비교하여 사용자가 파일 또는 디렉터리에 액세스할 수 있도록 승인합니다.
인증
로컬 또는 원격 사용자 계정을 생성할 수 있습니다.
-
로컬 계정은 계정 정보가 스토리지 시스템에 상주하는 계정입니다.
-
원격 계정은 계정 정보가 Active Directory 도메인 컨트롤러, LDAP 서버 또는 NIS 서버에 저장되는 계정입니다.
ONTAP는 로컬 또는 외부 이름 서비스를 사용하여 호스트 이름, 사용자, 그룹, 넷그룹 및 이름 매핑 정보를 조회합니다. ONTAP는 다음과 같은 이름 서비스를 지원합니다.
-
로컬 사용자
-
DNS
-
외부 NIS 도메인입니다
-
외부 LDAP 도메인입니다
_name 서비스 스위치 table_은 네트워크 정보를 검색할 소스 및 검색 순서를 지정합니다(UNIX 시스템의 /etc/nsswitch.conf 파일에 해당하는 기능 제공). NAS 클라이언트가 SVM에 연결되면 ONTAP는 지정된 이름 서비스를 확인하여 필요한 정보를 얻습니다.
|
권한 부여
ONTAP은 세 가지 보안 수준을 평가하여 엔티티가 SVM에 있는 파일 및 디렉토리에 대해 요청된 작업을 수행할 수 있는 권한이 있는지 확인합니다. 액세스 권한은 보안 수준을 평가한 후 유효한 사용 권한에 따라 결정됩니다.
-
내보내기(NFS) 및 공유(SMB) 보안
내보내기 및 공유 보안은 지정된 NFS 내보내기 또는 SMB 공유에 대한 클라이언트 액세스에 적용됩니다. 관리 권한이 있는 사용자는 SMB 및 NFS 클라이언트의 내보내기 및 공유 수준 보안을 관리할 수 있습니다.
-
스토리지 레벨 Access Guard 파일 및 디렉토리 보안
스토리지 레벨 액세스 가드 보안은 SMB 및 NFS 클라이언트가 SVM 볼륨에 액세스하는 데 적용됩니다. NTFS 액세스 권한만 지원됩니다. ONTAP에서 UNIX 사용자에 대한 보안 검사를 수행하여 스토리지 수준 액세스 가드가 적용된 볼륨의 데이터에 액세스하려면 UNIX 사용자는 볼륨을 소유한 SVM에서 Windows 사용자에게 매핑해야 합니다.
-
NTFS, UNIX 및 NFSv4 네이티브 파일 레벨 보안
네이티브 파일 레벨 보안은 스토리지 객체를 나타내는 파일 또는 디렉토리에 존재합니다. 클라이언트에서 파일 수준 보안을 설정할 수 있습니다. 파일 권한은 SMB 또는 NFS를 사용하여 데이터를 액세스하든 관계없이 유효합니다.
SAML을 통한 인증
ONTAP는 원격 사용자 인증을 위해 SAML(Security Assertion Markup Language)을 지원합니다. 여러 인기 있는 ID 공급자(IdPs)가 지원됩니다. 지원되는 IdPs 및 SAML 인증 활성화 방법에 대한 자세한 내용은 "SAML 인증을 구성합니다"을 참조하십시오.
ONTAP REST API 클라이언트가 포함된 OAuth 2.0
Open Authorization(OAuth 2.0) 프레임워크에 대한 지원은 ONTAP 9.14부터 제공됩니다. 클라이언트가 REST API를 사용하여 ONTAP에 액세스할 때 OAuth 2.0만 사용하여 권한 부여 및 액세스 결정을 제어할 수 있습니다. 하지만 CLI, System Manager, REST API를 포함한 모든 ONTAP 관리 인터페이스에서 기능을 구성하고 사용하도록 설정할 수 있습니다.
표준 OAuth 2.0 기능은 널리 사용되는 여러 인증 서버와 함께 지원됩니다. 상호 TLS를 기반으로 보낸 사람 제한 액세스 토큰을 사용하면 ONTAP 보안을 더욱 강화할 수 있습니다. 또한 자체 포함된 범위, ONTAP REST 역할 및 로컬 사용자 정의와의 통합 등 다양한 인증 옵션을 사용할 수 있습니다. 을 참조하십시오 "ONTAP OAuth 2.0 구축 개요" 를 참조하십시오.