NFS 보안
내보내기 규칙은 엑스포트 정책의 기능 요소입니다. 내보내기 규칙은 클라이언트 액세스 요청을 처리하는 방법을 결정하기 위해 구성하는 특정 매개 변수와 볼륨에 대한 클라이언트 액세스 요청과 일치합니다. 클라이언트에 대한 액세스를 허용하려면 내보내기 정책에 하나 이상의 내보내기 규칙이 있어야 합니다. 엑스포트 정책에 둘 이상의 규칙이 포함된 경우 규칙은 엑스포트 정책에 표시되는 순서대로 처리됩니다.
액세스 제어는 안전한 태세를 유지하는 데 있어 핵심입니다. 따라서 ONTAP은 엑스포트 정책 기능을 사용하여 특정 매개 변수와 일치하는 클라이언트에 대한 NFS 볼륨 액세스를 제한합니다. 엑스포트 정책에는 각 클라이언트 액세스 요청을 처리하는 엑스포트 규칙이 하나 이상 포함되어 있습니다. 엑스포트 정책은 각 볼륨과 연결되어 볼륨에 대한 클라이언트 액세스를 구성합니다. 이 프로세스의 결과는 클라이언트가 볼륨에 대한 액세스 권한을 부여 또는 거부(권한 거부 메시지 포함)할지 여부를 결정합니다. 이 프로세스는 볼륨에 제공되는 액세스 레벨도 결정합니다.
클라이언트가 데이터에 액세스하려면 SVM에 엑스포트 규칙이 있는 엑스포트 정책이 있어야 합니다. SVM은 여러 엑스포트 정책을 포함할 수 있습니다. |
규칙 순서는 규칙 인덱스 번호로 지정됩니다. 규칙이 클라이언트와 일치하면 해당 규칙의 사용 권한이 사용되고 더 이상 규칙이 처리되지 않습니다. 일치하는 규칙이 없으면 클라이언트가 액세스가 거부됩니다.
내보내기 규칙은 다음 기준을 적용하여 클라이언트 액세스 권한을 결정합니다.
-
클라이언트에서 요청을 보내는 데 사용되는 파일 액세스 프로토콜(예: NFSv4 또는 SMB)
-
클라이언트 식별자(예: 호스트 이름 또는 IP 주소)
-
클라이언트가 인증하는 데 사용하는 보안 유형(예: Kerberos v5, NTLM 또는 AUTH_SYS)
규칙이 여러 조건을 지정하고 클라이언트가 하나 이상의 조건을 일치하지 않으면 규칙이 적용되지 않습니다.
엑스포트 정책의 예로는 다음과 같은 매개 변수를 가진 엑스포트 규칙이 있습니다.
-
-protocol nfs
-
-clientmatch 10.1.16.0/255.255.255.0
-
-rorule any
-
-rwrule any
보안 유형은 클라이언트가 받는 액세스 수준을 결정합니다. 세 가지 액세스 수준은 읽기 전용, 읽기/쓰기 및 수퍼유저입니다(사용자 ID가 있는 클라이언트의 경우 0
). 보안 유형에 의해 결정되는 액세스 수준은 이 순서로 평가되므로 나열된 규칙을 준수해야 합니다.
내보내기 규칙의 액세스 수준 매개 변수에 대한 규칙입니다
클라이언트가 다음과 같은 액세스 수준을 얻을 수 있습니다 | 이러한 액세스 매개 변수는 클라이언트의 보안 유형과 일치해야 합니다 |
---|---|
일반 사용자 읽기 전용 |
읽기 전용('-rorule') |
일반 사용자 읽기-쓰기 |
읽기 전용('-rorule') 및 읽기/쓰기('-rwrule') |
고급 사용자 읽기 전용 |
읽기 전용('rorule') 및 '-superuser' |
고급 사용자 읽기-쓰기 |
읽기 전용('rorule') 및 읽기/쓰기('rwrule') 및 '-superuser' |
다음은 이러한 세 가지 액세스 매개 변수 각각에 대해 유효한 보안 유형입니다.
-
모두
-
없음
-
안 함
다음 보안 형식은 매개 변수와 함께 사용할 수 -superuser
없습니다.
-
krb5
-
NTLM입니다
-
시스템
매개 변수 결과에 액세스하기 위한 규칙입니다
클라이언트의 보안 유형이 다음과 같은 경우 | 결과 | ||
---|---|---|---|
access 매개 변수에 지정된 보안 유형과 일치합니다. |
클라이언트는 자체 사용자 ID를 사용하여 해당 수준에 대한 액세스를 받습니다. |
||
지정된 보안 유형과 일치하지 않지만 access 매개 변수에 옵션이 포함되어 `none`있습니다. |
클라이언트는 해당 레벨에 대한 액세스 권한을 받고 매개 변수로 지정된 사용자 ID를 사용하여 익명 사용자를 |
||
지정된 보안 유형과 일치하지 않으며 access 매개 변수에 옵션이 포함되어 있지 `none`않습니다. |
클라이언트는 해당 레벨에 대한 액세스 권한을 받지 않습니다.
|
Kerberos 5 및 Krb5p
ONTAP 9부터 개인 정보 보호 서비스(krb5p)를 통한 Kerberos 5 인증이 지원됩니다. krbp5 인증 모드는 안전하며 체크섬을 사용하여 클라이언트와 서버 간의 모든 트래픽을 암호화하여 데이터 무단 변경 및 스누핑으로부터 보호합니다. ONTAP 솔루션은 Kerberos 128비트/256비트 AES 암호화를 지원합니다. 개인정보보호 서비스에는 수신 데이터의 무결성 확인, 사용자 인증, 전송 전 데이터 암호화가 포함됩니다.
krb5p 옵션은 암호화 옵션으로 설정된 내보내기 정책 기능에 가장 많이 있습니다. 다음 예와 같이 krb5p 인증 방법을 인증 매개 변수로 사용할 수 있습니다.
cluster1::> vserver export-policy check-access -vserver vs1 -client-ip 10.22.32.42 -volume flex_vol -authentication-method krb5p -protocol nfs3 -access- type read