客户端身份验证和授权
ONTAP 使用标准方法来保护客户端和管理员对存储的访问,并防止病毒的侵害。高级技术可用于对空闲数据进行加密以及对 WORM 存储进行加密。
ONTAP 通过向可信源验证客户端计算机和用户的身份来对其进行身份验证。ONTAP 通过将用户凭据与文件或目录上配置的权限进行比较来授权用户访问文件或目录。
身份验证
您可以创建本地或远程用户帐户:
-
本地帐户是指帐户信息驻留在存储系统上的帐户。
-
远程帐户是指帐户信息存储在 Active Directory 域控制器, LDAP 服务器或 NIS 服务器上的帐户。
ONTAP 使用本地或外部名称服务查找主机名,用户,组,网络组和名称映射信息。ONTAP 支持以下名称服务:
-
本地用户
-
DNS
-
外部 NIS 域
-
外部LDAP域
名称服务切换表 _ 用于指定搜索网络信息的源以及搜索这些源的顺序(提供 UNIX 系统上 /etc/nsswitch.conf 文件的等效功能)。当 NAS 客户端连接到 SVM 时, ONTAP 会检查指定的名称服务以获取所需的信息。
kerberos support Kerberos 是一种网络身份验证协议,可通过在客户端 - 服务器实施中加密用户密码来提供 " |
Authorization
ONTAP 会评估三个安全级别,以确定实体是否有权对 SVM 上的文件和目录执行请求的操作。在评估安全级别后,访问权限由有效权限决定:
-
导出( NFS )和共享( SMB )安全性
导出并共享对给定 NFS 导出或 SMB 共享的安全适用场景客户端访问。具有管理权限的用户可以管理 SMB 和 NFS 客户端的导出和共享级别安全性。
-
存储级别访问防护文件和目录安全性
存储级别访问防护安全性适用场景 SMB 和 NFS 客户端对 SVM 卷的访问。仅支持 NTFS 访问权限。要使 ONTAP 对 UNIX 用户执行安全检查,以访问应用了存储级别访问防护的卷上的数据, UNIX 用户必须映射到拥有该卷的 SVM 上的 Windows 用户。
-
NTFS , UNIX 和 NFSv4 原生文件级安全性
表示存储对象的文件或目录具有原生文件级安全性。您可以从客户端设置文件级安全性。无论使用 SMB 还是 NFS 访问数据,文件权限都是有效的。
使用SAML进行身份验证
ONTAP支持使用安全断言标记语言(SAML)对远程用户进行身份验证。支持多种常见的身份提供程序(IDPs)。有关支持的IdPs的详细信息以及启用SAML身份验证的说明、请参见 "配置 SAML 身份验证"。
OAuth2.0与ONTAP REST API客户端
从ONTAP 9.14开始、可支持开放授权(OAuth2.0)框架。当客户端使用REST API访问ONTAP时、您只能使用OAuth2.0进行授权和控制访问决策。但是、您可以使用任何ONTAP管理界面(包括命令行界面、System Manager和REST API)配置和启用此功能。
标准OAuth2.0功能与多个常用授权服务器一起受支持。您可以使用基于相互TLS的受发件人限制的访问令牌进一步增强ONTAP安全性。此外、还提供了多种授权选项、包括独立范围以及与ONTAP REST角色和本地用户定义的集成。请参见 "ONTAP OAuth2.0实施概述" 有关详细信息 …