NFS安全
建议更改
PDF
导出规则是导出策略的功能要素。导出规则会将卷的客户端访问请求与您配置的特定参数进行匹配、以确定如何处理客户端访问请求。导出策略必须至少包含一个导出规则,才能访问客户端。如果导出策略包含多个规则,则这些规则将按照它们在导出策略中的显示顺序进行处理。
访问控制是保持安全防护的核心。因此、ONTAP会使用导出策略功能限制NFS卷访问权限、使其只能访问与特定参数匹配的客户端。导出策略包含一个或多个导出规则,用于处理每个客户端访问请求。导出策略与每个卷关联、用于配置客户端对卷的访问。此过程的结果将确定是授予还是拒绝(并显示权限被拒绝的消息)客户端对卷的访问权限。此过程还会确定为卷提供的访问级别。
|
要使客户端能够访问数据、SVM上必须存在具有导出规则的导出策略。一个SVM可以包含多个导出策略。 |
规则顺序由规则索引编号决定。如果某个规则与客户端匹配、则会使用该规则的权限、而不会处理其他规则。如果没有匹配的规则,客户端将被拒绝访问。
导出规则通过应用以下条件来确定客户端访问权限:
-
发送请求的客户端使用的文件访问协议(例如、NFSv4或SMB)
-
客户端标识符(例如,主机名或 IP 地址)
-
客户端用于进行身份验证的安全类型(例如、Kerberos v5、NTLM或AUATT_SYS)
如果某个规则指定了多个条件、而客户端与其中一个或多个条件不匹配、则该规则不适用。
示例导出策略包含具有以下参数的导出规则:
-
-protocol nfs -
-clientmatch 10.1.16.0/255.255.255.0 -
-rorule any -
-rwrule any
安全类型决定了客户端接收的访问级别。这三个访问级别分别为只读、读写和超级用户(对于具有用户ID的客户端 0)。由于按此顺序评估由安全类型确定的访问级别、因此您必须遵守列出的规则:
导出规则中访问级别参数的规则
| 使客户端能够获得以下访问级别 | 这些访问参数必须与客户端的安全类型匹配 |
|---|---|
普通用户只读 |
只读 ( |
普通用户读写 |
只读 ( |
超级用户只读 |
只读 ( |
超级用户读写 |
只读 ( |
以下是这三个访问参数中每一个参数的有效安全类型:
-
任意
-
无
-
从不
以下安全类型不适用于 -superuser 参数:
-
krb5.
-
NTLM
-
系统
访问参数结果的规则
| 如果客户端的安全类型… | 然后… | ||
|---|---|---|---|
与访问参数中指定的安全类型匹配。 |
客户端使用自己的用户ID接收该级别的访问。 |
||
与指定的安全类型不匹配,但访问参数包括选项 |
客户端接收该级别的访问权限、并接收用户ID由参数指定的匿名用户 |
||
与指定的安全类型不匹配,并且访问参数不包括选项 |
客户端不会收到该级别的任何访问权限。
|
Kerberos 5和Krb5p
从 ONTAP 9 开始,支持具有隐私服务的 Kerberos 5 身份验证 (krb5p)。Krbp5 身份验证模式具有较高的安全性,可通过使用校验和对客户端和服务器之间的所有流量进行加密,避免数据被篡改和窃听,达到保护目的。ONTAP解决方案支持Kerberos 128位和256位AES加密。隐私服务包括验证所接收数据的完整性、对用户进行身份验证以及在传输之前对数据进行加密。
krb5p选项在导出策略功能中最常用、并设置为加密选项。krb5p身份验证方法可用作身份验证参数、如以下示例所示:
cluster1::> vserver export-policy check-access -vserver vs1 -client-ip 10.22.32.42 -volume flex_vol -authentication-method krb5p -protocol nfs3 -access- type read