Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

用戶端驗證與授權

貢獻者 netapp-dbagwell netapp-mwallis dmp-netapp netapp-aherbin

使用標準方法來保護用戶端和系統管理員存取儲存設備的安全、並防止病毒入侵。ONTAP先進的技術可用於加密閒置資料和WORM儲存設備。

利用信任的來源驗證用戶端機器和使用者的身分、藉此驗證其身分。ONTAP利用比較使用者的認證資料與檔案或目錄上設定的權限、即可授權使用者存取檔案或目錄。ONTAP

驗證

您可以建立本機或遠端使用者帳戶:

  • 本機帳戶是指帳戶資訊位於儲存系統上的帳戶。

  • 遠端帳戶是指帳戶資訊儲存在Active Directory網域控制器、LDAP伺服器或NIS伺服器上的帳戶。

使用本機或外部名稱服務來查詢主機名稱、使用者、群組、netgroup和名稱對應資訊。ONTAP支援下列名稱服務:ONTAP

  • 本機使用者

  • DNS

  • 外部NIS網域

  • 外部 LDAP 網域

名稱服務交換器表_指定搜尋網路資訊的來源、以及搜尋這些資訊的順序(提供UNIX系統上/etc/nsswitch.conf檔案的等效功能)。當NAS用戶端連線至SVM時ONTAP 、此功能會檢查指定的名稱服務、以取得所需的資訊。

  • Kerberos support_* Kerberos是一種網路驗證傳輸協定、可在用戶端伺服器實作中加密使用者密碼、以提供「長驗證」。支援Kerberos 5驗證、具備完整性檢查(krb5i)和Kerberos 5驗證功能、可進行隱私權檢查(krb5p)ONTAP 。

授權

此功能可評估三種安全層級、以判斷實體是否有權針對位於SVM上的檔案和目錄執行要求的動作。ONTAP存取權取決於評估安全性層級後的有效權限:

  • 匯出(NFS)和共用(SMB)安全性

    匯出及共用安全性適用於用戶端存取特定NFS匯出或SMB共用區。具有管理權限的使用者可以從SMB和NFS用戶端管理匯出和共用層級的安全性。

  • 儲存層級的存取保護檔案和目錄安全性

    儲存層級的存取保護安全性適用於存取SVM磁碟區的SMB和NFS用戶端。僅支援NTFS存取權限。為了對UNIX使用者執行安全性檢查、以存取已套用Storage Level Access Guard的磁碟區上的資料、UNIX使用者必須對應至擁有該磁碟區的SVM上的Windows使用者。ONTAP

  • NTFS、UNIX及NFSv4原生檔案層級安全性

    代表儲存物件的檔案或目錄中存在原生檔案層級安全性。您可以從用戶端設定檔案層級的安全性。無論使用SMB或NFS存取資料、檔案權限都有效。

使用 SAML 驗證

ONTAP 支援安全性斷言標記語言(SAML)進行遠端使用者驗證。它支援多種常用的身份提供程序(IdPs)。有關支援的 IdPs 以及啟用 SAML 身份驗證的說明的更多資訊,請參閱 "設定SAML驗證"

OAuth 2.0 搭配 ONTAP REST API 用戶端

從 ONTAP 9.14 版本開始支援開放授權 (OAuth 2.0) 框架。只有當用戶端使用 ONTAP REST API 存取 ONTAP 時,才能使用 OAuth 2.0 進行授權和存取控制決策。不過,您可以透過任何 ONTAP 管理介面(包括 ONTAP CLI、System Manager 和 ONTAP REST API)來設定和啟用此功能。

標準 OAuth 2.0 功能可與數個常用的授權伺服器一起支援。您可以使用以相互 TLS 為基礎的寄件者限制存取權杖、進一步增強 ONTAP 安全性。此外還有多種授權選項可供選擇、包括獨立的範圍、以及與 ONTAP REST 角色和本機使用者定義的整合。請參閱 "ONTAP OAuth 2.0 實作總覽" 以取得更多資訊。