用戶端驗證與授權
使用標準方法來保護用戶端和系統管理員存取儲存設備的安全、並防止病毒入侵。ONTAP先進的技術可用於加密閒置資料和WORM儲存設備。
利用信任的來源驗證用戶端機器和使用者的身分、藉此驗證其身分。ONTAP利用比較使用者的認證資料與檔案或目錄上設定的權限、即可授權使用者存取檔案或目錄。ONTAP
驗證
您可以建立本機或遠端使用者帳戶:
-
本機帳戶是指帳戶資訊位於儲存系統上的帳戶。
-
遠端帳戶是指帳戶資訊儲存在Active Directory網域控制器、LDAP伺服器或NIS伺服器上的帳戶。
使用本機或外部名稱服務來查詢主機名稱、使用者、群組、netgroup和名稱對應資訊。ONTAP支援下列名稱服務:ONTAP
-
本機使用者
-
DNS
-
外部NIS網域
-
外部 LDAP 網域
名稱服務交換器表_指定搜尋網路資訊的來源、以及搜尋這些資訊的順序(提供UNIX系統上/etc/nsswitch.conf檔案的等效功能)。當NAS用戶端連線至SVM時ONTAP 、此功能會檢查指定的名稱服務、以取得所需的資訊。
|
授權
此功能可評估三種安全層級、以判斷實體是否有權針對位於SVM上的檔案和目錄執行要求的動作。ONTAP存取權取決於評估安全性層級後的有效權限:
-
匯出(NFS)和共用(SMB)安全性
匯出及共用安全性適用於用戶端存取特定NFS匯出或SMB共用區。具有管理權限的使用者可以從SMB和NFS用戶端管理匯出和共用層級的安全性。
-
儲存層級的存取保護檔案和目錄安全性
儲存層級的存取保護安全性適用於存取SVM磁碟區的SMB和NFS用戶端。僅支援NTFS存取權限。為了對UNIX使用者執行安全性檢查、以存取已套用Storage Level Access Guard的磁碟區上的資料、UNIX使用者必須對應至擁有該磁碟區的SVM上的Windows使用者。ONTAP
-
NTFS、UNIX及NFSv4原生檔案層級安全性
代表儲存物件的檔案或目錄中存在原生檔案層級安全性。您可以從用戶端設定檔案層級的安全性。無論使用SMB或NFS存取資料、檔案權限都有效。
使用 SAML 驗證
ONTAP 支援安全性聲明標記語言( SAML )、以驗證遠端使用者。支援數個常見的身分識別供應商( IDP )。如需支援的 IDP 及啟用 SAML 驗證指示的詳細資訊、請參閱 "設定SAML驗證"。
OAuth 2.0 搭配 ONTAP REST API 用戶端
開放授權( OAuth 2.0 )架構的支援從 ONTAP 9.14 開始提供。當用戶端使用 REST API 存取 ONTAP 時、您只能使用 OAuth 2.0 來進行授權和控制存取決策。不過、您可以使用任何 ONTAP 管理介面(包括 CLI 、系統管理員和 REST API )來設定和啟用此功能。
標準 OAuth 2.0 功能可與數個常用的授權伺服器一起支援。您可以使用以相互 TLS 為基礎的寄件者限制存取權杖、進一步增強 ONTAP 安全性。此外還有多種授權選項可供選擇、包括獨立的範圍、以及與 ONTAP REST 角色和本機使用者定義的整合。請參閱 "ONTAP OAuth 2.0 實作總覽" 以取得更多資訊。