NFS 安全性
建議變更
PDF
匯出規則是匯出原則的功能要素。匯出規則會根據您設定的特定參數、比對磁碟區的用戶端存取要求、以決定如何處理用戶端存取要求。匯出原則必須包含至少一個匯出規則、才能允許存取用戶端。如果匯出原則包含多個規則、則會依照規則在匯出原則中的顯示順序來處理這些規則。
存取控制是維持安全狀態的核心。因此、 ONTAP 使用匯出原則功能、將 NFS Volume 存取限制在符合特定參數的用戶端。匯出原則包含一或多個匯出規則、可處理每個用戶端存取要求。匯出原則會與每個磁碟區相關聯、以設定用戶端對磁碟區的存取。此程序的結果會決定是否授予或拒絕用戶端(使用拒絕權限的訊息)對磁碟區的存取權。此程序也會決定提供給磁碟區的存取層級。
|
具有匯出規則的匯出原則必須存在於 SVM 上、用戶端才能存取資料。SVM 可以包含多個匯出原則。 |
規則順序由規則索引編號決定。如果規則符合用戶端、則會使用該規則的權限、而不會處理其他規則。如果沒有符合的規則、用戶端就會被拒絕存取。
匯出規則會套用下列準則來決定用戶端存取權限:
-
傳送要求的用戶端所使用的檔案存取傳輸協定(例如 NFSv4 或 SMB )
-
用戶端識別碼(例如主機名稱或 IP 位址)
-
用戶端用來驗證的安全性類型(例如 Kerberos v5 、 NTLM 或 AUTH_SYS )
如果規則指定多個準則、且用戶端不符合其中一或多個準則、則規則將不適用。
匯出原則範例包含具有下列參數的匯出規則:
-
-protocol nfs -
-clientmatch 10.1.16.0/255.255.255.0 -
-rorule any -
-rwrule any
安全性類型決定用戶端接收的存取層級。這三種存取層級分別為唯讀、讀寫及超級使用者(適用於具有使用者 ID 的用戶端 0)。由於會依此順序評估由安全性類型所決定的存取層級、因此您必須遵守列出的規則:
匯出規則中存取層級參數的規則
| 讓用戶端取得下列存取層級 | 這些存取參數必須符合用戶端的安全性類型 |
|---|---|
一般使用者唯讀 |
唯讀 ( |
一般使用者讀寫 |
唯讀 ( |
超級使用者唯讀 |
唯讀 ( |
超級使用者讀寫 |
唯讀 ( |
以下是這三種存取參數的有效安全類型:
-
任何
-
無
-
永不
這些安全性類型不適用於 -superuser 下列參數:
-
KRB5
-
NTLM
-
系統
存取參數結果規則
| 如果用戶端的安全類型 … | 然後 … | ||
|---|---|---|---|
符合存取參數中指定的安全性類型。 |
用戶端會以自己的使用者 ID 接收該層級的存取權。 |
||
與指定的安全類型不匹配,但訪問參數包括選項 |
用戶端會接收該層級的存取權、並接收使用參數所指定之使用者 ID 的匿名使用者 |
||
與指定的安全類型不匹配,訪問參數不包括選項 |
用戶端無法接收該層級的任何存取權。
|
Kerberos 5 和 Krb5p
從 ONTAP 9 開始、支援使用隱私權服務( krb5p )進行 Kerberos 5 驗證。krbp5 驗證模式是安全的、使用校驗和來加密用戶端和伺服器之間的所有流量、可防止資料竄改和窺探。ONTAP 解決方案支援 Kerberos 的 128 位元和 256 位元 AES 加密。隱私權服務包括驗證所接收資料的完整性、驗證使用者、以及在傳輸前加密資料。
krb5p 選項最常出現在匯出原則功能中、其設定為加密選項。krb5p 驗證方法可用作驗證參數、如下列範例所示:
cluster1::> vserver export-policy check-access -vserver vs1 -client-ip 10.22.32.42 -volume flex_vol -authentication-method krb5p -protocol nfs3 -access- type read