| Omitir Vínculos de navegación | |
| Salir de la Vista de impresión | |
|
Guía de seguridad de Oracle® ZFS Storage Appliance |
| Omitir Vínculos de navegación | |
| Salir de la Vista de impresión | |
|
|
Guía de seguridad de Oracle® ZFS Storage Appliance |
Descripción general de la seguridad de Oracle ZFS Storage Appliance
Usuarios de dispositivos ZFSSA
Listas de Control de Acceso (ACL)
Red de área de almacenamiento (SAN)
Opciones de cifrado y autenticación de NFS
Bloque de mensajes de servidor (SMB)
Autenticación de modo de dominio de Active Directory (AD)
Autenticación en modo de grupo de trabajo
Operaciones administrativas mediante Microsoft Management Console (MMC)
Activación del motor de retraso para prevenir ataques de temporización
Cifrado de datos durante la conexión
Protocolo de transferencia de archivos (FTP)
Protocolo de transferencia de hipertexto (HTTP)
Protocolo de gestión de datos de red (NDMP)
Protocolo de transferencia de archivo SSH (SFTP)
Al configurar un LUN en el dispositivo ZFSSA, puede exportar ese volumen por medio de un destino de interfaz estándar de equipos pequeños de Internet (iSCSI). El servicio iSCSI permite a los iniciadores iSCSI utilizar el protocolo iSCSI para tener acceso a los destinos deseados.
El servicio admite realizar tareas de detección, gestión y configuración con el protocolo iSNS. El servicio iSCSI admite autenticación unidireccional (el destino autentica al iniciador) y bidireccional (el destino y el iniciador se autentican mutuamente) con CHAP. Asimismo, el servicio admite la gestión de datos de autenticación de CHAP en una base de datos RADIUS.
El sistema realiza primero la autenticación y después la autorización, en dos pasos independientes. Si el iniciador local tiene un nombre CHAP y un secreto CHAP, el sistema realiza la autenticación. Si el iniciador local no tiene propiedades CHAP, el sistema no realiza ninguna autenticación y, por lo tanto, todos los iniciadores son elegibles para autorización.
El servicio iSCSI le permite especificar una lista global de iniciadores que se pueden utilizar en grupos de iniciadores. Cuando use iSCSI y autenticación CHAP, RADIUS puede usarse como protocolo iSCSI que difiere todas las autenticaciones CHAP al servidor RADIUS seleccionado.
El servicio de autenticación remota telefónica de usuario (RADIUS) es un sistema para usar un servidor centralizado a fin de realizar la autenticación de CHAP en nombre de los nodos de almacenamiento. Cuando usa iSCSI y autenticación CHAP, puede seleccionar RADIUS para el protocolo iSCSI, que se aplica a iSCSI y a extensiones de iSCSI para RDMA (iSER), y envía todas las autenticaciones CHAP al servidor RADIUS seleccionado.
Para permitir que el dispositivo ZFSSA realice autenticación de CHAP con RADIUS, los siguientes parámetros deben coincidir:
El dispositivo ZFSSA debe especificar la dirección del servidor RADIUS y un secreto para usar al comunicarse con él.
El servidor RADIUS (por ejemplo, en su archivo de cliente) debe tener una entrada que proporcione la dirección del dispositivo ZFSSA y especifique el mismo secreto antes mencionado.
El servidor RADIUS (por ejemplo, en su archivo de usuario) debe tener una entrada que proporcione el nombre de CHAP y el secreto de CHAP coincidente para cada iniciador.
Si el iniciador utiliza su nombre de IQN como nombre de CHAP (configuración recomendada) y el dispositivo ZFSSA no necesita una entrada de iniciador independiente para cada cuadro de iniciador, el servidor RADIUS puede realizar todos los pasos de autenticación.
Si el iniciador usa un nombre de CHAP independiente, el dispositivo ZFSSA tiene que tener una entrada de iniciador para ese iniciador que especifique la asignación del nombre de IQN al nombre de CHAP. NO es necesario que esta entrada de iniciador especifique el secreto de CHAP del iniciador.
|