| Omitir Vínculos de navegación | |
| Salir de la Vista de impresión | |
|
Guía de seguridad de Oracle® ZFS Storage Appliance |
| Omitir Vínculos de navegación | |
| Salir de la Vista de impresión | |
|
|
Guía de seguridad de Oracle® ZFS Storage Appliance |
Descripción general de la seguridad de Oracle ZFS Storage Appliance
Usuarios de dispositivos ZFSSA
Listas de Control de Acceso (ACL)
Red de área de almacenamiento (SAN)
Servicio de información de red (NIS)
El dispositivo ZFSSA usa LDAP para autenticar usuarios administrativos y algunos servicios de datos de usuarios (ftp, http). El dispositivo ZFSSA admite seguridad LDAP sobre SSL. LDAP se usa para recuperar información acerca de usuarios y grupos, y se usa de las siguientes maneras:
Proporciona interfaces de usuario que aceptan y muestran nombres para usuarios y grupos.
Asigna nombres hacia y desde usuarios y grupos para protocolos de datos, como NFSv4, que usan nombres.
Define la pertenencia a los grupos para usar en el control de acceso.
Opcionalmente, para realizar la autenticación de datos usados para autenticación de acceso de datos y administrativa.
Las conexiones LDAP pueden usarse como mecanismo de autenticación. Por ejemplo, cuando un usuario intenta realizar la autenticación con el dispositivo ZFSSA, el dispositivo ZFSSA puede intentar realizar la autenticación con el servidor LDAP como ese usuario como un mecanismo para verificar la autenticación.
Existen una variedad de controles para la seguridad de la conexión de LDAP:
Autenticación de dispositivo a servidor:
El dispositivo es anónimo
El dispositivo realiza la autenticación usando credenciales de Kerberos
El dispositivo realiza la autenticación usando el usuario y la contraseña "proxy" especificados
Autenticación de dispositivo a servidor (se asegura de que se haya contactado el servidor correcto):
Sin seguridad
El servidor se autentica usando Kerberos
El servidor se autentica usando un certificado TLS
Los datos transportados mediante una conexión LDAP se cifran si Kerberos o TLS se usan, pero, de lo contrario, no se cifran. Cuando se usa TLS, la primera conexión en el tiempo de configuración no es segura. El certificado del servidor se recopila en ese momento y se usa para realizar la autenticación de conexiones de producción posteriores.
No es posible importar un certificado de Certificate Authority para que se use a fin de realizar la autenticación de varios servidores LDAP; tampoco se puede importar un certificado de servidor LDAP manualmente.
Sólo se admite TLS (LDAPS) sin procesar. Las conexiones STARTTLS, que comienzan con una conexión LDAP no segura y luego pasan a una conexión segura, no se admiten. Los servidores LDAP que requieren un certificado de cliente no se admiten.
|