| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Guide de sécurité des systèmes Oracle® ZFS Storage Appliance |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Guide de sécurité des systèmes Oracle® ZFS Storage Appliance |
Présentation de la sécurité Oracle ZFS Storage Appliance
Listes de contrôle d'accès (ACL)
Options d'authentification et de chiffrement NFS
Protocole SMB (Server Message Block)
Authentification du mode domaine de l'Active Directory (AD)
Authentification du mode groupe de travail
Opérations d'administration via la console MMC (Microsoft Management Console)
Moteur temporisé pour les attaques temporelles
Chiffrement des données en simultané
HTTP (Hypertext Transfer Protocol)
Network Data Management Protocol (NDMP)
SSH File Transfer Protocol, protocole de transfert de fichier SSH (SFTP)
Lorsque vous configurez une LUN sur ZFSSA, vous pouvez exporter ce volume via une cible iSCSI (Internet Small Computer System Interface). Le service iSCSI permet aux initiateurs iSCSI d'accéder aux cibles par le biais du protocole iSCSI.
Ce service prend en charge la détection, la gestion et la configuration à l'aide du protocole iSNS. Le service iSCSI prend en charge l'authentification unidirectionnelle (la cible authentifie l'initiateur) et bidirectionnelle (la cible et l'initiateur s'authentifient mutuellement) par le biais du protocole CHAP. De plus, le service prend en charge la gestion des données d'authentification CHAP dans une base de données RADIUS.
Le système commence par effectuer l'authentification puis l'autorisation au cours de deux étapes indépendantes. Si l'initiateur local possède un nom et une clé secrète CHAP, le système procède à l'authentification. Si l'initiateur local ne possède pas de propriétés CHAP, le système n'effectue pas d'authentification et tous les initiateurs sont éligibles à l'autorisation.
Le service iSCSI vous permet de spécifier une liste globale d'initiateurs que vous pouvez utiliser au sein de groupes d'initiateurs. Lors de l'utilisation d'une authentification iSCSI et CHAP, RADIUS peut être utilisé comme protocole iSCSI qui diffère toutes les authentifications CHAP sur le serveur RADIUS sélectionné.
Remote Authentication Dial-In User Service (RADIUS) est un système permettant d'utiliser un serveur centralisé pour effectuer l'authentification CHAP au nom des noeuds de stockage. Lorsque vous utilisez une authentification iSCSI et CHAP, vous pouvez sélectionner RADIUS pour le protocole iSCSI, qui s'applique à iSCSI et à iSER (iSCSI Extensions for RDMA) et envoie toutes les authentification CHAP au serveur RADIUS sélectionné.
Pour permettre à ZFSSA d'effectuer l'authentification CHAP à l'aide de RADIUS, les conditions suivantes doivent être remplies :
ZFSSA doit spécifier l'adresse du serveur RADIUS et le secret à utiliser lors de la communication avec le serveur RADIUS concerné.
Le serveur RADIUS (par exemple dans son fichier clients) doit comporter une entrée indiquant l'adresse du ZFSSA et spécifiant le même secret que ci-dessus.
Le serveur RADIUS (par exemple dans son fichier utilisateurs) doit comporter une entrée indiquant le nom et le secret CHAP pour chaque initiateur.
Si l'initiateur utilise son nom IQN en tant que nom CHAP (ce qui correspond à la configuration recommandée), ZFSSA n'a pas besoin d'une entrée Initiator distincte pour chaque case Initiator, le serveur RADIUS peut effectuer toutes les étapes d'authentification.
Si l'initiateur utilise un nom CHAP distinct, ZFSSA doit comporter une entrée Initiator distincte pour l'initiateur concerné indiquant le mappage d'un nom IQN vers un nom CHAP. Cette entrée Initiator n'a PAS besoin d'indiquer le secret CHAP de l'initiateur.
|