| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Guide de sécurité des systèmes Oracle® ZFS Storage Appliance |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Guide de sécurité des systèmes Oracle® ZFS Storage Appliance |
Présentation de la sécurité Oracle ZFS Storage Appliance
Listes de contrôle d'accès (ACL)
Le ZFSSA utilise le LDAP pour authentifier les utilisateurs administratifs et certains utilisateurs de services de données (ftp, http). La sécurité LDAP sur SSL est prise en charge par le ZFSSA. Le LDAP est utilisé pour récupérer des informations concernant les utilisateurs et les groupes, des manières suivantes :
Fournit des interfaces utilisateur qui acceptent et affichent des noms pour les utilisateurs et les groupes.
Mappe des noms depuis et vers les utilisateurs et les groupes, pour des protocoles de données qui utilisent des noms (NFSv4, par exemple).
Définit l'appartenance à un groupe pour leur utilisation dans le contrôle d'accès.
De manière facultative, afin d'authentifier les données utilisées pour l'authentification d'accès administrative et aux données.
Les connexions LDAP peuvent être utilisées comme mécanisme d'authentification. Par exemple, lorsqu'un utilisateur tente de s'authentifier au ZFSSA, le ZFSSA peut essayer de s'authentifier au serveur LDAP en tant qu'utilisateur, comme mécanisme de vérification de l'authentification.
Il existe un ensemble de contrôles pour la sécurité de connexion au LDAP :
Authentification appareil-serveur :
L'appareil est anonyme
L'appareil s'authentifie à l'aide d'informations d'identification d'un utilisateur Kerberos
L'appareil s'authentifie à l'aide d'un utilisateur et d'un mode de passe "proxy" spécifique
Authentification serveur-appareil (s'assurer que le bon serveur a été contacté) :
Non sécurisé
Le serveur est authentifié à l'aide de Kerberos
Le serveur est authentifié à l'aide d'un certificat TLS
Les données transmises sur une connexion LDAP sont chiffrées si Kerberos ou TLS sont utilisés mais pas chiffrés. Lorsque TLS est utilisé, la première connexion lors de la configuration n'est pas sécurisée. Le certificat du serveur collecté à ce moment-là est utilisé pour authentifier les connexions de production ultérieures.
Il n'est pas possible d'importer le certificat d'une autorité de certification afin d'authentifier plusieurs serveurs LDAP ; il n'est pas non plus possible d'importer manuellement un certificat de serveur LDAP spécifique.
Seul un TLS brut (LDAPS) est pris en charge. Les connexions STARTTLS, qui commencent sur une connexion LDAP non sécurisée puis passent sur une connexion sécurisée, ne sont pas prises en charge. Les serveurs LDAP qui nécessitent un certificat client ne sont pas pris en charge.
|