JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle® ZFS Storage Appliance セキュリティーガイド
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
search filter icon
search icon

Document Information

Oracle ZFS Storage Appliance セキュリティーの概要

初期インストール

物理的なセキュリティー

管理モデル

ZFSSA ユーザー

アクセス制御リスト (ACL)

ストレージエリアネットワーク (SAN)

データサービス

NFS 認証および暗号化オプション

セキュリティーモード

Kerberos のタイプ

iSCSI

RADIUS のサポート

サーバーメッセージブロック (SMB)

Active Directory (AD) ドメインモードの認証

ワークグループモードの認証

ローカルグループと権限

Microsoft 管理コンソール (MMC) を使用した管理操作

ウイルススキャン

タイミング攻撃用の遅延エンジン

ネットワーク上のデータ暗号化

ファイル転送プロトコル (FTP)

ハイパーテキスト転送プロトコル (HTTP)

Network Data Management Protocol (NDMP)

リモートレプリケーション

シャドウ移行

SSH File Transfer Protocol (SFTP)

Trivial File Transfer Protocol (TFTP)

ディレクトリサービス

システム設定

リモート管理アクセス

ログ

詳細情報

ドキュメントマッピング

サーバーメッセージブロック (SMB)

SMB プロトコル (Common Internet File System (CIFS) とも呼ばれる) は、Microsoft Windows ネットワーク上のファイルへの共有アクセスを主に提供します。これは、認証も提供します。

次の SMB オプションには、セキュリティー上の意味があります。

Active Directory (AD) ドメインモードの認証

ドメインモードでは、ユーザーは Active Directory で定義されます。SMB クライアントは、Kerberos または NTLM 認証を使用して ZFSSA に接続できます。

ユーザーが完全修飾 ZFSSA ホスト名を使用して接続する場合、同じドメインまたは信頼できるドメイン内の Windows クライアントは Kerberos 認証を使用するか、そうでなければ NTLM 認証を使用します。

SMB クライアントが NTLM 認証を使用して ZFSSA に接続する場合、ユーザーの資格が AD ドメインコントローラに転送されて認証が行われます。これはパススルー認証と呼ばれます。

NTLM 認証を制限する Windows セキュリティーポリシーが定義されている場合、Windows クライアントは完全修飾ホスト名を使用して ZFSSA に接続する必要があります。詳細は、MSDN の記事 http://technet.microsoft.com/en-us/library/jj865668%28v=ws.10%29.aspx を参照してください。

認証後に、ユーザーの SMB セッションに「セキュリティーコンテキスト」が確立されます。セキュリティーコンテキストで表されるユーザーは、一意のセキュリティー記述子 (SID) を保持します。SID は、ファイルの所有権を示し、ファイルアクセス権限の決定に使用されます。

ワークグループモードの認証

ワークグループモードでは、ユーザーは ZFSSA 上でローカルに定義されます。SMB クライアントがワークグループモードで ZFSSA に接続する場合、そのユーザーのユーザー名とパスワードハッシュを使用してユーザーがローカルで認証されます。

ZFSSA がワークグループモードにある場合、認証に使われるプロトコルの指定に LAN Manager (LM) 互換性レベルが使用されます。

次のリストは、各 LM 互換性レベルでの ZFSSA の動作を示します。

ワークグループユーザーの認証に成功すると、セキュリティーコンテキストが確立されます。マシンの SID とユーザーの UID の組み合わせを使って、ZFSSA で定義されたユーザー用に一意の SID が作成されます。すべてのローカルユーザーは、UNIX ユーザーとして定義されます。

ローカルグループと権限

ローカルグループとは、追加の権限が付与されるドメインユーザーのグループです。Administrators は、ファイルの所有権を変更するためのファイルアクセス権を必要としません。Backup Operators は、ファイルのバックアップと復元のためのファイルアクセス制御を必要としません。

Microsoft 管理コンソール (MMC) を使用した管理操作

適切なユーザーだけが管理操作にアクセスできるようにするために、MMC を使用してリモートで実行される操作に対していくつかのアクセス制限が設けられています。

次のリストは、ユーザーおよび許可される操作を示します。

ウイルススキャン

ウイルススキャンサービスは、ファイルシステムレベルでウイルスをスキャンします。いずれかのプロトコルからファイルがアクセスされると、ウイルススキャンサービスは最初にそのファイルをスキャンし、ウイルスが見つかった場合はファイルのアクセス拒否と隔離を行います。スキャンは、ZFSSA が接続する外部のエンジンにより実行されます。外部エンジンは、ZFSSA ソフトウェアには含まれません。

最新のウイルス定義でスキャンされたファイルは、次の変更が行われるまで再スキャンされません。ウイルススキャンは、ウイルスを取り込みやすい SMB クライアントに対して主に行われます。NFS クライアントもウイルススキャンを使用できますが、NFS プロトコルの動作方法のために、SMB クライアントの場合ほど迅速にウイルスが検出されない可能性があります。

タイミング攻撃用の遅延エンジン

SMB は、タイミング攻撃を防ぐための遅延エンジンを実装していません。これは、Solaris 暗号化フレームワークに依存しています。

ネットワーク上のデータ暗号化

SMB サービスで使用される SMB プロトコルのバージョン 1 では、ネットワーク上でのデータ暗号化はサポートされていません。