Oracle ZFS Storage Appliance 安全概述
访问控制列表 (Access Control List, ACL)
存储区域网络 (Storage Area Network, SAN)
ZFSSA 使用 LDAP 来验证管理用户以及某些数据服务用户(ftp、http)。ZFSSA 支持基于 SSL 的 LDAP 安全性。LDAP 用来检索关于用户和组的信息并通过以下方式使用:
提供用于接受和显示用户和组的名称的用户界面。
对于使用名称的数据协议(例如 NFSv4),在名称与用户和组之间建立映射关系。
定义用于访问控制的组成员关系。
(可选)传输用于管理和数据访问验证的验证数据。
LDAP 连接可以用作验证机制。例如,当用户尝试向 ZFSSA 验证身份时,ZFSSA 可以尝试作为该用户向 LDAP 服务器验证身份(用作确认验证的一种机制)。
对于 LDAP 连接安全性,存在各种各样的控制:
设备到服务器的验证:
设备作为匿名用户
设备使用用户的 Kerberos 凭证进行验证
设备使用指定的“代理”用户和密码进行验证
服务器到设备的验证(确保已连接了正确的服务器):
没有安全保护
使用 Kerberos 对服务器进行验证
使用 TLS 证书对服务器进行验证
如果使用了 Kerberos 或 TLS,则通过 LDAP 连接传输的数据是加密的,但其他情况下不是加密的。使用 TLS 时,配置时的第一个连接不是安全的。此时会收集服务器的证书并使用它来验证以后的生产连接。
无法导入要用来验证多个 LDAP 服务器的证书颁发机构证书,也不能手动导入特定 LDAP 服务器的证书。
只支持原始 TLS (LDAPS)。不支持 STARTTLS 连接,此类连接在不安全的 LDAP 连接上启动,然后转移到安全连接。不支持需要客户机证书的 LDAP 服务器。