| Ignora collegamenti di spostamento | |
| Esci da visualizzazione stampa | |
|
Guida per la sicurezza di Oracle® ZFS Storage Appliance |
| Ignora collegamenti di spostamento | |
| Esci da visualizzazione stampa | |
|
|
Guida per la sicurezza di Oracle® ZFS Storage Appliance |
Panoramica sulla sicurezza di Oracle ZFS Storage Appliance
Liste di controllo dell'accesso (ACL, Access Control List)
Opzioni di autenticazione e cifratura NFS
Autenticazione della modalità AD (Active Directory)
Autenticazione della modalità Workgroup
Operazioni amministrative tramite Microsoft Management Console (MMC)
Motore ritardato per attacchi temporizzati
Protocollo FTP (File Transfer Protocol)
Protocollo HTTP (Hypertext Transfer Protocol)
Protocollo NDMP (Network Data Management Protocol)
Protocollo SFTP (SSH File Transfer Protocol)
Quando si configura un LUN nell'appliance ZFSSA, è possibile esportare tale volume su una destinazione iSCSI (Internet Small Computer System Interface). Il servizio iSCSI consente ai responsabili avvio iSCSI di accedere alle destinazioni utilizzando il protocollo iSCSI.
Questo servizio supporta l'individuazione, la gestione e la configurazione mediante il protocollo iSNS. Il servizio iSCSI supporta sia l'autenticazione unidirezionale (dove la destinazione autentica il responsabile avvio) che l'autenticazione bidirezionale (dove la destinazione e il responsabile avvio si autenticano a vicenda) tramite CHAP. Il servizio supporta inoltre la gestione dei dati dell'autenticazione CHAP in un database RADIUS.
Il sistema esegue in primo luogo l'autenticazione, quindi l'autorizzazione, in due operazioni indipendenti. Se il responsabile avvio locale è dotato di un nome CHAP e di un valore segreto CHAP, il sistema esegue l'autenticazione. Se il responsabile avvio locale non dispone di proprietà CHAP, il sistema non esegue alcuna autenticazione e, pertanto, tutti i responsabili avvio sono idonei per l'autorizzazione.
Il servizio iSCSI consente di specificare un elenco globale dei responsabili avvio che è possibile utilizzare nei gruppi di responsabili avvio. Quando si utilizza iSCSI e l'autenticazione CHAP, è possibile utilizzare RADIUS come protocollo iSCSI che trasferisce tutte le autenticazioni CHAP al server RADIUS selezionato.
RADIUS (Remote Authentication Dial-In User Service) è un sistema che consente di utilizzare un server centralizzato per eseguire l'autenticazione CHAP per conto dei nodi di storage. Quando si utilizza iSCSI e l'autenticazione CHAP, è possibile selezionare RADIUS per il protocollo iSCSI, che può essere applicato sia a iSCSI che a iSER (iSCSI Extensions for RDMA) e trasferisce tutte le autenticazioni CHAP al server RADIUS selezionato.
Per consentire all'appliance ZFSSA di eseguire l'autenticazione CHAP utilizzando RADIUS, è necessario che si verifichino le condizioni elencate di seguito.
L'appliance ZFSSA deve specificare l'indirizzo del server RADIUS e un valore segreto da utilizzare per la comunicazione con tale server RADIUS.
Il server RADIUS deve avere (ad esempio, nel file dei client) una voce che indichi l'indirizzo dell'appliance ZFSSA e lo stesso valore segreto di cui sopra.
Il server RADIUS deve avere (ad esempio, nel file degli utenti) una voce che indichi il nome CHAP e il valore segreto CHAP corrispondente per ciascun responsabile avvio.
Se il responsabile avvio utilizza il proprio nome IQN come nome CHAP (configurazione consigliata) e l'appliance ZFSSA non richiede una voce Initiator separata per ciascuna casella Initiator, il server RADIUS può eseguire tutte le operazioni di autenticazione.
Se il responsabile avvio utilizza un nome CHAP separato, l'appliance ZFSSA deve avere una voce Initiator per il responsabile avvio che specifica il mapping da un nome IQN al nome CHAP. Tale voce Initiator NON deve specificare il valore segreto CHAP per il responsabile avvio.
|