| Ignora collegamenti di spostamento | |
| Esci da visualizzazione stampa | |
|
Guida per la sicurezza di Oracle® ZFS Storage Appliance |
| Ignora collegamenti di spostamento | |
| Esci da visualizzazione stampa | |
|
|
Guida per la sicurezza di Oracle® ZFS Storage Appliance |
Panoramica sulla sicurezza di Oracle ZFS Storage Appliance
Liste di controllo dell'accesso (ACL, Access Control List)
L'appliance ZFSSA utilizza il protocollo LDAP per autenticare sia gli utenti amministrativi che gli utenti dei servizi di dati (ftp, http). La sicurezza LDAP su SSL è supportata dall'appliance ZFSSA. Il protocollo LDAP consente di recuperare informazioni su utenti e gruppi e può essere utilizzato nei modi indicati di seguito.
Fornisce interfacce utente che accettano e visualizzano nomi per utenti e gruppi.
Associa i nomi a utenti e gruppi, per protocolli di dati, come NFSv4, che utilizzano i nomi.
Definisce l'appartenenza al gruppo da utilizzare nel controllo dell'accesso.
Se necessario, consente il passaggio dei dati di autenticazione utilizzati per l'autenticazione amministrativa e di accesso ai dati.
Le connessioni LDAP possono essere utilizzate come meccanismo di autenticazione. Ad esempio, quando un utente tenta di autenticarsi presso l'appliance ZFSSA, l'appliance può tentare di autenticarsi presso il server LDAP con le credenziali di tale utente come meccanismo di verifica dell'autenticazione.
Sono disponibili diversi controlli per la sicurezza della connessione LDAP.
Autenticazione da appliance a server:
L'appliance è anonima.
L'appliance esegue l'autenticazione utilizzando le credenziali Kerberos dell'utente.
L'appliance esegue l'autenticazione utilizzando il nome utente e la password "proxy" specificati.
Autenticazione da server ad appliance (per accertarsi che sia stato contattato il server corretto):
Non sicura
Il server viene autenticato utilizzando Kerberos.
Il server viene autenticato utilizzando un certificato TLS.
I dati trasmessi su una connessione LDAP vengono cifrati se si utilizza Kerberos o TLS; in tutti gli altri casi non vengono cifrati. Quando si utilizza TLS, la prima connessione effettuata durante la configurazione non è sicura. In tale fase il certificato del server viene raccolto e utilizzato per l'autenticazione delle connessioni di produzione successive.
Non è possibile importare un certificato Certificate Authority da utilizzare per autenticare più server LDAP, né importare manualmente un determinato certificato del server LDAP.
È supportata solo la versione raw di TLS (LDAPS). Non sono supportate connessioni STARTTLS, che iniziano con una connessione LDAP non sicura, quindi cambiano in una connessione sicura. I server LDAP che richiedono un certificato client non sono supportati.
|