| Navigationslinks überspringen | |
| Druckansicht beenden | |
|
Sicherheitshandbuch zu Oracle® ZFS Storage Appliance |
| Navigationslinks überspringen | |
| Druckansicht beenden | |
|
|
Sicherheitshandbuch zu Oracle® ZFS Storage Appliance |
Überblick über die Oracle ZFS Storage Appliance-Sicherheit
NFS-Authentifizierung und Verschlüsselungsoptionen
Authentifizierung im Active Directory-(AD-)Domänenmodus
Authentifizierung im Arbeitsgruppenmodus
Lokale Gruppen und Berechtigungen
Administrative Vorgänge über die Microsoft Management Console (MMC)
Verzögerungs-Engine für Timing-Angriffe
Datenverschlüsselung bei Kabelverbindungen
HTTP (Hypertext Transfer Protocol)
NDMP (Network Data Management Protocol)
SFTP (SSH File Transfer Protocol)
Wenn Sie eine LUN auf der ZFSSA konfigurieren, können Sie dieses Volume über ein iSCSI-(Internet Small Computer System Interface-)Ziel exportieren. Mit dem iSCSI-Service können iSCSI-Initiatoren über das iSCSI-Protokoll auf Ziele zugreifen.
Dieser Service unterstützt Discovery, Verwaltung und Konfiguration mittels iSNS-Protokoll. Der iSCSI-Service unterstützt sowohl unidirektionale (Ziel authentifiziert Initiator) als auch bidirektionale (Ziel und Initiator authentifizieren sich gegenseitig) Authentifizierung über CHAP. Darüber hinaus unterstützt der Service die Verwaltung von CHAP-Authentifizierungsdaten in einer RADIUS-Datenbank.
Das System führt in zwei voneinander unabhängigen Schritten zuerst die Authentifizierung und anschließend die Autorisierung durch. Wenn der lokale Initiator einen CHAP-Namen und ein CHAP Secret besitzt, nimmt das System die Authentifizierung vor. Besitzt der lokale Initiator keine CHAP-Eigenschaften, führt das System keine Authentifizierung durch, sodass alle Initiatoren autorisierungsberechtigt sind.
Mit dem iSCSI-Service können Sie eine globale Initiatorenliste angeben, die Sie innerhalb der Initiatorengruppen verwenden können. Bei der Verwendung der iSCSI- und CHAP-Authentifizierung kann RADIUS als das iSCSI-Protokoll dienen, das alle CHAP-Authentifizierungen dem gewählten RADIUS-Server überlässt.
RADIUS (Remote Authentication Dial-In User Service) ist ein System, bei dem ein zentralisierter Server zur Ausführung von CHAP-Authentifizierungen für Speicherknoten eingesetzt wird. Wenn Sie iSCSI- und CHAP-Authentifizierung verwenden, können Sie RADIUS als iSCSI-Protokoll wählen. Dadurch wird sowohl iSCSI als auch iSER (iSCSI Extensions for RDMA) angewendet, und alle CHAP-Authentifizierungen werden an den gewählten RADIUS-Server gesendet.
Damit die ZFSSA eine CHAP-Authentifizierung mittels RADIUS ausführen kann, müssen folgende Angaben gemacht werden:
Die ZFSSA muss die Adresse des RADIUS-Servers und ein Secret angeben, das zur Kommunikation mit diesem RADIUS-Server eingesetzt werden soll.
Der RADIUS-Server muss (beispielsweise in seiner Clientdatei) einen Eintrag aufweisen, der die Adresse der ZFSSA und dasselbe Secret wie oben erwähnt angibt.
Der RADIUS-Server muss (beispielsweise in seiner Benutzerdatei) einen Eintrag aufweisen, der für jeden Initiator den CHAP-Namen und das zugehörige CHAP Secret angibt.
Wenn der Initiator seinen IQN-Namen als CHAP-Namen verwendet (empfohlene Konfiguration) und die ZFSSA keinen separaten Initiatoreintrag für jedes Initiatorfeld erfordert, kann der RADIUS-Server alle Authentifizierungsschritte durchführen.
Verwendet der Initiator einen anderen CHAP-Namen, muss die ZFSSA einen Initiatoreintrag für den Initiator haben, der die Zuordnung zwischen IQN-Name und CHAP-Name angibt. In diesem Initiatoreintrag muss das CHAP Secret für den Initiator NICHT angegeben werden.
|