Navigationslinks überspringen | |
Druckansicht beenden | |
![]() |
Sicherheitshandbuch zu Oracle® ZFS Storage Appliance |
Die ZFSSA verwendet LDAP zur Authentifizierung von Admin-Benutzern wie auch einigen Datenservicebenutzern (FTP, HTTP). LDAP over SSL-Sicherheit wird von der ZFSSA unterstützt. Über LDAP werden Informationen zu Benutzern und Gruppen abgerufen. Es bietet folgende Funktionen:
Stellt Benutzerschnittstellen bereit, die Namen für Benutzer und Gruppen akzeptieren und anzeigen.
Ordnet für Datenprotokolle wie NFSv4, die Namen verwenden, Namen von Benutzern und Gruppen zu.
Definiert Gruppenmitgliedschaft zur Verwendung in der Zugriffskontrolle.
Kann optional Authentifizierungsdaten zur Admin- und Datenzugriffsauthentifizierung übertragen.
LDAP-Verbindungen können als Authentifizierungsmechanismus verwendet werden. Beispiel: Bei einem Versuch eines Benutzers, sich bei der ZFSSA zu authentifizieren, kann die ZFSSA ihrerseits versuchen, sich als dieser Benutzer beim LDAP-Server zu authentifizieren, um die Authentifizierung zu überprüfen.
Zur LDAP-Verbindungssicherheit stehen eine Reihe an Steuerelementen zur Verfügung:
Authentifizierung von der Appliance zum Server:
Die Appliance ist anonym
Die Appliance authentifiziert sich über die Kerberos-Zugangsdaten des Benutzers
Die Appliance authentifiziert sich über den angegebenen "Proxy"-Benutzer und das zugehörige Passwort
Authentifizierung vom Server zur Appliance (zur Sicherstellung, dass der korrekte Server kontaktiert wurde):
Nicht gesichert
Der Server wird über Kerberos authentifiziert
Der Server wird über ein TLS-Zertifikat authentifiziert
Über eine LDAP-Verbindung übertragene Daten werden verschlüsselt, sofern Kerberos oder TLS verwendet werden; ansonsten nicht. Bei Verwendung von TLS wird die erste Verbindung zur Konfigurationszeit nicht gesichert. Zu diesem Zeitpunkt wird das Serverzertifikat erfasst und bei späteren Production-Verbindungen zur Authentifizierung verwendet.
Zertifikate einer Certificate Authority können nicht zur Authentifizierung mehrerer LDAP-Server importiert werden. Ebenso wenig kann das Zertifikat eines bestimmten LDAP-Servers manuell importiert werden.
Es werden nur TLS-(LDAPS-)Daten vom Typ RAW unterstützt. STARTTLS-Verbindungen, die auf einer nicht gesicherten LDAP-Verbindung starten und dann in eine gesicherte Verbindung übergehen, werden nicht unterstützt. LDAP-Server, für die ein Clientzertifikat erforderlich ist, werden nicht unterstützt.