| Skip Navigation Links | |
| Exit Print View | |
|
Guia de Segurança do Oracle® ZFS Storage Appliance |
Visão Geral da Segurança do Oracle ZFS Storage Appliance
ACLs (Listas de Controle de Acesso)
Opções de Criptografia e Autenticação NFS
Autenticação no Modo de Domínio do AD (Active Directory)
Autenticação no Modo de Grupo de Trabalho
Operações Administrativas por meio do MMC (Console de Gerenciamento Microsoft)
Mecanismo de Atraso para Ataques Baseados em Tempo
Criptografia de Dados Durante a Transmissão
HTTP (Hypertext Transfer Protocol)
NDMP (Network Data Management Protocol)
SFTP (SSH File Transfer Protocol)
Ao configurar um LUN no ZFSSA, você poderá exportar esse volume por meio de um destino iSCSI (Internet Small Computer System Interface). O serviço iSCSI permite que os iniciadores iSCSI acessem destinos usando o protocolo iSCSI.
Esse serviço suporta a descoberta, o gerenciamento e a configuração com o protocolo iSNS. O serviço iSCSI suporta a autenticação unidirecional (o destino autentica o iniciador) e bidirecional (o destino e o iniciador autenticam um o outro) usando CHAP. Além disso, ele suporta o gerenciamento de dados de autenticação CHAP em um banco de dados RADIUS.
Primeiro, o sistema executa a autenticação e, em seguida, a autorização, em duas etapas independentes. Se o iniciador local tiver um nome e um segredo CHAP, o sistema executará a autenticação. Se o iniciador local não tiver propriedades CHAP, o sistema não executará a autenticação e, portanto, todos os iniciadores estarão qualificados para autorização.
O serviço iSCSI permite especificar uma lista global de iniciadores que pode ser usada nos grupos de iniciadores. Quando a autenticação iSCSI ou CHAP é usada, o RADIUS pode ser utilizado como o protocolo iSCSI que transfere todas as autenticações CHAP para o servidor RADIUS selecionado.
O RADIUS (Remote Authentication Dial-In User Service) é um sistema que permite utilizar um servidor centralizado para executar a autenticação CHAP dos nós de armazenamento. Ao usar a autenticação iSCSI e CHAP, você poderá selecionar o RADIUS para o protocolo iSCSI, que aplicará o iSCSI e o iSER (iSCSI Extensions for RDMA) e enviará todas as autenticações CHAP para o servidor RADIUS selecionado.
Para permitir que o ZFSSA execute a autenticação CHAP usando RADIUS, as seguintes informações devem estar corretas:
O ZFSSA deve especificar o endereço do servidor RADIUS e um segredo para ser usado durante a comunicação com esse servidor.
O servidor RADIUS (por exemplo, no arquivo do cliente) deve ter uma entrada que forneça o endereço do ZFSSA e especifique o mesmo segredo especificado anteriormente.
O servidor RADIUS (por exemplo, no arquivo do usuário) deve ter uma entrada que forneça o nome CHAP e o segredo CHAP correspondente de cada iniciador.
Se o iniciador usar o seu nome IQN como o seu nome CHAP (a configuração recomendada), e o ZFSSA não precisar de uma entrada Initiator separada para cada caixa Initiator, o servidor RADIUS poderá executar todas as etapas de autenticação.
Se o iniciador usar um nome CHAP diferente, o ZFSSA deverá ter uma entrada Initiator para o iniciador que especifique o mapeamento de um nome IQN para o nome CHAP. Essa entrada Initiator NÃO precisa especificar o segredo CHAP do iniciador.
|