| Skip Navigation Links | |
| Exit Print View | |
|
Guia de Segurança do Oracle® ZFS Storage Appliance |
Visão Geral da Segurança do Oracle ZFS Storage Appliance
ACLs (Listas de Controle de Acesso)
NIS (Network Information Service)
O ZFSSA usa o LDAP para autenticar tanto usuários administrativos como alguns usuários de serviços de dados (ftp, http). A segurança do LDAP via SSL é suportada pelo ZFSSA. O LDAP é usado para recuperar informações sobre usuários e grupos das seguintes maneiras:
Fornece interfaces de usuário que aceitam e exibem nomes de usuários e grupos.
Mapeia nomes para/de usuários e grupos, no caso de protocolos de dados como o NFSv4 que utilizam nomes. · Define associações de grupo para uso no controle de acesso.
Opcionalmente, para transportar dados usados para autenticação administrativa e de acesso a dados.
Conexões LDAP podem ser usadas como um mecanismo de autenticação. Por exemplo, quando o usuário tentar autenticar-se no ZFSSA, o ZFSSA poderá tentar fazer a autenticação no servidor LDAP como esse usuário como um mecanismo para verificar a autenticação.
Há vários controles de segurança de conexões LDAP:
Autenticação do appliance para o servidor:
O appliance é anônimo
O appliance faz a autenticação usando as credenciais Kerberos do usuário
O appliance faz a autenticação usando a senha e o usuário do "proxy" especificados
Autenticação do servidor para o appliance (verifica se o servidor correto foi contatado):
Não segura
O servidor é autenticado usando Kerberos
O servidor é autenticado usando um certificado TLS
Os dados transportados por uma conexão LDAP serão criptografados se o Kerberos ou o TLS for usado; caso contrário, eles não serão criptografados. Quando o TLS é usado, a primeira conexão durante a configuração não é segura. O certificado do servidor é obtido nesse momento e é usado para autenticar conexões de produção posteriores.
Não será possível importar um certificado de uma Autoridade de Certificação para usá-lo na autenticação de vários servidores LDAP nem importar manualmente um certificado de determinado servidor LDAP.
Somente o TLS (LDAPS) bruto é suportado. Conexões STARTTLS, iniciadas em uma conexão LDAP não segura e, depois, alteradas para uma conexão segura, não são suportadas. Os servidores LDAP que exigem um certificado de cliente não são suportados.
|