| Omitir vínculos de navegación | |
| Salir de la Vista de impresión | |
|
Guía de seguridad de Oracle®ZFS Storage Appliance, versión 2013.1.3.0 |
| Omitir vínculos de navegación | |
| Salir de la Vista de impresión | |
|
|
Guía de seguridad de Oracle®ZFS Storage Appliance, versión 2013.1.3.0 |
Guía de seguridad de Oracle ZFS Storage Appliance
Descripción general de la seguridad de Oracle ZFS Storage Appliance
Interfaz de usuario basada en explorador
Autorización de usuario restringida
API de RESTful de Oracle ZFS Storage Appliance
Copia de seguridad de la configuración
Roles del usuario administrativo
Determinación de acceso de la ACL
ACL de nivel de recurso compartido de SMB
Opciones de cifrado y autenticación de NFS
Autenticación de modo de dominio de Active Directory
Autenticación en modo de grupo de trabajo
Operaciones administrativas mediante Microsoft Management Console
Motor de retraso para ataques de temporización
Cifrado de datos durante la conexión
Servicio de datos de replicación remota
Ciclo de vida de clave de cifrado
Servicio de datos de migración shadow
Servicio de información de red
Protocolo ligero de acceso a directorios
Protocolo simple de transferencia de correo
Protocolo simple de administración de redes
Los clientes pueden acceder a recursos de archivos en Oracle ZFS Storage Appliance mediante el uso de SMB o NFS, y cada uno tiene un identificador único de usuario. Los usuarios de SMB/Windows tienen descriptores de seguridad (SID) y los usuarios de UNIX/Linux tienen ID de usuario (UID). Los usuarios también pueden ser miembros de grupos que se identifican con SID de grupo para usuarios de Windows o ID de grupo (GID) para usuarios de UNIX/Linux.
En entornos en los que se accede a recursos de archivos con ambos protocolos, suele preferirse establecer equivalencias de identidad, donde, por ejemplo, un usuario de UNIX es equivalente a un usuario de Active Directory. Esto es importante para determinar derechos de acceso en los recursos de archivos del dispositivo.
Existen distintos tipos de asignaciones de identidad que involucran servicios de directorio, como Active Directory, LDAP y NIS. Debe tener cuidado y seguir las mejores prácticas de seguridad para el servicio de directorio que se utilice.
Microsoft ofrece una función denominada Gestión de identidades para Unix (IDMU). Este software está disponible para Windows Server 2003 y viene incluido con Windows Server 2003 R2 y versiones posteriores. Esta característica forma parte de lo que se denominaba Servicios para Unix en su forma independiente.
El uso principal de IDMU es permitir el uso de Windows como servidor NIS/NFS. IDMU permite al administrador especificar una serie de parámetros relacionados con UNIX: UID, GID, shell de inicio de sesión, directorio principal y similares para grupos. Estos parámetros están disponibles con AD mediante un esquema similar (pero no igual) al de RFC 2307 y mediante el servicio NIS.
Cuando se usa el modo de asignación IDMU, el servicio de asignación de identidad usa estos atributos de UNIX para establecer asignaciones entre identidades de Windows y UNIX. Este enfoque es muy similar al de la asignación basada en directorios, con la diferencia de que el servicio de asignación de identidad consulta el esquema de propiedades establecido por el software IDMU en lugar de permitir un esquema personalizado. Cuando se utiliza este enfoque, no se puede utilizar ningún otro método de asignación basada en directorios.
La asignación basada en directorios implica la anotación de un objeto de LDAP o Active Directory con información acerca de la manera en la que la identidad del objeto se asigna a una identidad equivalente en la plataforma opuesta. Estos atributos adicionales asociados con el objeto se deben configurar.
La asignación basada en nombres requiere la creación de diversas reglas que asignan identidades por nombre. Estas reglas establecen equivalencias entre identidades de Windows e identidades de UNIX.
Si una regla de asignación basada en nombres no puede aplicarse a un usuario en particular, ese usuario recibe credenciales temporales mediante una asignación efímera, a menos que esté bloqueado por una asignación de denegación. Cuando un usuario de Windows que tiene un nombre de UNIX efímero crea un archivo en el sistema, los clientes de Windows que acceden al archivo mediante SMB ven que el propietario de ese archivo es la identidad de Windows. Sin embargo, los clientes NFS ven que el archivo es propiedad de "nobody" (nadie).
|