| Ignorer les liens de navigation | |
| Quitter la vue de l'impression | |
|
Guide de sécurité des systèmes Oracle® ZFS Storage Appliance, version 2013.1.3.0 |
| Ignorer les liens de navigation | |
| Quitter la vue de l'impression | |
|
|
Guide de sécurité des systèmes Oracle® ZFS Storage Appliance, version 2013.1.3.0 |
Guide de sécurité des systèmes Oracle ZFS Storage Appliance
Présentation de la sécurité Oracle ZFS Storage Appliance
Browser User Interface, interface utilisateur de navigateur
Interface de ligne de commande
Autorisation d'utilisateur restreinte
API RESTful Oracle ZFS Storage Appliance
Rôles d'utilisateurs administratifs
Options d'authentification et de chiffrement NFS
Authentification du mode domaine de l'Active Directory
Authentification du mode groupe de travail
Opérations d'administration via la console MMC (Microsoft Management Console)
Moteur temporisé pour les attaques temporelles
Chiffrement des données en simultané
Service de données de réplication distante
Utilisation du chiffrement de données
Gestion des clés de chiffrement
Cycle de vie d'une clé de chiffrement
Service de données de migration shadow
NIS (Network Information Service)
LDAP (Lightweight Directory Access Protocol)
Protocole de transport des messages simple
Lorsque vous configurez un LUN sur Oracle ZFS Storage Appliance, vous pouvez exporter ce volume via une cible iSCSI. Le service iSCSI permet aux initiateurs iSCSI d'accéder aux cibles par le biais du protocole iSCSI.
Ce service prend en charge la détection, la gestion et la configuration à l'aide du protocole iSNS. Le service iSCSI prend en charge l'authentification unidirectionnelle (la cible authentifie l'initiateur) et bidirectionnelle (la cible et l'initiateur s'authentifient mutuellement) par le biais du protocole CHAP (Challenge-Handshake Authentication Protocol). De plus, le service prend en charge la gestion des données d'authentification CHAP dans une base de données RADIUS (Remote Authentication Dial-In User Service).
Le système commence par effectuer l'authentification puis l'autorisation au cours de deux étapes indépendantes. Si l'initiateur local possède un nom et une clé secrète CHAP, le système procède à l'authentification. Si l'initiateur local ne possède pas de propriétés CHAP, le système n'effectue pas d'authentification et tous les initiateurs sont éligibles à l'autorisation.
Le service iSCSI vous permet de spécifier une liste globale d'initiateurs que vous pouvez utiliser au sein de groupes d'initiateurs. Lors de l'utilisation d'une authentification iSCSI et CHAP, RADIUS peut être utilisé comme protocole iSCSI qui diffère toutes les authentifications CHAP sur le serveur RADIUS sélectionné.
RADIUS (Remote Authentication Dial-In User Service) est un système permettant d'utiliser un serveur centralisé pour effectuer l'authentification CHAP au nom des noeuds de stockage. Lorsque vous utilisez une authentification iSCSI et CHAP, vous pouvez sélectionner RADIUS pour le protocole iSCSI, qui s'applique à iSCSI et à iSER (iSCSI Extensions for RDMA) et envoie toutes les authentification CHAP au serveur RADIUS sélectionné.
Pour permettre à Oracle ZFS Storage Appliance d'effectuer l'authentification CHAP à l'aide de RADIUS, les conditions suivantes doivent être remplies :
L'appareil doit spécifier l'adresse du serveur RADIUS et le secret à utiliser lors de la communication avec le serveur RADIUS concerné
Le serveur RADIUS doit comporter une entrée (par exemple, dans son fichier clients) indiquant l'adresse de l'appareil et spécifiant le même secret que ci-dessus.
Le serveur RADIUS doit comporter une entrée (par exemple, dans son fichier utilisateurs) indiquant le nom et le secret CHAP pour chaque initiateur.
Si l'initiateur utilise son nom IQN en tant que nom CHAP (ce qui correspond à la configuration recommandée), l'appareil n'a pas besoin d'une entrée Initiator distincte pour chaque case Initiator, le serveur RADIUS peut effectuer toutes les étapes d'authentification.
Si l'initiateur utilise un nom CHAP distinct, l'appareil doit comporter une entrée Initiator distincte pour l'initiateur concerné indiquant le mappage d'un nom IQN vers un nom CHAP. Cette entrée Initiateur n'a pas besoin d'indiquer le secret CHAP de l'initiateur.
|