JavaScript is required to for searching.
  »  ...Oracle ZFS Storage Appliance, Release ...  »  Guida sulla sicurezza di ...  »  Guida sulla sicurezza di Oracle ZFS Storage ...  »  Servizi di directory  »  Mapping di identità
Salta collegamenti di navigazione
Uscire dalla vista stampa
Guida sulla sicurezza di Oracle® ZFS Storage Appliance, Release 2013.1.3.0
Oracle Technology Network
Libreria
PDF
Vista stampa
Feedback
search filter icon
search icon

Informazioni sulla documentazione

Guida sulla sicurezza di Oracle ZFS Storage Appliance

Panoramica sulla sicurezza di Oracle ZFS Storage Appliance

Operazioni iniziali

Installazione iniziale

Sicurezza fisica

Modello amministrativo

Accesso amministrativo remoto

Browser User Interface

Command Line Interface

Autorizzazione utente limitata

Oracle ZFS Storage Appliance RESTful API

Aggiornamenti del sistema

Aggiornamenti rinviati

Bundle di supporto

Backup della configurazione

Utenti dell'appliance

Ruoli per gli utenti amministrativi

Ambiti amministrativi

Liste di controllo dell'accesso

Eredità dell'ACL

Determinazione dell'accesso all'ACL

ACL per il livello di condivisione di SMB

Proprietà dell'ACL ZFS

Servizi di dati

Opzioni di autenticazione e cifratura NFS

Modalità di sicurezza

Tipi Kerberos

Servizi di dati iSCSI

Supporto RADIUS

Servizi di dati SMB

Autenticazione della modalità Domain di Active Directory

Autenticazione della modalità Workgroup

Gruppi locali e privilegi

Operazioni amministrative tramite Microsoft Management Console

Virus Scan

Motore ritardato per attacchi temporizzati

Cifratura dei dati in rete

Servizi di dati FTP

Servizi di dati HTTP

Servizi di dati NDMP

Servizi di dati per la replica remota

Utilizzo della cifratura dei dati

Gestione delle chiavi di cifratura

Conservazione delle chiavi

Ciclo di vita delle chiavi di cifratura

Servizio dati di migrazione shadow

Servizi di dati SFTP

Servizi di dati TFTP

Storage Area Network

Servizi di directory

Network Information Service

Lightweight Directory Access Protocol

Mapping di identità

Identity Management for UNIX

Mapping basato su directory

Mapping basato sul nome

Mapping effimero

Impostazioni del sistema

Phone Home

Tag servizio

Simple Mail Transfer Protocol

Simple Network Management Protocol

Syslog

System Identity

Disk Scrubbing

Preventing Destruction

Log di sicurezza

Log di controllo

Log Phone Home

Ulteriori informazioni

Mapping alla documentazione

Mapping di identità

I client possono accedere alle risorse di file su Oracle ZFS Storage Appliance utilizzando SMB o NFS, utilizzando ciascuno un ID utente univoco. Gli utenti di SMB/Windows sono dotati di SID (Security Descriptor), mentre gli utenti di UNIX/Linux sono dotati di UID (User ID). Gli utenti possono inoltre essere membri di gruppi identificati da SID di gruppo (per gli utenti di Windows) o GID (Group ID) per gli utenti di UNIX/Linux.

Negli ambienti in cui si accede alle risorse di file utilizzando entrambi i protocolli, è spesso opportuno stabilire equivalenze di identità nei casi in cui, ad esempio, un utente di UNIX sia equivalente a un utente di Active Directory. Questa operazione è importante per determinare i diritti di accesso alle risorse di file nell'appliance.

Esistono due tipi diversi di mapping di identità che coinvolgono servizi di directory quali Active Directory, LDAP e NIS. È necessario seguire con attenzione le procedure di sicurezza consigliate per il servizio di directory in uso.

Identity Management for UNIX

Microsoft offre una funzione denominata Identity Management for UNIX (IDMU). Questo software è disponibile per Windows Server 2003 e viene fornito con Windows Server 2003 R2 e versioni successive. Questa funzione è parte di un software precedentemente denominato Services for UNIX, quando venduto separatamente.

L'uso principale di IDMU consiste nel supportare Windows come server NIS/NFS. IDMU consente all'amministratore di specificare un numero di parametri correlati a UNIX: UID, GID, shell di login, home directory e simili per i gruppi. Questi parametri vengono resi disponibili utilizzando AD in uno schema simile ma non uguale a RFC 2307 e tramite il servizio NIS.

Quando si utilizza la modalità di mapping IDMU, il servizio di mapping di identità utilizza questi attributi UNIX per creare mapping tra le identità Windows e UNIX. Questo approccio è molto simile al mapping basato su directory, ad eccezione del fatto che il servizio di mapping di identità esegue query sullo schema di proprietà creato dal software IDMU anziché supportare uno schema personalizzato. Quando si utilizza questo approccio, non è possibile utilizzare altri mapping basati su directory.

Mapping basato su directory

Il mapping basato su directory implica l'annotazione di un oggetto LDAP o Active Directory con informazioni sulle modalità di mapping dell'identità a un'identità equivalente nella piattaforma opposta. Questi attributi aggiuntivi associati all'oggetto devono essere configurati.

Mapping basato sul nome

Il mapping basato sul nome implica la creazione di diverse regole per il mapping delle identità in base al nome. Tali regole stabiliscono le equivalenze tra identità Windows e identità UNIX.

Mapping effimero

Se per un determinato utente non è possibile utilizzare una regola di mapping basata sul nome, a tale utente vengono assegnate credenziali temporanee tramite un mapping effimero, a meno che non sia bloccato da un mapping di rifiuto. Quando un utente di Windows con un nome UNIX effimero crea un file sul sistema, i client Windows che accedono al file utilizzando SMB rilevano che il file è di proprietà di tale identità Windows. I client NFS, tuttavia, rilevano che il file è di proprietà di "nobody".

Copyright © 2014, Oracle e/o relative consociate. Tutti i diritti riservati. Note legali
Precedente Successivo