Oracle® ZFS Storage Appliance - Sicherheitshandbuch, Release 2013.1.4.0

Druckansicht beenden

 
Aktualisiert: April 2015
 
 

Lightweight Directory Access Protocol

Oracle ZFS Storage Appliance verwendet Lightweight Directory Access Protocol (LDAP) zur Authentifizierung von Benutzern mit Administratorrechten und Benutzern einiger Datenservices (FTP, HTTP). LDAP-over-SSL-Sicherheit wird von der Appliance unterstützt. Über LDAP werden Informationen zu Benutzern und Gruppen abgerufen. Es bietet folgende Funktionen:

  • Stellt Benutzerschnittstellen bereit, die Namen für Benutzer und Gruppen akzeptieren und anzeigen.

  • Ordnet Namen für und von Benutzern und Gruppen für Datenprotokolle wie NFSv4 zu, die Namen verwenden.

  • Definiert die Gruppenmitgliedschaft zur Verwendung bei der Zugriffskontrolle.

  • Überträgt optional Authentifizierungsdaten zur Admin- und Datenzugriffsauthentifizierung.

LDAP-Verbindungen können als Authentifizierungsverfahren verwendet werden. Beispiel: Bei einem Versuch eines Benutzers, sich bei Oracle ZFS Storage Appliance zu authentifizieren, kann die Appliance ihrerseits versuchen, sich als dieser Benutzer beim LDAP-Server zu authentifizieren, um die Authentifizierung zu überprüfen.

Zur LDAP-Verbindungssicherheit stehen eine Reihe an Steuerelementen zur Verfügung:

  • Authentifizierung von der Appliance zum Server:

    • Die Appliance ist anonym

    • Die Appliance authentifiziert sich über die Kerberos-Zugangsdaten des Benutzers

    • Die Appliance authentifiziert sich über den angegebenen "Proxy"-Benutzer und das zugehörige Passwort

  • Authentifizierung vom Server zur Appliance (zur Sicherstellung, dass der korrekte Server kontaktiert wurde):

    • Nicht gesichert

    • Der Server wird über Kerberos authentifiziert

    • Der Server wird über ein TLS-Zertifikat authentifiziert

Über eine LDAP-Verbindung übertragene Daten werden verschlüsselt, sofern Kerberos oder TLS verwendet wird; ansonsten nicht. Bei Verwendung von TLS wird die erste Verbindung zur Konfigurationszeit nicht gesichert. Zu diesem Zeitpunkt wird das Serverzertifikat erfasst und bei späteren Production-Verbindungen zur Authentifizierung verwendet.

Zertifikate einer Certificate Authority können nicht zur Authentifizierung mehrerer LDAP-Server importiert werden. Ebenso wenig kann das Zertifikat eines bestimmten LDAP-Servers manuell importiert werden.

Es werden nur TLS-(LDAPS-)Daten vom Typ RAW unterstützt. STARTTLS-Verbindungen, die auf einer nicht gesicherten LDAP-Verbindung starten und dann in eine gesicherte Verbindung übergehen, werden nicht unterstützt. LDAP-Server, für die ein Clientzertifikat erforderlich ist, werden nicht unterstützt.

Copyright © 2014, 2015, Oracle und/oder verbundene Unternehmen. All rights reserved. Alle Rechte vorbehalten. Rechtliche Hinweise
Zurück
Weiter