Go to main content

Guía de seguridad de Oracle® ZFS Storage Appliance versión OS8.8.x

Salir de la Vista de impresión

Actualización: Agosto de 2020
 
 

Opciones de cifrado y autenticación de NFS

Además de la capacidad del dispositivo para usar Kerberos para autenticar usuarios para el inicio de sesión administrativo y para el acceso a servicios, Kerberos también se puede usar para configurar la seguridad de recursos compartidos individuales que usan el protocolo NFS.

Por defecto, los recursos compartidos NFS se asignan mediante la autenticación AUTH_SYS RPC. También puede configurarlos para que se compartan con la seguridad de Kerberos. Mediante el uso de la autenticación AUTH_SYS, el ID de usuario (UID) y el ID de grupo (GID) UNIX del cliente pasan sin autenticación en la red por el servidor NFS. Este mecanismo de autenticación puede ser fácilmente derrotado por cualquier usuario con acceso root en un cliente; por lo tanto, es mejor usar cualquiera de los otros modos de seguridad disponibles.

Es posible especificar controles de acceso adicionales por recurso compartido para permitir o denegar el acceso a los recursos compartidos de hosts, dominios DNS o redes específicos.

Modos de seguridad

Los modos de seguridad se configuran por recurso compartido. En la siguiente lista, se describe la configuración de seguridad de Kerberos disponible:

  • krb5: autenticación de usuario final mediante Kerberos V5.

  • krb5i: krb5 más protección de integridad (los paquetes de datos están protegidos contra alteraciones).

  • krb5p: krb5i más protección de privacidad (los paquetes de datos están protegidos contra alteraciones y cifrados).

Al definir los modos de seguridad, se pueden especificar combinaciones de tipos de Kerberos. La combinación de modos de seguridad permite que los clientes realicen el montaje con cualquiera de los tipos de Kerberos mostrados.

Tipos de Kerberos

  • sys: autenticación del sistema

  • krb5: Kerberos v5 únicamente; los clientes deben realizar el montaje con este tipo.

  • krb5:krb5i: Kerberos v5 con integridad; los clientes pueden realizar el montaje con cualquier tipo de la lista.

  • krb5i: Kerberos v5 con integridad únicamente; los clientes deben realizar el montaje con este tipo.

  • krb5:krb5i:krb5p: Kerberos v5 con integridad o privacidad; los clientes pueden realizar el montaje con cualquiera de los tipos de la lista.

  • krb5p: Kerberos v5 con privacidad únicamente; los clientes deben realizar el montaje con este tipo.

Copyright © 2014, 2020, Oracle y/o sus filiales. Todos los derechos reservados. 
Anterior
Siguiente