Go to main content

Guia de Segurança do Oracle® ZFS Storage Appliance, Versão OS8.8.x

Sair da Exibição de Impressão

Atualizado: Agosto de 2020
 
 

Opções de Criptografia e Autenticação NFS

Além do recurso do appliance de usar o Kerberos a fim de autenticar usuários para log-in administrativo e acesso a serviços, o Kerberos pode ser usado para definir a segurança para compartilhamentos individuais que usam o protocolo NFS.

Por padrão, os compartilhamentos NFS são alocados com a autenticação AUTH_SYS RPC. Também é possível configurá-los para serem compartilhados com a segurança Kerberos. Com a autenticação AUTH_SYS, o UID (User ID) e o GID (Goup ID) UNIX do cliente são enviados não autenticados pelo servidor NFS na rede. Como esse mecanismo de autenticação é facilmente violado por qualquer pessoa com acesso de root em um cliente, é preferível usar um dos outros modos de segurança disponíveis.

Controles de acesso adicionais podem ser especificados para cada compartilhamento a fim de permitir ou negar acesso aos compartilhamentos em redes, domínios DNS ou hosts específicos.

Modos de Segurança

Os modos de segurança são definidos por compartilhamento. A lista a seguir descreve as configurações de segurança Kerberos disponíveis:

  • krb5 - Autenticação do usuário final por meio do Kerberos V5

  • krb5i - krb5 mais proteção de integridade (os pacotes de dados são à prova de adulteração)

  • krb5p - krb5i mais proteção de privacidade (os pacotes de dados são à prova de adulteração e criptografados)

Combinações de tipos de Kerberos também podem ser especificadas na configuração do modo de segurança. A combinação dos modos de segurança permite que os clientes usem todos os tipos de Kerberos listados.

Tipos de Kerberos

  • sys - Autenticação do Sistema

  • krb5 - Somente Kerberos v5, os clientes devem montar um compartilhamento usando este tipo

  • krb5:krb5i - Kerberos v5, com integridade; os clientes devem montar um compartilhamento usando qualquer tipo listado

  • krb5i - Kerberos v5, somente integridade; os clientes devem montar um compartilhamento usando este tipo

  • krb5:krb5i:krb5p - Kerberos v5, com integridade ou privacidade; os clientes podem montar um compartilhamento usando qualquer tipo listado

  • krb5p - Kerberos v5, somente privacidade, os clientes devem montar um compartilhamento usando este tipo

Copyright © 2014, 2020, Oracle e/ou suas empresas afiliadas. Todos os direitos reservados. 
Anterior
Próximo