Reference Guide

● 짧은 SPN: nfs/host@REALM

● 긴 SPN: nfs/host.domainFQDN@REALM

호스트 이름이 FQDN 형식이 아닌 경우에는 짧은 SPN만 사용됩니다.

SMB 서버를 도메인에 연결할 수 있는 SMB와 마찬가지로, NFS 서버를 영역(Kerberos에서 도메인과 같은 의미로 사용되는 용어)에

연결할 수 있습니다. 이를 위해 다음 두 가지 옵션이 있습니다.

● 구성된 Windows 도메인 사용(있는 경우)

● UNIX KDC 기반 Kerberos 영역을 완전히 구성

관리자가 구성된 Windows 도메인을 사용하도록 선택하면 따로 해야 할 일은 없습니다. SMB 서버를 연결/연결 해제하면 NFS 서비스

에서 사용되는 모든 SPN이 자동으로 KDC에 추가되거나 KDC에서 제거됩니다. NFS 보안이 SMB 구성을 사용하도록 구성된 경우

SMB 서버를 제거할 수 없습니다.

관리자가 UNIX 기반 Kerberos 영역을 사용하도록 선택할 경우 추가적인 구성이 필요합니다.

● 영역 이름: 일반적으로 모든 대문자를 포함하는 Kerberos 영역의 이름입니다.

● UNIX KDC 기반 Kerberos 영역을 완전히 구성합니다.

클라이언트가 특정 보안과 함께 NFS 내보내기를 마운트하도록 보장하기 위해, 어떤 최소 보안이 허용되는지 나타내는 보안 매개변

수 sec가 제공됩니다. 다음 4가지 종류의 보안이 있습니다.

● AUTH_SYS: Kerberos를 사용하지 않는 표준 기존 보안. 서버가 클라이언트에서 제공되는 자격 증명을 신뢰함

● KRB5: Kerberos v5를 사용한 인증.

● KRB5i: Kerberos 인증 및 무결성(서명).

● KRB5p: Kerberos 인증, 무결성 및 프라이버시(암호화).

NFS 클라이언트가 구성된 최소 보안보다 낮은 보안 수준으로 내보내기 마운트를 시도하는 경우 액세스가 거부됩니다. 예를 들어 최

소 액세스가 KRB5i인 경우 AUTH_SYS 또는 KRB5를 사용하는 마운트는 모두 거부됩니다.

자격 증명 빌드

사용자가 시스템에 연결할 때는 Kerberos 티켓에서 추출되는 사용자의 보안 주체인 user@REALM만 표시됩니다. AUTH_SYS 보안과

는 달리, NFS 요청에 자격 증명이 포함되지 않습니다. 보안 주체에서 사용자에 해당하는 부부(@ 앞)이 추출되어 해당 uid에 대한 UDS

를 조회하는 데 사용됩니다. 이 uid에서 자격 증명은 확장 NFS 자격 증명을 사용하는 경우와 유사하게 시스템이 액티브 UDS를 사용하

여 배포합니다. 단, Kerberos 없이는 요청에 의해 직접 uid가 제공된다는 점이 다릅니다.

보안 주체가 UDS에서 매핑되지 않으면 구성된 기본 UNIX 사용자 자격 증명이 대신 사용됩니다. 기본 UNIX 사용자가 설정되어 있지

않으면 사용되는 자격 증명은 아무도 없음이 됩니다.

파일 시스템 객체의 보안

멀티 프로토콜 환경에서 보안 정책은 파일 시스템 레벨에서 설정되며 각 파일 시스템에 대해 독립적입니다. 각 파일 시스템은 고유의

액세스 정책을 사용하여 NFS와 SMB의 액세스 제어 의미 체계 간 차이를 조정하는 방법을 결정합니다. 액세스 정책을 선택하면 특정

파일 시스템에 파일 보안을 적용할 때 사용되는 메커니즘이 결정됩니다.

노트: 환경에서 이전 SMB1 프로토콜이 지원되야 하는 경우 svc_nas_cifssupport 서비스 명령을 사용하여 활성화할 수 있습

니다. 이 서비스 명령에 대한 자세한 정보는 PowerStore Service Scripts Guide를 참조 바랍니다.

UNIX 보안 모델

UNIX 정책을 선택하면 SMB 프로토콜에서 파일 레벨 보안을 변경하려는 시도, 즉 ACL(Access Control List)에 대한 변경이 무시됩니

다. UNIX 액세스 권한을 파일 시스템 객체의 모드 비트 또는 NFSv4 ACL라고도 합니다. 모드 비트는 비트 문자열로 표현됩니다. 각 비

트는 파일 소유자, 파일 시스템 객체에 연결된 그룹 및 기타 모든 사용자에게 부여되는 액세스 모드 또는 권한을 나타냅니다. UNIX 모

드 비트는 각 사용자 범주(사용자, 그룹 또는 기타)에 지정되는 3개의 rwx(read, write, execute) 트리플릿 세트를 하나로 연결한 것입

니다. ACL은 서비스에 대한 액세스 및 거부를 제어하는 사용자 및 사용자 그룹의 목록입니다.

Windows 보안 모델

Windows 보안 모델은 기본적으로 SD(Security Descriptor) 및 그에 따른 ACL을 사용한 객체별 권한을 기반으로 합니다. SMB 정책을

선택하면 NFS 프로토콜의 모드 비트 변경이 무시됩니다.

18 인증 및 액세스