Reference Guide

ManualsBrandsDell ManualsCompellent (SCPowerStore 5000T

NFS, SMB 및 FTP의 액세스 정책

멀티 프로토콜 환경에서 스토리지 시스템은 파일 시스템 액세스 정책을 사용하여 파일 시스템의 사용자 액세스 제어를 관리합니다.

보안에는 UNIX와 Windows의 두 가지 종류가 있습니다.

UNIX 보안 인증에서는 호스트 클라이언트가 자격 증명을 제공하는 비보안 NFS 액세스를 제외하고 UDS(UNIX Directory Service)에서

자격 증명이 생성됩니다. 사용자 권한은 모드 비트 및 NFSv4 ACL로 지정됩니다. 사용자 및 그룹 ID(각각 UID 및 GID)가 인증에 사용됩

니다. UNIX 보안에는 별도의 권한이 관련되지 않습니다.

Windows 보안 인증에서는 자격 증명이 Windows DC(Domain Controller) 및 SMB 서버의 LGDB(Local Group Database)에서 생성됩니

다. 사용자 권한은 SMB ACL로 지정됩니다. SID(Security Identifier)가 인증에 사용됩니다. Windows 보안에는 SMB 서버의 LGDB 또는

GPO(Group Policy Object)에서 부여하는 TakeOwnership, Backup 및 Restore 등의 권한이 관련됩니다.

다음 표에 각 프로토콜에서 사용할 보안을 정의하는 액세스 정책이 설명되어 있습니다.

액세스 정책 설명

기본 인증(기본

값)

● 각 프로토콜이 기본 보안을 사용하여 액세스를 관리합니다.

● NFS 공유의 보안은 요청에 연결된 UNIX 자격 증명을 사용하여 NFSv3 UNIX 모드 비트 또는 NFSv4 ACL을 확

인합니다. 그런 다음 액세스를 허용하거나 거부합니다.

● SMB 공유의 보안은 요청에 연결된 Windows 자격 증명을 사용하며 SMB ACL을 확인합니다. 그런 다음 액세스

를 허용하거나 거부합니다.

● NFSv3 UNIX 모드 비트와 NFSv4 ACL 사용 권한 변경은 서로 동기화됩니다.

● Unix와 Windows 사용 권한은 서로 동기화되지 않습니다.

Windows

● Windows 보안을 사용하여 Windows와 UNIX의 파일 레벨 액세스에 대한 보안을 유지합니다.

● Windows 자격 증명을 사용하여 SMB ACL을 확인합니다.

● 새로 생성된 된 파일에 대한 사용 권한은 SMB ACL 변환에 의해 결정됩니다. SMB ACL 사용 권한 변경은

NFSv3 UNIX 모드 비트 또는 NFSv4 ACL에 동기화됩니다.

● NFSv3 모드 비트 및 NFSv4 ACL 사용 권한 변경은 거부됩니다.

UNIX

● UNIX 보안을 사용하여 Windows와 UNIX의 파일 레벨 액세스에 대한 보안을 유지합니다.

● SMB 액세스 요청이 발생하면 로컬 파일 또는 UDS의 UNIX 자격 증명을 사용하여 NFSv3 모드 비트 또는

NFSv4 ACL의 사용 권한을 확인합니다.

● 새로 생성된 파일에 대한 권한은 UMASK에 의해 결정됩니다.

● NFSv3 UNIX 모드 비트 또는 NFSv4 ACL 사용 권한 변경은 SMB ACL에 동기화됩니다.

● SMB ACL 사용 권한 변경은 중단 방지를 위해 허용되지만 이러한 사용 권한은 유지되지 않습니다.

FTP의 경우 NAS 서버 인증에 사용되는 사용자 이름 형식에 따라 Windows나 UNIX 인증이 달라집니다. Windows 인증을 사용하는 경

우 FTP 액세스 제어는 SMB의 액세스 제어와 유사하며, 다른 인증을 사용하는 경우는 NFS의 액세스 제어와 유사합니다. FTP 및 SFTP

클라이언트는 NAS 서버에 연결될 때 인증됩니다. 이때 SMB 인증(사용자 이름 형식이 domain\user 또는 user@domain인 경우)

또는 UNIX 인증(기타 단일 사용자 이름 형식)이 사용될 수 있습니다. SMB 인증은 NAS 서버에서 정의된 도메인의 Windows DC에 의

해 보장됩니다. UNIX 인증은 원격 LDAP 서버, 원격 NIS 서버 또는 NAS 서버의 로컬 암호 파일 중 하나에 저장된 암호화된 암호에 따

라 NAS 서버에 의해 보장됩니다.

파일 레벨 보안 자격 증명

파일 레벨 보안을 적용하려면 처리되는 중인 SMB 또는 NFS 요청에 연결되는 자격 증명을 스토리지 시스템에서 생성해야 합니다. 자

격 증명에는 Windows와 UNIX의 두 가지 종류가 있습니다. 다음 활용 사례의 경우 UNIX 및 Windows 자격 증명은 NAS 서버에서 생성

됩니다.

● NFS 요청에 대해 16개 그룹을 초과하는 UNIX 자격 증명을 생성하는 경우. 이 기능을 제공하려면 NAS 서버의 확장 자격 증명 속성

을 설정해야 합니다.

● 파일 시스템의 액세스 정책이 UNIX일 때 SMB 요청에 대한 UNIX 자격 증명을 생성하는 경우.

● SMB 요청에 대한 Windows 자격 증명을 생성하는 경우.

● 파일 시스템의 액세스 정책이 Windows일 때 NFS 요청에 대한 Windows 자격 증명을 생성하는 경우.

노트: 확장 자격 증명 속성이 설정되지 않은 NFS 요청의 경우 NFS 요청의 UNIX 자격 증명이 사용됩니다. SMB 요청에 Kerberos

인증을 사용할 때는 세션 설정 요청에 대한 Kerberos 티켓에 도메인 사용자의 Windows 사용자 자격 증명이 포함되어 있습니다.

다음과 같은 경우 영구 자격 증명 캐시가 사용됩니다.

● Windows 액세스 정책을 사용하는 파일 시스템 액세스를 위해 생성된 Windows 자격 증명.

24 인증 및 액세스