Users Guide
Table Of Contents
개요
이 장에서 다루는 내용은 다음과 같습니다.
주제:
• NFS 지원
• 보안 NFS 정보
• 계획 시 고려 사항
NFS 지원
PowerStore T 모델에서는 NFSv3 및 NFSv4가 지원됩니다. 또한, 강력한 인증을 위해 Kerberos를 이용한 보안 NFS가 지원됩니다.
PowerStore T 모델에서는 관련 RFC에 설명된 NFSv4 및 v4.1 기능 대부분이 완벽하게 지원되지만 디렉토리 위임 및 pNFS는 지원되지
않습니다. NFS 지원은 생성 도중 또는 생성 후 NAS 서버에서 활성화되므로 해당 NAS 서버에서 NFS 사용 파일 시스템을 생성할 수
있습니다.
보안 NFS 정보
UNIX 공유를 지원하는 NAS 서버를 생성하거나 수정할 때 보안 NFS를 구성할 수 있습니다. 보안 NFS는 네트워크 데이터 무결성 및
네트워크 데이터 개인 정보 보호 기능을 제공할 수 있는 Kerberos 기반 사용자 인증을 제공합니다.
Kerberos는 보안 키 암호화를 사용하여 강력한 인증 기능을 제공하도록 설계된 분산 인증 서비스입니다. 안전하지 않은 네트워크를
통해 통신하는 노드가 안전한 방식으로 ID를 증명할 수 있도록 하는 "티켓"을 기반으로 작동합니다. 보안 NFS 서버 역할을 수행하도
록 구성된 경우 NAS 서버는 RPCSEC_GSS 보안 프레임워크와 Kerberos 인증 프로토콜을 사용하여 사용자와 서비스를 확인합니다.
보안 옵션
보안 NFS는 다음과 같은 보안 옵션을 지원합니다.
● krb5: Kerberos 인증
● krb5i: 네트워크를 통해 전송되는 각 NFS 패킷에 서명을 추가하여 Kerberos 인증 및 데이터 무결성
● krb5p: 네트워크를 통해 데이터를 전송하기 전에 암호화하여 Kerberos 인증, 데이터 무결성 및 데이터 프라이버시 유지
데이터를 암호화하려면 시스템 처리를 위한 추가 리소스가 필요하며 실행이 느려질 수 있습니다.
보안 NFS 환경에서는 Kerberos 보안 주체 이름을 기반으로 NFS 파일 시스템에 대한 사용자 액세스 권한이 부여됩니다. 그러나 파일
시스템 내의 공유에 대한 액세스 제어는 UNIX UID 및 GID 또는 ACL에 기반합니다.
노트: 보안 NFS는 16개가 넘는 그룹을 가진 NFS 자격 증명을 지원하며, 이는 확장된 UNIX 자격 증명 옵션과 동일합니다.
보안 NFS 구성
보안 NFS를 구현하려는 경우 다음을 구성하십시오.
● 날짜 및 시간을 동기화하려면 PowerStore 어플라이언스에서 하나 이상의 NTP 서버를 구성해야 합니다. 단일 장애 지점을 방지하
려면 도메인당 두 개 이상의 NTP 서버를 설정하는 것을 적극 권장합니다.
● UDS(UNIX Directory Service)
● 하나 이상의 DNS 서버
● Kerberos 인증을 위해 AD 또는 사용자 지정 영역을 추가해야 합니다.
● Kerberos 구성에서 사용자 지정 영역을 사용하는 경우 keytab 파일을 NAS 서버에 업로드해야 합니다.
1
개요 5