Manualshelf

Reference Guide

ManualsBrandsDell ManualsCompellent (SCPowerStore 5000X
11121314151617181920
Création des informations d'identification
Lorsqu’un utilisateur se connecte au système, il présente uniquement son entité de sécurité, soit user@REALM, qui est extraite du ticket
Kerberos. Contrairement à la sécurité AUTH_SYS, l’entité de sécurité n’est pas incluse dans la demande NFS. La partie utilisateur (avant le
@) est extraite de l'entité de sécurité, puis utilisée pour rechercher L'UID correspondant dans l'UDS. Le système utilise cet UID pour créer
l'entité de sécurité à l'aide de l'UDS actif, selon une procédure similaire à celle de l'activation des informations d'identification NFS
Extended (sauf que, sans Kerberos, l'UID est fourni directement par la demande).
Si l'entité de sécurité n'est pas mappée dans l'UDS, les informations d'identification de l'utilisateur UNIX par défaut qui ont été configurées
sont utilisées à la place. Si l'utilisateur UNIX par défaut n'est pas défini, les informations d'identification utilisées sont nobody.
Sécurité sur les objets du système de fichiers
Dans un environnement multiprotocole, la stratégie de sécurité est définie au niveau du système de fichiers et est indépendante pour
chaque système de fichiers. Chaque système de fichiers utilise sa stratégie d'accès pour déterminer comment rapprocher les différences
entre les sémantiques de contrôle d'accès NFS et SMB. La sélection d'une stratégie d'accès détermine quel mécanisme est utilisé pour
garantir la sécurité des fichiers sur le système de fichiers donné.
REMARQUE : Si l’ancien protocole SMB1 doit être pris en charge dans votre environnement, il peut être activé à l’aide de la
commande de maintenance svc_nas_cifssupport. Pour plus d’informations sur cette commande de maintenance, reportez-
vous à la section PowerStore Service Scripts Guide.
Modèle de sécurité UNIX
Lorsque la stratégie UNIX est sélectionnée, toute tentative de modification de la sécurité en mode fichier à partir du protocole SMB est
ignorée, comme la modification des listes de contrôle d'accès. Les privilèges d'accès UNIX correspondent aux bits de mode ou à la liste de
contrôle d'accès (ACL) NFSv4 d'un objet du système de fichiers. Les bits de mode sont représentés par une chaîne de bits. Chaque bit
représente un mode d'accès ou un privilège accordé à l'utilisateur auquel appartient le fichier, au groupe associé à l'objet du système de
fichiers et à tous les autres utilisateurs. Les bits de mode UNIX sont représentés sous la forme de trois ensembles de triplets concaténés
rwx (lecture, écriture et exécution) pour chaque catégorie d'utilisateurs (utilisateur, groupe ou autre). Une ACL est une liste d'utilisateurs
et de groupes d'utilisateurs à l'aide de laquelle vous pouvez contrôler ou refuser l'accès aux services.
Modèle de sécurité Windows
Le modèle de sécurité Windows est principalement basé sur des privilèges des objets, impliquant l'utilisation d'un descripteur de sécurité et
de sa liste de contrôle d'accès (ACL). Lorsque la politique SMB est activée, les modifications appliquées aux bits de mode du protocole
NFS sont ignorées.
L'accès à un objet du système de fichiers dépend de la manière dont les autorisations ont été paramétrées sur Autoriser ou Refuser via
l'utilisation d'un descripteur de sécurité. Le SD décrit le propriétaire de l'objet et groupe les SID pour l'objet avec ses ACL. Une ACL fait
partie du descripteur de sécurité pour chaque objet. Chaque ACL contient des entrées de contrôle d'accès (ACE). Chaque ACE à son tour
contient un seul SID qui identifie un utilisateur, un groupe ou un ordinateur et une liste de privilèges qui sont refusés ou autorisés pour ce
SID.
Accès aux systèmes de fichiers dans un environnement
multiprotocole
L'accès aux fichiers est fourni via des serveurs NAS. Un serveur NAS contient un ensemble de systèmes de fichiers où sont stockées des
données. Le serveur NAS permet d'accéder à ces données pour des protocoles de fichiers NFS et SMB en partageant des systèmes de
fichiers via des partages SMB et NFS. Le mode serveur NAS pour le partage multiprotocole permet de partager les mêmes données entre
SMB et NFS. Du fait que le mode de partage multiprotocole offre un accès simultané SMB et NFS à un système de fichiers, le mappage
des utilisateurs Windows sur les utilisateurs UNIX et la définition des stratégies de sécurité à utiliser (bits de mode, ACL et informations
d'identification des utilisateurs) doivent être pris en compte et configurés de manière adéquate pour un partage multiprotocole.
REMARQUE :
Pour plus d’informations sur la configuration et la gestion de serveurs NAS concernant le partage multiprotocole, le
mappage utilisateur, les stratégies d’accès et les informations d’identification utilisateur, reportez-vous à l’aide en ligne de PowerStore
Manager.
20 Authentification et accès