Reference Guide
Stratégies d'accès pour NFS, SMB et FTP
Dans un environnement multiprotocole, le système de stockage utilise les stratégies d'accès du système de fichiers pour gérer le contrôle
d'accès utilisateur de ses systèmes de fichiers. Il existe deux types de sécurité, UNIX et Windows.
Pour l'authentification de sécurité UNIX, les informations d'identification sont créées à partir des services d'annuaire UNIX (UDS), avec
pour exception les accès NFS non sécurisés, où les informations d'identification sont fournies par le client d'hôte. Les droits des utilisateurs
sont déterminés à partir des bits de mode et de la liste de contrôle d'accès (ACL) NFSv4. Les ID d'utilisateurs et de groupes (UID et GID,
respectivement) sont utilisés pour l'identification. Il n'y a pas de privilèges associés à la sécurité UNIX.
Pour l'authentification de sécurité Windows, les informations d'identification sont générées à partir du contrôleur de domaine Windows
(DC) et de la base de données du groupe local (LGDB) du serveur SMB. Les droits des utilisateurs sont déterminés à partir des ACL SMB.
Les ID de sécurité (SID) sont utilisés pour l'identification. Il existe des privilèges associés à la sécurité Windows, comme TakeOwnership, la
sauvegarde et la restauration qui sont attribués par le LGDB ou l'objet de stratégie de groupe du serveur SMB.
Le tableau ci-dessous décrit les stratégies d’accès qui définissent le mécanisme de sécurité utilisé par tel ou tel protocole.
Stratégie
d’accès
Description
Native (par
défaut)
● Chaque protocole gère l’accès avec sa sécurité native.
● La sécurité des partages NFS utilise les informations d'identification UNIX associées à la demande de vérification
des bits de mode UNIX NFSv3 ou ACL NFSv4. L'accès est alors accordé ou refusé.
● La sécurité des partages SMB utilise les informations d'identification Windows associées à la demande de
vérification de la liste de contrôle d'accès (ACL) SMB. L'accès est alors accordé ou refusé.
● Les bits de mode UNIX NFSv3 et les changements d’autorisation ACL NFSv4 sont synchronisés les uns par
rapport aux autres.
● Il n’y a aucune synchronisation entre les autorisations UNIX et Windows.
Windows
● Sécurise l'accès en mode fichier pour Windows et UNIX à l’aide de la sécurité Windows.
● Utilise les informations d’identification Windows pour vérifier la liste ACL SMB.
● Les autorisations pour les fichiers nouvellement créés sont déterminées par une conversion ACL SMB. Les
changements d’autorisation ACL SMB sont synchronisés sur les bits de mode UNIX NFSv3 ou l’ACL NFSv4.
● Les bits de mode NFSv3 et les changements d’autorisation ACL NFSv4 sont refusés.
UNIX
● Sécurise l'accès en mode fichier pour Windows et UNIX à l’aide de la sécurité UNIX.
● Suite à la demande d’accès SMB, les informations d’identification UNIX générées à partir de fichiers locaux ou UDS
sont utilisées pour vérifier les autorisations des bits de mode NFSv3 ou des ACL NFSv4.
● Les autorisations pour les fichiers nouvellement créés sont déterminées par UMASK.
● Les changements d’autorisation des bits de mode UNIX NFSv3 ou l’ACL NFSv4 sont synchronisés sur l’ACL SMB.
● Les changements d’autorisation de l’ACL SMB sont autorisés afin d’éviter toute interruption, mais ces
autorisations ne sont pas conservées.
Pour le protocole FTP, l'authentification à l'aide de Windows ou UNIX dépend du format du nom de l'utilisateur qui est utilisé lors de
l'authentification sur le serveur NAS. Si l'authentification Windows est utilisée, le contrôle d'accès FTP est similaire à celui de SMB ; dans le
cas contraire, l'authentification est similaire à celle de NFS. Les clients FTP et SFTP sont authentifiés lorsqu'ils se connectent au serveur
NAS. Il peut s’agir d’une authentification SMB (lorsque le format du nom d’utilisateur est domain\user ou user@domain) ou d’une
authentification UNIX (pour les autres formats d’un nom d’utilisateur). L'authentification SMB est assurée par le contrôleur de domaine
Windows du domaine défini dans le serveur NAS. L'authentification UNIX est assurée par le serveur NAS en fonction du mot de passe
chiffré qui est stocké soit dans un serveur LDAP distant, soit dans un serveur NIS distant, soit dans le fichier de mots de passe local du
VDM.
Informations d'identification de la sécurité en mode fichier
Pour appliquer la sécurité en mode fichier, le système de stockage doit générer des informations d'identification qui sont associées à la
demande SMB ou NFS en cours de traitement. Il existe deux types d'informations d'identification : Windows et UNIX. Les informations
d'identification Windows et UNIX sont générées par le serveur NAS pour les cas d'utilisation suivants :
● Pour créer des informations d'identification UNIX avec plus de 16 groupes pour une demande NFS. La propriété des informations
d'identification étendues du serveur NAS doit être définie pour offrir cette possibilité.
● Pour créer des informations d'identification UNIX pour une demande SMB lorsque la stratégie d'accès au système de fichiers est UNIX.
● Pour créer des informations d'identification Windows pour une demande SMB.
26
Authentification et accès