Reference Guide
Autorização SSH
A autorização da conta de serviço é baseada em:
● Isolamento de aplicativos – O software PowerStore usa a tecnologia de contêineres que fornece isolamento de aplicativos. O acesso
ao serviço do equipamento é fornecido pelo contêiner de serviço. Estão disponíveis apenas um conjunto de scripts de serviço e um
conjunto de comandos de Linux. A conta de serviço não tem a capacidade de acessar outros contêineres que atendem ao file system e
bloqueiam a E/S para usuários.
● Permissões do file system do Linux – A maioria dos utilitários e ferramentas do Linux que modificam a operação do sistema de alguma
maneira não estão disponíveis para o usuário do serviço. É necessário ter privilégios de conta de superusuário. Como a conta de serviço
não tem esses direitos de acesso, ela não pode usar os utilitários e ferramentas do Linux aos quais ela não tem permissões e não pode
editar os arquivos de configuração que exigem acesso root para leitura e/ou modificação.
● Controles de acesso – Além do isolamento de aplicativos fornecido pela tecnologia de contêineres, o mecanismo de lista de controle de
acesso (ACL, Access Control List) no equipamento usa uma lista de regras bem específicas para conceder ou negar explicitamente o
acesso aos recursos do sistema pela conta de serviço. Essas regras especificam as permissões da conta de serviço a outras áreas do
equipamento que não são definidas de outra forma pelas permissões do file system padrão do Linux.
Scripts de serviço do equipamento
Um conjunto de scripts para diagnóstico de problemas, configuração e recuperação do sistema é instalado na versão de software do
equipamento. Esses scripts fornecem informações detalhadas e menor nível de controle do sistema do que o disponibilizado pelo
PowerStore Manager. O PowerStore Service Scripts Guide descreve esses scripts e os casos de uso comuns.
IPMItool e porta de serviço Ethernet do nó do equipamento
O equipamento dá acesso ao console por uma porta de serviço Ethernet que está em cada nó. Esse acesso exige o uso de IPMItool.
IPMItool é uma ferramenta de rede semelhante a SSH ou Telnet que usa o protocolo IPMI para fazer interface com cada nó por uma
conexão Ethernet. O IPMItool é um utilitário do Windows que negocia um canal de comunicação seguro para acessar o console do nó de
um equipamento. Esse utilitário exige acesso físico para ativar o console.
A interface da porta de serviço Ethernet do nó fornece os mesmos recursos e funções que a interface SSH de serviço (interface LAN de
serviço) e também está sujeita às mesmas restrições. No entanto, os usuários acessam a interface por meio de uma conexão de porta
Ethernet em vez de usar um client SSH. Essa interface foi projetada para a equipe de serviço em campo que pode se conectar ao
equipamento sem afetar a rede. Não é necessário um console de gerenciamento dedicado.
Essa interface fornece uma conexão direta ponto a ponto e não roteável. A equipe de serviço pode usar a interface LAN de serviço para
saída do console, para acesso SSH ao contêiner de serviço do PowerStore e para o PowerStore Manager, inclusive o Assistente de
configuração inicial (ICW). O acesso SSH ao contêiner de serviço por meio da interface LAN de serviço está sempre ativado e não pode
ser desabilitado, mas você gerencia a credencial da conta de serviço.
Para obter uma lista de scripts de serviço, consulte o PowerStore Service Scripts Guide.
Segurança NFS (Sistema de arquivos de rede)
A segurança NFS é o uso do Kerberos para autenticar usuários com NFSv3 e NFSv4. O Kerberos fornece integridade (assinatura) e
privacidade (criptografia). A Privacidade e a integridade não precisam estar habilitadas, elas são opções de exportação NFS.
Sem o Kerberos, o servidor depende inteiramente do client para autenticar usuários: o client confia no servidor. Com o Kerberos esse não
é o caso, o servidor confia no Key Distribution Center (KDC). É o KDC que lida com a autenticação e gerencia contas (principais) e senhas.
Além disso, nenhuma senha em quaisquer formulários é enviada pela rede.
Sem o Kerberos, a credencial do usuário é enviada pela rede não criptografada e, portanto, pode ser falsificada com facilidade. Com o
Kerberos, a identidade (principal) do usuário é incluída no tíquete do Kerberos criptografado, que pode ser lido somente pelo servidor de
destino e pelo KDC. Eles são os únicos que conhecem a chave de criptografia.
Em conjunto com a segurança NFS, a criptografia AES128 e AES256 tem suporte no Kerberos. Junto com a segurança NFS, isso também
afeta a SMB e o LDAP. Essas criptografias agora têm suporte por padrão pelo Windows e Linux. Essas novas criptografias são muito mais
seguras No entanto, elas são válidas até o client enquanto são usadas. Com base nesse usuário principal, o servidor cria a credencial desse
usuário consultando o UDS (UNIX Directory Service, serviço de diretório UNIX) ativo. Uma vez que o NIS (Serviço de informação de rede)
não é protegido, não é recomendável utilizá-lo com a segurança NFS. É recomendável usar Kerberos com LDAP ou LDAPS.
18
Autenticação e acesso