Reference Guide

ManualsBrandsDell ManualsCompellent (SCPowerStore Rack

Ethernet-Serviceportschnittstelle und IPMItool für Appliance-Node

Ihre Appliance ermöglicht den Konsolenzugriff über einen Ethernetserviceport, der sich in jedem Node befindet. Dieser Zugriff erfordert

die Verwendung des IPMItool. Das IPMItool ist ein Netzwerktool, das SSH oder Telnet ähnelt und über eine Ethernetverbindung und unter

Verwendung des IPMI-Protokolls eine Verknüpfung zu jedem Node herstellt. Das IPMItool ist ein Windows-Dienstprogramm, das einen

sicheren Kommunikationskanal zum Zugriff auf die Node-Konsole einer Appliance aushandelt. Dieses Dienstprogramm erfordert

physischen Zugriff zum Aktivieren der Konsole.

Die Node-Ethernet-Serviceportschnittstelle bietet dieselben Funktionen wie die SSH-Serviceschnittstelle (Service-LAN-Schnittstelle) und

unterliegt auch denselben Einschränkungen. Nutzer greifen auf die Schnittstelle allerdings über eine Ethernetportverbindung und nicht

über einen SSH-Client zu. Diese Schnittstelle wurde für Vertriebsmitarbeiter entwickelt, die eine Verbindung mit der Appliance herstellen

können, ohne Ihr Netzwerk zu stören. Eine dedizierte Managementkonsole ist nicht erforderlich.

Diese Schnittstelle bietet eine direkte Punkt-zu-Punkt-, nicht routingfähige Verbindung. Servicemitarbeiter können die Service-LAN-

Schnittstelle für die Konsolenausgabe, SSH-Zugriff auf den PowerStore-Servicecontainer und PowerStore Manager einschließlich des

ICW (Assistent für die Erstkonfiguration) verwenden. Der SSH-Zugriff auf den Servicecontainer über die Service-LAN-Schnittstelle ist

immer aktiviert und kann nicht deaktiviert werden. Sie managen jedoch die Zugangsdaten für das Servicekonto.

Eine Liste der Serviceskripte finden Sie im PowerStore Service Scripts Guide.

NFS secure

NFS secure bezeichnet die Verwendung von Kerberos für die Authentifizierung von Benutzern mit NFSv3 und NFSv4. Kerberos bietet

Integrität (Signierung) und Datenschutz (Verschlüsselung). Integrität und Datenschutz müssen nicht aktiviert werden, es handelt sich um

Optionen für den NFS-Export.

Ohne Kerberos verlässt der Server sich vollkommen auf die Authentifizierung der Benutzer durch den Client: der Server vertraut dem

Client. Mit Kerberos ist dies nicht der Fall, der Server vertraut dem KDC (Key Distribution Center). Das KDC übernimmt die

Authentifizierung und verwaltet Konten (Prinzipale) und Kennwörter. Darüber hinaus werden keinerlei Kennwörter über die Verbindung

gesendet.

Ohne Kerberos werden die Anmeldedaten des Benutzers unverschlüsselt über das Internet gesendet und können daher einfach manipuliert

werden. Mit Kerberos ist die Identität des Benutzers (Prinzipal) in dem verschlüsselten Kerberos-Ticket enthalten, das nur vom Zielserver

und dem KDC gelesen werden kann. Diese sind die einzigen, die den Verschlüsselungsschlüssel kennen.

In Kombination mit NFS secure wird die AES128- und AES256-Verschlüsselung in Kerberos unterstützt. Neben NFS secure wirkt sich dies

auch auf SMB und LDAP aus. Diese Verschlüsselungen werden jetzt standardmäßig von Windows und Linux unterstützt. Diese neuen

Verschlüsselungen sind deutlich sicherer. Es ist jedoch vom Client abhängig, ob diese verwendet werden. Von diesem Nutzerprinzipal

erstellt der Server die Zugangsdaten dieses Nutzers durch Abfragen des aktiven UDS (Unix Directory Service). Da NIS nicht gesichert ist,

wird von der Verwendung in Kombination mit NFS secure abgeraten. Es wird empfohlen, Kerberos mit LDAP oder LDAPS zu verwenden.

NFS secure kann über den PowerStore Manager konfiguriert werden.

Dateiprotokollbeziehungen

Für Kerberos ist Folgendes erforderlich:

● DNS: Sie müssen den DNS-Namen anstelle von IP-Adressen verwenden.

● NTP: PowerStore muss über einen konfigurierten NTP-Server verfügen.

ANMERKUNG: Kerberos ist abhängig von der korrekten Zeitsynchronisation zwischen KDC, Servern und Client im Netzwerk.

● UDS: Dieses dient der Erstellung von Zugangsdaten.

● Hostname: Kerberos arbeitet mit Namen, nicht mit IP-Adressen.

NFS secure verwendet abhängig vom Wert des Hostnamens einen oder zwei Serviceprinzipalnamen (SPNs). Wenn der Hostname im

Format für vollständig qualifizierte Domainnamen „host.domain“ vorliegt:

● den kurzen SPN: nfs/host@REALM

● den langen SPN: nfs/host.domainFQDN@REALM

Wenn der Hostname nicht im Format für vollständig qualifizierte Domainnamen vorliegt, wird nur der kurze SPN verwendet.

Ähnlich wie bei SMB, wo ein SMB-Server einer Domain hinzugefügt werden kann, kann ein NFS-Server einem Bereich (der äquivalente

Begriff für Domain in Kerberos) hinzugefügt werden. Dazu gibt es zwei Optionen:

● Verwenden der konfigurierten Windows-Domain, sofern vorhanden

Authentifizierung und Zugriff