Manualshelf

Reference Guide

ManualsBrandsDell ManualsCompellent (SCPowerStore Rack
21222324252627282930
Windows-Sicherheitsmodell
Das Windows-Sicherheitsmodell basiert in erster Linie auf Objektrechten. Dazu gehört die Verwendung einer SD (Security Descriptor,
Sicherheitsbeschreibung) und ihrer ACL (Access Control List, Zugriffskontrollliste). Wenn die SMB-Policy ausgewählt ist, werden
Änderungen an den Modusbits vom NFS-Protokoll ignoriert.
Der Zugriff auf ein Dateisystemobjekt basiert darauf, ob Berechtigungen durch die Verwendung eines Sicherheitsdeskriptors gesetzt
wurden, die den Zugriff erlauben oder verweigern. Der SD beschreibt den Eigentümer des Objekts und Gruppen-SIDs für das Objekt
zusammen mit seinen ACLs. Eine ACL ist Teil des Sicherheitsdeskriptors für jedes Objekt. Jede ACL enthält Zugriffskontrolleinträge
(ACEs). Jeder ACE wiederum enthält eine einzige SID, die einen Benutzer, eine Gruppe oder Computer identifiziert, sowie eine Liste von
Rechten, die für diese SID verweigert oder gewährt werden.
Dateisystemzugriff in einer Multiprotokollumgebung
Der Dateizugriff wird durch NAS-Server bereitgestellt. Ein NAS-Server umfasst eine Reihe von Dateisystemen, in denen Daten
gespeichert werden. Der NAS-Server bietet Zugriff auf diese Daten für die NFS- und SMB-Dateiprotokolle durch die Freigabe von
Dateisystemen über SMB-Shares und NFS-Shares. Der NAS-Servermodus für Multiprotokollfreigaben ermöglicht die gemeinsame
Verwendung derselben Daten von SMB und NFS. Da der Multiprotokollfreigabemodus den gleichzeitigen Zugriff von SMB und NFS auf ein
Dateisystem ermöglicht, muss die Zuordnung von Windows-Benutzern zu Unix-Benutzern und die Definition der anzuwendenden
Sicherheitsregeln (Modusbits, ACL und Benutzeranmeldedaten) für die Multiprotokollfreigabe ordnungsgemäß berücksichtigt und
konfiguriert werden.
ANMERKUNG: Weitere Informationen über das Konfigurieren und Verwalten von NAS-Servern in Bezug auf Multiprotokollfreigabe,
Nutzerzuordnung, Zugriffs-Policies und Nutzeranmeldedaten erhalten Sie in der PowerStore Manager-Onlinehilfe.
Benutzerzuordnung
In einem Multiprotokollkontext muss ein Windows-Benutzer einem UNIX-Benutzer zugeordnet werden. Allerdings muss ein UNIX-
Benutzer nur dann einem Windows-Benutzer zugeordnet werden, wenn die Zugriffs-Policy Windows ist. Diese Zuordnung ist notwendig,
damit Dateisystemsicherheit durchgesetzt werden kann, auch wenn sie für das Protokoll nicht systemeigen ist. Die folgenden
Komponenten sind an der Benutzerzuordnung beteiligt:
Unix-Verzeichnisdienste, lokale Dateien oder beides
Windows-Resolver
Sichere Zuordnung (secmap) – ein Cache, der alle Zuordnungen zwischen SIDs und UID oder GIDs enthält, die von einem NAS-Server
verwendet werden.
ntxmap
ANMERKUNG: Die Benutzerzuordnung beeinflusst nicht die Benutzer oder Gruppen, die lokal auf dem SMB-Server sind.
Unix-Verzeichnisdienste und lokale Dateien
UNIX-Verzeichnisdienste (UDS) und lokale Dateien werden für Folgendes verwendet:
Für eine gegebene UID (Benutzerkennung) wird der entsprechende Unix-Kontoname zurückgegeben.
Für einen gegebenen Unix-Kontonamen wird die entsprechende UID und die primäre GID (Gruppenkennung) zurückgegeben.
Die unterstützten Services sind:
LDAP
NIS
Lokale Dateien
Keine (die einzig mögliche Zuordnung ist durch den Standardbenutzer)
Für den NAS-Server muss entweder ein UDS aktiviert sein oder es müssen lokale Dateien oder sowohl lokale Dateien als auch ein UDS
aktiviert sein, wenn Multiprotokollfreigabe aktiviert ist. Die Eigenschaft für den Unix-Verzeichnisdienst des NAS-Servers bestimmt, was für
die Benutzerzuordnung verwendet wird.
Authentifizierung und Zugriff
21