Reference Guide

ManualsBrandsDell ManualsCompellent (SCPowerStore Rack

Zugriffs-Policies für NFS, SMB und FTP

In einer Multiprotokollumgebung verwendet das Speichersystem Dateisystemzugriffs-Policies, um die Benutzerzugriffskontrolle für die

Dateisysteme zu managen. Es gibt zwei Arten von Sicherheit, UNIX und Windows.

Für Unix-Sicherheitsauthentifizierung werden die Anmeldedaten vom UDS (Unix-Directory Services) erstellt, außer für nicht sicheren

NFS-Zugang, wo die Anmeldedaten vom Hostclient bereitgestellt werden. Benutzerrechte werden von den Modusbits und NFSv4-ACL

bestimmt. Die Benutzer- und Gruppenkennungen (UID bzw. GID) werden zur Identifizierung verwendet. Es sind keine Berechtigungen mit

UNIX-Sicherheit verbunden.

Bei der Windows-Sicherheitsauthentifizierung werden die Anmeldedaten aus dem Windows Domain Controller (DC) und der Datenbank

der lokalen Gruppe (LGDB) des SMB-Servers erstellt. Benutzerrechte werden von den SMB-ACLs festgelegt. Die Sicherheitskennung

(SID) wird zur Identifizierung verwendet. Mit der Windows-Sicherheit sind Berechtigungen verknüpft, darunter TakeOwnership, Backup

und Wiederherstellung, die von der LGDB oder dem Gruppenrichtlinienobjekt (GPO) des SMB-Servers gewährt werden.

In der folgenden Tabelle werden die Zugriffs-Policies beschrieben, die definieren, welche Sicherheit von welchen Protokollen verwendet

wird:

Zugriffs-

Policy

Beschreibung

Nativ

(Standardeinste

llung)

● Jedes Protokoll managt den Zugriff gemäß den nativen Sicherheitsmechanismen.

● Die Sicherheit für NFS-Shares verwendet die UNIX-Anmeldedaten, die mit der Anforderung zur Prüfung der

NFSv3-UNIX-Modusbits oder der NFSv4-ACL verknüpft sind. Der Zugriff wird dann gewährt oder verweigert.

● Die Sicherheit für SMB-Shares verwendet die Windows-Anmeldedaten, die mit der Anforderung zur Prüfung der

SMB-ACL verknüpft sind. Der Zugriff wird dann gewährt oder verweigert.

● Die Änderungen der NFSv3-UNIX-Modusbits und der NFSv4-ACL-Berechtigungen werden miteinander

synchronisiert.

● Es gibt keine Synchronisation zwischen den UNIX- und Windows-Berechtigungen.

Windows

● Stellt den Zugriff auf Dateiebene für Windows und UNIX mithilfe der Windows-Sicherheit sicher.

● Verwendet Windows-Anmeldedaten zur Prüfung der SMB-ACL.

● Berechtigungen für neu erstellte Dateien werden durch eine SMB-ACL-Konvertierung bestimmt. Die Änderungen

der SMB-ACL-Berechtigungen werden für die NFSv3-UNIX-Modusbits oder die NFSv4-ACL synchronisiert.

● Änderungen der NFSv3-Modusbits und der NFSv4-ACL-Berechtigungen werden abgelehnt.

UNIX

● Stellt den Zugriff auf Dateiebene für Windows und UNIX mithilfe der UNIX-Sicherheit sicher.

● Auf Anforderung des SMB-Zugriffs werden die UNIX-Anmeldedaten aus lokalen Dateien erstellt oder das UDS wird

verwendet, um die NFSv3-Modusbits oder die NFSv4-ACL auf Berechtigungen zu prüfen.

● Berechtigungen für neu erstellte Dateien werden durch die UMASK bestimmt.

● Die Änderungen der NFSv3-UNIX-Modusbits oder der NFSv4-ACL-Berechtigungen werden für die SMB-ACL

synchronisiert.

● Änderungen der SMB-ACL-Berechtigungen sind zulässig, um Unterbrechungen zu vermeiden, diese

Berechtigungen werden jedoch nicht beibehalten.

Bei FTP hängt die Authentifizierung mit Windows oder Unix vom Format des Benutzernamens ab, der für die Authentifizierung am NAS-

Server verwendet wird. Bei Verwendung der Windows-Authentifizierung ähnelt die FTP-Zugriffskontrolle der für SMB, andernfalls der für

NFS. FTP- und SFTP-Clients werden bei Herstellung der Verbindung mit dem NAS-Server authentifiziert. Dies kann eine SMB-

Authentifizierung (wenn das Format für den Nutzernamen domain\user oder user@domain ist) oder eine UNIX-Authentifizierung sein

(bei anderen Formaten des Nutzernamens). Die SMB-Authentifizierung wird durch den Windows-DC der im NAS-Server definierten

Domain sichergestellt. Die Unix-Authentifizierung wird durch den NAS-Server gemäß dem verschlüsselten Passwort ermöglicht, das in

einem Remote-LDAP-Server, einem Remote-NIS-Server oder in der lokalen Passwortdatei des NAS-Servers gespeichert wird.

Zugangsdaten für Sicherheit auf Dateiebene

Zur Durchsetzung von Sicherheit auf Dateiebene muss das Speichersystem Zugangsdaten erstellen, die mit der bearbeiteten SMB- oder

NFS-Anforderung verknüpft sind. Es gibt zwei Arten von Zugangsdaten, Windows und UNIX. Windows- und Unix-Zugangsdaten werden

vom NAS-Server für die folgenden Anwendungsbeispiele erstellt.

● Zur Erstellung von Unix-Zugangsdaten mit mehr als 16 Gruppen für eine NFS-Anforderung. Die Eigenschaft „Erweiterte

Zugangsdaten“ des NAS-Servers muss festgelegt werden, um diese Möglichkeit bereitzustellen.

● Zur Erstellung von Unix-Zugangsdaten für eine SMB-Anforderung, wenn die Zugriffs-Policy für das Dateisystem Unix ist.

Authentifizierung und Zugriff