Reference Guide

● 액세스 제어 - 컨테이너 기술을 통해 제공되는 애플리케이션 격리 외에, 어플라이언스의 ACL(Access Control List) 메커니즘은 서

비스 계정의 시스템 리소스 액세스를 명시적으로 부여하거나 거부하기 위한 매우 구체적인 규칙 목록을 사용합니다. 이러한 규칙

은 표준 Linux 파일 시스템 권한에 의해 정의되지 않은 기타 어플라이언스 영역에 대한 서비스 계정 권한을 지정합니다.

어플라이언스 서비스 스크립트

어플라이언스의 소프트웨어 버전에 문제 진단, 시스템 구성 및 시스템 복구를 위한 문제 진단 세트가 설치됩니다. 이러한 스크립트는

PowerStore Manager를 통해 사용할 수 있는 것보다 더 심층적인 수준의 정보와 더 하위 레벨의 시스템 제어를 제공합니다.

PowerStore Service Scripts Guide에서는 이러한 스크립트에 대해 설명하고 일반적인 활용 사례를 보여줍니다.

어플라이언스 노드 이더넷 서비스 포트 및 IPMItool

어플라이언스는 각 노드에 있는 이더넷 서비스 포트를 통해 콘솔 액세스를 제공합니다. 이와 같이 액세스하려면 IPMItool을 사용해야

합니다. IPMItool은 SSH 또는 텔넷과 유사한 네트워크 도구로, IPMI 프로토콜을 사용하는 이더넷 연결을 통해 각 노드와 통신합니다.

IPMItool은 어플라이언스의 노드 콘솔을 액세스하기 위해 안전한 통신 채널을 협상하는 Windows 유틸리티입니다. 이 유틸리티를 사

용하려면 콘솔을 활성화하기 위해 물리적 액세스가 필요합니다.

노드 이더넷 서비스 포트 인터페이스는 SSH 인터페이스(Service LAN interface)와 동일한 기능을 제공하며 동일한 제한 사항이 적용

될 수 있습니다. 하지만 SSH 클라이언트가 아닌 이더넷 포트 연결을 통해 사용자가 인터페이스를 액세스합니다. 이 인터페이스는 네

트워크를 방해하지 않고 어플라이언스에 연결할 수 있는 현장 서비스 담당자를 위한 것입니다. 전용 관리 콘솔은 필요하지 않습니다.

이 인터페이스는 라우팅 불가능한 직접 지점 간 연결을 제공합니다. 서비스 담당자는 초기 구성 마법사를 포함한 PowerStore

Manager 및 PowerStore 서비스로 컨테이너에 SSH 액세스, 콘솔 출력에 서비스 LAN 인터페이스를 사용할 수 있습니다. 서비스 LAN

인터페이스를 통한 서비스 컨테이너로의 SSH 액세스가 항상 활성화되며 비활성화할 수 없습니다. 하지만 서비스 계정 자격 증명은

직접 관리하셔야 합니다.

서비스 스크립트 목록은 PowerStore Service Scripts Guide를 참조 바랍니다.

NFS 보안

NFS 보안은 NFSv3 및 NFSv4를 사용하여 사용자를 인증하기 위해 Kerberos를 사용하는 것입니다. Kerberos는 무결성(서명) 및 개인

정보 보호(암호화) 기능을 제공합니다. 무결성 및 개인 정보 보호를 활성화할 필요가 없습니다. 이들은 NFS 내보내기 옵션입니다.

Kerberos를 사용하지 않으면 서버가 사용자를 인증할 때 클라이언트에 전적으로 의존합니다. 즉, 서버가 클라이언트를 신뢰합니다.

Kerberos를 사용하면 서버가 클라이언트를 신뢰하는 것이 아니라, KDC(Key Distribution Center)를 신뢰합니다. 인증을 처리하고 계정

(보안 주체)과 암호를 관리하는 것이 바로 KDC입니다. 뿐만 아니라, 어떤 형태의 암호든 회선을 통해 전송되지 않습니다.

Kerberos를 사용하지 않으면 사용자의 자격 증명이 암호화되지 않은 상태로 회선을 통해 전송되므로 쉽게 스푸핑될 수 있습니다.

Kerberos를 사용하면 타겟 서버와 KDC만 읽을 수 있는 암호화된 Kerberos 티켓에 사용자의 ID(보안 주체)가 포함됩니다. 타겟 서버와

KDC만이 암호화 키를 인식합니다.

NFS 보안과 함께, Kerberos에서 AES128 및 AES256 암호화가 지원됩니다. NFS 보안과 함께, 이는 SMB와 LDAP에도 영향을 미칩니다.

이제 이런 암호화는 Windows 및 Linux에서 기본적으로 지원됩니다. 이런 새로운 암호화가 훨씬 더 안전하지만, 사용 여부는 클라이언

트에 달린 문제입니다. 서버는 해당 사용자 보안 주체에서 활성 UDS(Unix Directory Service)를 쿼리하여 그 사용자의 자격 증명을 빌

드합니다. NIS에 보안 설정이 되어 있지 않으므로, NFS 보안과 함께 NIS를 사용하지 않는 것이 좋습니다. LDAP 또는 LDAPS와 함께

Kerberos를 사용하는 것이 좋습니다.

NFS 보안은 PowerStore Manager를 통해 구성할 수 있습니다.

파일 프로토콜 관계

Kerberos를 사용할 때는 다음 사항이 필요합니다.

● DNS - IP 주소 대신 DNS 이름을 사용해야 합니다.

● NTP- PowerStore에 구성된 NTP 서버가 있어야 합니다.

노트: Kerberos는 네트워크의 클라이언트, 서버 및 KDC 간 시간 동기화가 올바르게 이루어져야 합니다.

● UDS - 자격 증명 배포에 필요합니다.

● 호스트 이름 - Kerberos는 IP 주소가 아니라 이름을 사용하여 작동합니다.

NFS 보안에서는 호스트 이름의 값에 따라 한 개 또는 두 개의 SPN(service principal names)을 사용합니다. 호스트 이름이 FQDN 형식

의 호스트 도메인인 경우:

인증 및 액세스 17