Reference Guide

● 확장 자격 증명 옵션이 설정된 경우 NFS를 통한 액세스용 Unix 자격 증명.

NAS 서버마다 하나의 캐시 인스턴스가 있습니다.

매핑되지 않은 사용자의 액세스 허용

멀티 프로토콜의 필수 조건은 다음과 같습니다.

● Windows 사용자는 UNIX 사용자에 매핑되어야 합니다.

● UNIX 사용자는 Windows 사용자에 매핑되어야 합니다. 그래야만 사용자가 Windows 액세스 정책을 사용하는 파일 시스템을 액세

스할 때 Windows 자격 증명을 생성할 수 있습니다.

매핑되지 않은 사용자의 경우 두 가지 속성이 NAS 서버에 연결됩니다.

● 기본 UNIX 사용자.

● 기본 Windows 사용자.

매핑되지 않은 Windows 사용자가 멀티 프로토콜 파일 시스템에 연결을 시도하고 NAS 서버에 대해 기본 UNIX 사용자 계정이 구성된

경우 기본 UNIX 사용자의 UID(User Identifier) 및 기본 GID(Group Identifier)가 Windows 자격 증명에 사용됩니다. 마찬가지로, 매핑되

지 않은 UNIX 사용자가 멀티 프로토콜 파일 시스템에 연결을 시도하고 NAS 서버에 대해 기본 Windows 사용자 계정이 구성된 경우 기

본 Windows 사용자의 Windows 자격 증명이 사용됩니다.

노트: UDS(UNIX Directory Service)에 기본 UNIX 사용자가 설정되어 있지 않은 경우 매핑되지 않은 사용자의 SMB 액세스가 거부

됩니다. Windows DC 또는 LGDB에 기본 Windows 사용자가 없는 경우 Windows 액세스 정책을 사용하는 파일 시스템에서 매핑되

지 않은 사용자의 NFS 액세스가 거부됩니다.

노트: 기본 UNIX 사용자는 기존의 유효한 UNIX 계정 이름이거나 새로운 형식인 @uid=xxxx,gid=yyyy@를 따릅니다. 이 형식

에서 xxxx 및 yyyy는 각각 UID 및 기본 GID의 10진수 숫자 값이며 PowerStore Manager를 통해 시스템에서 구성할 수 있습니다.

NFS 요청에 대한 UNIX 자격 증명

UNIX 또는 기본 액세스 정책을 사용하는 NFS 전용 또는 멀티 프로토콜 파일 시스템에 대한 NFS 요청을 처리하려면 UNIX 자격 증명

을 사용해야 합니다. 각 요청에는 항상 UNIX 자격 증명이 포함되지만 자격 증명의 추가 그룹은 16개로 제한됩니다. NFS 서버의

extendedUnixCredEnabled 속성을 통해 그룹 수가 16개가 넘는 자격 증명을 생성할 수 있습니다. 이 속성을 설정하면 활성 UDS

에 UID를 쿼리하여 기본 GID 및 모든 소속 그룹의 GID를 가져옵니다. UDS에 UID가 없는 경우 요청에 포함된 UNIX 자격 증명이 사용됩

니다.

노트: NFS 보안 액세스의 경우 항상 UDS를 사용하여 자격 증명이 생성됩니다.

SMB 요청에 대한 UNIX 자격 증명

UNIX 액세스 정책을 사용하는 멀티 프로토콜 파일 시스템에 대한 SMB 요청을 처리하려면 세션을 설정할 때 SMB 사용자에 대한

Windows 자격 증명을 먼저 생성해야 합니다. Windows 사용자의 SID는 AD에서 이름을 찾는 데 사용됩니다. 이 이름은 UDS 또는 로컬

파일(passwd 파일)에서 Unix UID 및 GID를 찾는 데 사용(필요한 경우 ntxmap를 통해)됩니다. 사용자의 소유자 UID는 Windows 자격 증

명에 포함됩니다. UNIX 액세스 정책을 사용하는 파일 시스템을 액세스할 경우 사용자의 UID로 UDS를 쿼리하여 UNIX 자격 증명을 생

성할 수 있습니다. 이는 NFS용 확장 자격 증명을 생성하는 경우와 비슷합니다. UID는 할당량 관리에 필요합니다.

SMB 요청에 대한 Windows 자격 증명

Windows 또는 기본 액세스 정책을 사용하는 SMB 전용 또는 멀티 프로토콜 파일 시스템에 대한 SMB 요청을 처리하려면 Windows 자

격 증명을 사용해야 합니다. SMB에 대한 Windows 자격 증명은 사용자가 연결할 때 세션 설정 요청 시에 한 번만 생성하면 됩니다.

Kerberos 인증을 사용할 때는 NTLM(NT LAN Manager)을 사용할 때와 달리 세션 설정 요청에 대한 Kerberos 티켓에 사용자 자격 증명

이 포함되어 있습니다. 기타 정보는 Windows DC 또는 LGDB에서 쿼리하여 가져옵니다. Kerberos의 경우 추가 그룹 SID 목록은

Kerberos 티켓 및 추가 로컬 그룹 SID 목록에서 가져옵니다. 권한 목록은 LGDB에서 가져옵니다. NTLM의 경우 추가 그룹 SID 목록은

Windows DC 및 로컬 그룹 SID 목록에서 가져옵니다. 권한 목록은 LGDB에서 가져옵니다.

또한 사용자 매핑 구성 요소에서 해당 UID 및 기본 GID가 검색됩니다. 기본 그룹 SID는 액세스 확인에 사용되지 않으므로 UNIX 기본

GID가 대신 사용됩니다.

노트: NTLM은 인증, 무결성 및 기밀성을 제공하는 독점적 보안 프로토콜의 이전 제품군입니다. Kerberos는 티켓 생성 시스템을

사용하여 더 빠른 인증을 제공하는 개방형 표준 프로토콜입니다. Kerberos는 네트워크의 시스템에 NTLM보다 개선된 보안을 제

공합니다.

인증 및 액세스 25