Reference Guide
предоставления доступа к системным ресурсам для сервисной учетной записи или отказа в доступе к этим ресурсам.
Эти правила определяют разрешения сервисной учетной записи для других компонентов устройства, которые не
определены другим образом стандартными разрешениями для файловой системы Linux.
Сервисные скрипты устройства
Версия программного обеспечения устройства включает набор скриптов для диагностики проблем, настройки системы и ее
восстановления. Эти скрипты позволяют получать всестороннюю информацию и дают возможность управлять системой на
более низком уровне, чем это возможно с PowerStore Manager. Эти скрипты и типичные сценарии их использования
описываются в документе PowerStore Service Scripts Guide.
Сервисный порт Ethernet узла устройства и IPMItool
Устройство предоставляет доступ к консоли через сервисный порт Ethernet, имеющийся на каждом узле. Для этот
требуется программа IPMItool. IPMItool — это сетевое средство, аналогичное SSH или Telnet, которое взаимодействует с
каждым узлом через Ethernet-соединение с использованием протокола IPMI. IPMItool — это утилита Windows, которая
создает защищенный канал связи для доступа к консоли узла устройства. Для активации консоли этой утилите требуется
физический доступ.
Интерфейс сервисного порта Ethernet узла поддерживает те же функции, что и сервисный интерфейс SSH (сервисный
интерфейс локальной сети), и к нему применяются те же ограничения. Однако пользователи получают доступ к
интерфейсу по соединению с портом Ethernet, а не через клиент SSH. Этот интерфейс предназначен для того, чтобы
специалисты службы поддержки при обслуживании системы на месте могли подключиться к устройству без
вмешательства в сеть. Выделенная консоль управления не требуется.
Этот интерфейс обеспечивает прямое подключение «от точки к точке» без маршрутизации. Специалисты службы
поддержки могут использовать сервисный интерфейс локальной сети для вывода данных на консоль, а также для доступа
по протоколу SSH к сервисному контейнеру PowerStore и PowerStore Manager, включая мастер начальной настройки (ICW).
Доступ по протоколу SSH к сервисному контейнеру через сервисный интерфейс локальной сети всегда активирован и не
может быть отключен; однако учетными данными сервисной учетной записи управляете вы.
Список сервисных скриптов см. в документе PowerStore Service Scripts Guide.
Безопасность NFS
Под безопасностью NFS подразумевается использование протокола Kerberos для аутентификации пользователей в
сетевых файловых системах NFSv3 и NFSv4. Протокол Kerberos обеспечивает целостность (использование подписей) и
конфиденциальность (шифрование) данных. Однако обеспечение целостности и конфиденциальности активировать
необязательно — эти функции являются необязательными параметрами экспорта NFS.
В отсутствие Kerberos сервер возлагает функции аутентификации пользователей исключительно на клиента и доверяет
клиенту. Если же используется протокол Kerberos, сервер доверяет центру распределения ключей (KDC). В этом случае
именно центр распределения ключей отвечает за аутентификацию и управляет учетными записями (участниками) и
паролями. Более того, никакие пароли не передаются по сети в какой бы то ни было форме.
Без использования Kerberos учетные данные пользователя передаются по сети в незашифрованном виде, и поэтому их
можно легко подделать. При использовании Kerberos удостоверение (субъект) пользователя включается в зашифрованный
билет Kerberos, который может быть прочитан только целевым сервером и KDC. Только им одним известен ключ
шифрования.
В сочетании с безопасностью NFS поддерживаются алгоритмы шифрования AES128 и AES256 в Kerberos. Помимо
собственно безопасности NFS это также затрагивает протоколы SMB и LDAP. Теперь эти алгоритмы шифрования по
умолчанию поддерживаются в Windows и Linux. Эти алгоритмы обеспечивают намного более высокий уровень защиты,
однако они могут и не использоваться — это зависит от клиента. На основании данных участника-пользователя сервер
создает учетные данные этого пользователя, запрашивая активную службу UDS (Unix Directory Service). Поскольку система
NIS не является защищенной, ее не рекомендуется использовать совместно с безопасностью NFS. Рекомендуется
использовать Kerberos с протоколом LDAP или LDAPS.
Безопасность NFS можно настроить с помощью PowerStore Manager.
20 Аутентификация и доступ