Reference Guide
Взаимосвязи файловых протоколов
При использовании Kerberos потребуется следующее:
● DNS — вместо IP-адресов следует использовать DNS-имя.
● NTP — PowerStore должен иметь настроенный сервер NTP.
ПРИМЕЧАНИЕ: Kerberos использует правильную синхронизацию времени между KDC, серверами и клиентом в
сети.
● UDS — для создания учетных данных.
● Имя хоста — Kerberos работает с именами, а не с IP-адресами.
Безопасность NFS использует одно или два имени субъектов-служб (SPN) в зависимости от значения имени хоста. Если
имя хоста имеет формат полного доменного имени — хост.домен:
● короткое имя SPN: nfs/host@REALM;
● длинное имя SPN: nfs/host.domainFQDN@REALM.
Если имя хоста не представлено в формате полностью определенного доменного имени, используется только короткое
имя SPN.
Аналогично системе SMB, где сервер SMB можно присоединить к домену, сервер NFS можно присоединить к области
(эквивалент домена в терминологии Kerberos). Это можно сделать одним из двух указанных ниже способов.
● Использовать настроенный домен Windows (при его наличии).
● Полностью настроить область Kerberos на основе KDC UNIX.
Если администратор решает использовать настроенный домен Windows, больше ничего настраивать не требуется. Каждое
имя SPN, используемое сервисом NFS, автоматически добавляется в KDC или удаляется из него при присоединении или
отсоединении сервера SMB. Следует отметить, что, если для безопасности NFS настроено использование конфигурации
SMB, сервер SMB не может быть уничтожен.
Если администратор решает использовать область Kerberos на основе UNIX, дополнительно требуется:
● Имя области: имя области Kerberos, которая обычно содержит только буквы в верхнем регистре.
● полностью настроить область Kerberos на основе KDC UNIX.
Для того чтобы клиент подключал экспорт NFS с конкретным значением уровня безопасности, предусмотрен параметр
безопасности sec, который указывает минимально допустимый уровень безопасности. Существует четыре механизма
обеспечения безопасности:
● AUTH_SYS: стандартный устаревший механизм обеспечения безопасности, который не использует Kerberos. Сервер
доверяет учетным данным, которые предоставляются клиентом.
● KRB5: аутентификация с использованием Kerberos v5.
● KRB5i: аутентификация средствами Kerberos в сочетании с обеспечением целостности (использованием подписей).
● KRB5p: аутентификация средствами Kerberos в сочетании с обеспечением целостности и конфиденциальности
(шифрованием).
Если клиент NFS пытается подключить экспортированный объект, уровень безопасности которого ниже установленного
минимума, доступ будет запрещен. Например, если в качестве минимального параметра для доступа установлен KRB5i,
любые подключаемые объекты, использующие AUTH_SYS или KRB5, будут отклонены.
Создание учетных данных
При подключении пользователя к системе он представляет только свой субъект (user@REALM), который извлекается из
билета Kerberos. В отличие от механизма обеспечения безопасности AUTH_SYS, в этом случае учетные данные не
включаются в запрос NFS. Часть, обозначающая пользователя (перед символом @), извлекается из субъекта и
используется для поиска соответствующего идентификатора UID в UDS. Система создает учетные данные на основании
найденного UID, используя активную службу UDS, — точно так же, как в случае, когда активированы расширенные учетные
данные NFS (с тем лишь исключением, что в отсутствие Kerberos идентификатор UID предоставляется непосредственно по
запросу).
Если участник в службе UDS не сопоставлен, используются настроенные учетные данные пользователя UNIX по
умолчанию. Если пользователь UNIX по умолчанию не настроен, используются учетные данные пользователя nobody.
Аутентификация и доступ 21