Reference Guide
Политики доступа для протоколов NFS, SMB и FTP
В среде с несколькими протоколами система хранения использует политики доступа файловой системы для управления
доступом пользователей к файловым системам. Существует два вида безопасности: UNIX и Windows.
Для аутентификации в системе безопасности UNIX учетные данные создаются на основе служб каталогов UNIX (UDS), за
исключением небезопасного доступа по протоколу NFS, при котором учетные данные предоставляются клиентом хоста.
Права пользователей определяются на основе битов режимов и списка контроля доступа NFSv4. Для идентификации
используется идентификаторы пользователей и групп (UID и GID, соответственно). С безопасностью UNIX не связаны
никакие права.
В случае аутентификации на основе встроенных средств безопасности Windows учетные данные создаются с помощью
контроллера домена (DC) Windows и базы данных локальных групп (LGDB) сервера SMB. Права пользователей
определяются на основе списков контроля доступа (ACL) протокола SMB. Для идентификации используется
идентификатор безопасности (SID). Существуют полномочия, связанные с безопасностью Windows (например,
TakeOwnership, Backup и Restore), которые предоставляются базой данных LGDB или объектом групповой политики (GPO)
сервера SMB.
В следующей таблице дается описание политик доступа, которые определяют, какой вид безопасности используется для
каждого из протоколов:
Политика
доступа
Описание
Собственная
(по
умолчанию)
● Каждый протокол управляет доступом с использованием своих собственных функций безопасности.
● Для обеспечения безопасности сетевых папок NFS используются учетные данные UNIX, связанные с
запросом на проверку битов режима UNIX NFSv3 или списка контроля доступа NFSv4. Затем доступ
разрешается или запрещается.
● Для обеспечения безопасности сетевых папок SMB используются учетные данные Windows,
связанные с запросом на проверку списка контроля доступа SMB. Затем доступ разрешается или
запрещается.
● Биты режима UNIX NFSv3 и изменения разрешений ACL NFSv4 синхронизируются друг с другом.
● Синхронизация между разрешениями Unix и Windows не выполняется.
Windows
● Доступ на уровне файлов для Windows и UNIX защищается с помощью системы безопасности
Windows.
● Для проверки ACL SMB используются учетные данные Windows.
● Разрешения для только что созданных файлов определяются преобразованием ACL SMB. Изменения
разрешений ACL SMB синхронизируются с ACL NFSv4 или битами режима UNIX NFSv3.
● Биты режима NFSv3 и изменения разрешений ACL NFSv4 запрещаются.
UNIX
● Доступ на уровне файлов для Windows и UNIX защищается с помощью системы безопасности UNIX.
● При запросе на доступ SMB для проверки битов режима NFSv3 или ACL NFSv4 в отношении
разрешений используются учетные данные UNIX из локальных файлов или UDS.
● Разрешения для только что созданных файлов определяются по UMASK.
● Биты режима UNIX NFSv3 или изменения разрешений ACL NFSv4 синхронизируются с ACL SMB.
● Изменения разрешений ACL SMB допустимы во избежание прерывания работы, но эти разрешения не
сохраняются.
В случае протокола FTP аутентификация с помощью Windows или UNIX выбирается в зависимости от формата имени
пользователя, который используется при аутентификации на сервере NAS. Если используется аутентификация Windows,
контроль доступа по протоколу FTP аналогичен контролю доступа по протоколу SMB; в противном случае аутентификация
аналогична аутентификации для файловой системы NFS. Аутентификация клиентов FTP и SFTP производится, когда они
подключаются к серверу NAS. Это может быть аутентификация SMB (если имя пользователя указано в формате domain
\user или user@domain) или аутентификация UNIX (для других форматов одиночного имени пользователя).
Аутентификация SMB обеспечивается контроллером домена Windows, принадлежащим домену, который определен на
сервере NAS. Аутентификация UNIX обеспечивается сервером NAS в соответствии с зашифрованным паролем,
хранящимся на удаленном сервере LDAP, на удаленном сервере NIS или в локальном файле паролей сервера NAS.
28 Аутентификация и доступ