Reference Guide
Учетные данные для обеспечения безопасности на уровне
файлов
Для обеспечения безопасности на уровне файлов система хранения должна создать учетные данные, связанные с
обрабатываемым запросом протокола SMB или NFS. Существуют два вида учетных данных, Windows и UNIX. Учетные
данные Windows и UNIX создаются сервером NAS для перечисленных ниже сценариев использования.
● Для создания учетных данных UNIX с более чем 16 группами для запроса NFS. Для того чтобы это было возможно,
должно быть настроено свойство расширенных учетных данных сервера NAS.
● Для создания учетных данных UNIX для запроса SMB, когда для файловой системы выбрана политика доступа UNIX.
● Для создания учетных данных Windows для запроса SMB.
● Для создания учетных данных Windows для запроса NFS, когда для файловой системы выбрана политика доступа
Windows.
ПРИМЕЧАНИЕ: Если свойство расширенных учетных данных не настроено, при обработке запроса NFS используются
учетные данные UNIX, указанные в запросе NFS. Если для запроса SMB используется аутентификация на основе
Kerberos, учетные данные Windows пользователя домена включаются в сертификат Kerberos запроса на установление
сессии.
Постоянная кэш-память учетных данных используется:
● для учетных данных Windows, созданных для доступа к файловой системе, использующей политику доступа Windows;
● для учетных данных Unix, предназначенных для доступа по протоколу NFS, если расширенные учетные данные
включены.
Для каждого сервера NAS имеется один экземпляр кэш-памяти.
Предоставление доступа несопоставленным пользователям
Для использования нескольких протоколов необходимо выполнение следующих требований:
● каждый пользователь Windows должен быть сопоставлен пользователю UNIX;
● пользователь UNIX должен быть сопоставлен пользователю Windows, чтобы можно было создать учетные данные
Windows, когда этот пользователь обращается к файловой системе, в которой действует политика доступа Windows.
С сервером NAS связано два следующих свойства, относящихся к пользователям, для которых соответствие не
установлено:
● пользователь UNIX по умолчанию;
● пользователь Windows по умолчанию.
Когда пользователь Windows, для которого не установлено соответствие, пытается подключиться к многопротокольной
файловой системе, а для сервера NAS настроена учетная запись пользователя UNIX по умолчанию, в учетных данных
Windows используются идентификатор пользователя (UID) и идентификатор главной группы (GID) пользователя UNIX по
умолчанию. Аналогичным образом, когда несопоставленный пользователь UNIX пытается подключиться к
многопротокольной файловой системе, а учетная запись пользователя Windows по умолчанию настроена для сервера NAS,
используются учетные данные Windows пользователя Windows по умолчанию.
ПРИМЕЧАНИЕ: Если пользователь UNIX по умолчанию не задан в службе каталогов UNIX (UDS), несопоставленным
пользователям в доступе по протоколу SMB отказывается. Если пользователь Windows по умолчанию не найден в
контроллере домена Windows или в базе данных LGDB, несопоставленным пользователям отказывается в доступе по
протоколу NFS к файловой системе, в которой применяется политика доступа Windows.
ПРИМЕЧАНИЕ: Пользователь UNIX по умолчанию может иметь допустимое имя существующей учетной записи UNIX
или идентификатор в новом формате @uid=xxxx,gid=yyyy@, где xxxx и yyyy — это десятичные числовые значения
идентификатора UID и главного идентификатора GID соответственно. Эти значения можно задать в системе с помощью
PowerStore Manager.
Учетные данные UNIX для запросов NFS
Для обработки запросов NFS в файловой системе с несколькими протоколами или только с протоколом NFS, в которой
применяется политика доступа UNIX или собственная политика доступа, должны использоваться учетные данные UNIX.
Учетные данные UNIX всегда встраиваются в каждый запрос. Однако учетные данные ограничены 16 дополнительными
Аутентификация и доступ 29