Manualshelf

Reference Guide

ManualsBrandsDell ManualsCompellent (SCPowerStore Rack
11121314151617181920
Puerto de servicio Ethernet del nodo de un dispositivo y IPMItool
El dispositivo proporciona acceso a la consola por medio de un puerto de servicio Ethernet presente en cada nodo. Este acceso requiere el
uso de IPMItool. IPMItool es una herramienta de red similar a SSH o Telnet, que se conecta a cada nodo a través de una conexión
Ethernet mediante el protocolo IPMI. IPMItool es una utilidad de Windows que negocia un canal de comunicación seguro para acceder a la
consola del nodo de un dispositivo. Esta utilidad requiere acceso físico para activar la consola.
La interfaz del puerto de servicio Ethernet del nodo proporciona las mismas funciones y características que la interfaz de SSH de servicio
(interfaz de LAN de servicio) y también está sujeta a las mismas restricciones. Sin embargo, los usuarios acceden a la interfaz a través de
una conexión a un puerto Ethernet en lugar de hacerlo mediante un cliente SSH. Esta interfaz está diseñada para el personal de servicio de
campo que se puede conectar al dispositivo sin necesidad de alterar la red. No es necesaria una consola de administración dedicada.
Esta interfaz proporciona una conexión directa de punto a punto que no enrutable. El personal de servicio puede usar la interfaz de LAN de
servicio para la salida de la consola, el acceso mediante SSH al contenedor de servicios de PowerStore y PowerStore Manager, incluido
ICW (Initial Configuration Wizard). El acceso mediante SSH al contenedor de servicios a través de la interfaz de LAN de servicio está
siempre habilitado y no se puede deshabilitar; sin embargo, usted administra la credencial de la cuenta de servicio.
Para obtener una lista de scripts de servicio, consulte PowerStore Service Scripts Guide.
NFS seguro
NFS seguro consiste en usar Kerberos para autenticar los usuarios con NFSv3 y NFSv4. Kerberos proporciona integridad (firma) y
privacidad (cifrado). No es preciso habilitar la integridad ni la privacidad, sino que son opciones de exportación de NFS.
Sin Kerberos, el servidor depende por completo del cliente para autenticar los usuarios: el servidor confía en el cliente. No ocurre lo mismo
con Kerberos, en cuyo caso el servidor confía en el centro de distribución de claves (KDC). El KDC se ocupa de manejar la autenticación y
de administrar tanto las cuentas (entidades de seguridad) como las contraseñas. Es más, no se envía por vía electrónica ninguna
contraseña de ninguna manera.
Sin Kerberos, la credencial del usuario se envía sin cifrar por vía electrónica y, por lo tanto, puede suplantarse con facilidad. Con Kerberos,
la identidad (principal) del usuario se incluye en el vale cifrado de Kerberos, el cual pueden leer solo el servidor de destino y el KDC. Son los
únicos que conocen la clave de cifrado.
En combinación con el NFS seguro, son compatibles los cifrados AES128 y AES256 en Kerberos. Junto con el NFS seguro, eso también
repercute en SMB y LDAP. Estos cifrados ya son compatibles en forma predeterminada con Windows y Linux. Estos nuevos cifrados son
mucho más seguros, pero su uso queda a discreción del cliente. A partir de esa entidad de seguridad de usuario, el servidor crea la
credencial de dicho usuario realizando una consulta al servicio de directorio de UNIX (UDS) activo. Como NIS no está protegido, no se
recomienda utilizarlo con el NFS seguro. Se recomienda usar Kerberos con LDAP o LDAPS.
NFS seguro se puede configurar a través de PowerStore Manager.
Relaciones con los protocolos de archivos
Con Kerberos, se necesita lo siguiente:
DNS: debe usar el nombre de DNS en lugar de direcciones IP.
NTP: PowerStore debe tener un servidor NTP configurado.
NOTA: Kerberos depende de la sincronización de hora correcta entre el KDC, los servidores y el cliente en la red.
UDS: permite crear las credenciales.
Nombre de host: Kerberos funciona con nombres, no con direcciones IP.
NFS seguro utiliza uno o dos nombres de entidad de seguridad de servicio (SPN) en función del valor del nombre de host. Si es el nombre
de host tiene el formato de nombre de dominio calificado host.dominio:
SPN corto: nfs/host@REALM
SPN largo: nfs/host.domainFQDN@REALM
Si el nombre de host no tiene el formato de nombre de dominio calificado, solo se usará el SPN corto.
De manera similar a lo que ocurre con SMB, si es posible unir un servidor SMB a un dominio, también lo es unir un servidor NFS a un
dominio (el equivalente en Kerberos). Para hacerlo, existen dos opciones:
Utilizar el dominio de Windows configurado, si lo hay
Configurar por completo un dominio de Kerberos basado en el KDC de UNIX
Autenticación y acceso
19