Reference Guide
Si el administrador decide utilizar el dominio de Windows configurado, no hay que hacer nada más. Todos los SPN que utiliza el servicio
de NFS se agregan al KDC o se quitan de él de forma automática al unir o desvincular el servidor de SMB. Tenga en cuenta que el servidor
de SMB no puede destruirse si el NFS seguro está configurado para usar la configuración de SMB.
Si el administrador decide utilizar un dominio de Kerberos basado en UNIX, se requiere más configuración:
● Nombre del dominio: el nombre del dominio de Kerberos, cuyas letras están, por lo general, en mayúscula.
● Configure por completo un dominio de Kerberos basado en el KDC de UNIX.
Para asegurarse de que el cliente monta la exportación de NFS con una seguridad concreta, se proporciona el parámetro de seguridad sec,
el cual indica la seguridad mínima permitida. Hay cuatro clases de seguridad:
● AUTH_SYS: seguridad heredada estándar que no utiliza Kerberos. el servidor confía en la credencial proporcionada por el cliente
● KRB5: autenticación mediante Kerberos versión 5
● KRB5i: autenticación Kerberos con integridad (firma)
● KRB5p: autenticación Kerberos con integridad y privacidad (cifrado)
Si el cliente de NFS intenta montar la exportación con una seguridad inferior a la seguridad mínima configurada, se denegará el acceso. Por
ejemplo, si el acceso mínimo es KRB5i, se rechazará cualquier montaje con AUTH_SYS o KRB5.
Creación de credenciales
Cuando un usuario se conecta al sistema, presenta solamente su entidad de seguridad, user@REALM, la que se extrae del vale de
Kerberos. A diferencia de la seguridad AUTH_SYS, la credencial no se incluye en la solicitud de NFS. La parte del usuario (antes del
símbolo @) se extrae del principal y se utiliza para consultar el UID correspondiente en el UDS. A partir de ese UID, el sistema crea la
credencial usando el UDS activo, de modo similar a cuando está habilitada la credencial extendida de NFS (con la excepción de que, sin
Kerberos, la solicitud proporciona directamente el UID).
Si el principal no está mapeado en el UDS, se utiliza en su lugar la información de identificación de UNIX predeterminada configurada. Si no
está configurado el usuario de UNIX predeterminado, se utilizará la credencial nobody.
Seguridad en los objetos de los sistemas de archivos
En un ambiente multiprotocolo, la política de seguridad se configura en el nivel del sistema de archivos y es independiente para cada
sistema de archivos. Cada sistema de archivos usa su política de acceso para determinar cómo conciliar las diferencias entre las
semánticas de control de acceso de NFS y SMB. La selección de una política de acceso determina el mecanismo que se utiliza para aplicar
la seguridad de archivos en el sistema de archivos específico.
NOTA:
Si es necesario admitir el protocolo SMB1 más antiguo en el entorno, se puede habilitar mediante el comando de servicio
svc_nas_cifssupport. Para obtener más información sobre este comando de servicio, consulte PowerStore Service Scripts
Guide.
Modelo de seguridad de UNIX
Cuando se selecciona la política de UNIX, no se hace caso de los intentos de modificación de la seguridad en el nivel de archivos desde el
protocolo SMB, como la modificación de las listas de control de acceso (ACL). A los derechos de acceso de UNIX se les denomina los bits
de modo o la ACL de NFSv4 de un objeto del sistema de archivos. Los bits de modo se representan mediante una cadena de bits. Cada bit
equivale a un modo o derecho de acceso otorgado al usuario que posee el archivo, al grupo asociado con el objeto del sistema de archivos
y a todos los demás usuarios. Los bits de modo de UNIX se representan como tres conjuntos de triadas rwx (lectura, escritura y ejecución)
concatenadas para cada categoría de usuarios (usuario, grupo u otro). Una ACL es una lista de usuarios y grupos de usuarios mediante la
cual se controla el acceso a servicios y la negación de estos.
Modelo de seguridad de Windows
El modelo de seguridad de Windows se basa principalmente en derechos de objetos, lo cual implica el uso de un descriptor de seguridad
(SD) y de su ACL. Cuando se selecciona la política de SMB, no se hace caso de las modificaciones en los bits de modo desde el protocolo
NFS.
El acceso a un objeto del sistema de archivos se basa en si los permisos se configuraron en Permitir o Rechazar mediante el uso de un
descriptor de seguridad. El SD describe el propietario del objeto y los SID de grupo para el objeto, junto con sus ACL. Una ACL es parte del
20
Autenticación y acceso