EMC VNXe Series Guida alla configurazione della sicurezza - Rev 7 January 2020
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
EMC® VNXe® Series Versione 3.1 Guida alla configurazione della sicurezza 302-000-198 Rev 7 January 2020
Copyright © 2014-2020 Dell Inc. or its subsidiaries. Tutti i diritti riservati.
Dell ritiene che le informazioni contenute nel presente documento siano esatte al momento della sua data di pubblicazione. Le informazioni sono
soggette a modifica senza preavviso.
LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO VENGONO FORNITE "COSÌ COME SONO". DELL NON FORNISCE ALCUNA
DICHIARAZIONE O GARANZIA IN RELAZIONE ALLE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO, IN MODO SPECIFICO PER
QUANTO ATTIENE ALLE GARANZIE DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO, LA COPIA E LA
DISTRIBUZIONE DEI PRODOTTI SOFTWARE DI DELL DESCRITTI NEL PRESENTE DOCUMENTO RICHIEDONO UNA LICENZA VALIDA PER
CIASCUN SOFTWARE.
Dell Technologies, Dell, EMC, Dell EMC e altri marchi sono marchi di Dell Inc. o delle sue società controllate. Gli altri marchi possono essere di
proprietà dei rispettivi proprietari. Pubblicato in Italia.
EMC Computer Systems Italia S.p.A.
Direzione e Filiale di Milano; Via Giovanni Spadolini, 5 - Edificio A; 20141 Milano
tel. +39 02 409081; fax +39 02 48204686
www.DellEMC.com/it-it/index.htm
2 EMC® VNXe® Series Guida alla configurazione della sicurezzaSOMMARIO
Capitolo 1 Introduzione 5
Panoramica......................................................................................................... 6
Documenti correlati............................................................................................ 6
Capitolo 2 Controllo dell'accesso 7
Metodi di accesso............................................................................................... 8
Account di gestione e di servizio predefiniti del sistema di storage..................... 9
Gestione degli account del sistema di storage................................................... 10
Unisphere.......................................................................................................... 10
Interfaccia a riga di comando (CLI) Unisphere...................................................12
Interfaccia di servizio SSH del sistema di storage..............................................13
Porta di servizio Ethernet dell'SP del sistema di storage e IPMItool.................. 15
SMI-S Provider..................................................................................................15
Supporto per vSphere Storage API for Storage Awareness...............................15
SSO con Unisphere Central............................................................................... 16
Flussi del processo di SSO.................................................................... 17
Accesso a un sistema di storage locale................................................. 19
Supporto SSO e NAT............................................................................19
Protezione degli object del file system...............................................................19
Accesso a file system in un ambiente multiprotocollo........................................20
User mapping....................................................................................... 20
Policy di accesso per NFS, CIFS e FTP.................................................21
Credenziali per la sicurezza a livello di file............................................ 22
Capitolo 3 Logging 25
Logging.............................................................................................................26
Opzioni di accesso remoto................................................................................ 27
Capitolo 4 Sicurezza delle comunicazioni 29
Utilizzo delle porte............................................................................................ 30
Porte di rete del sistema di storage......................................................30
Porte contattabili dal sistema di storage.............................................. 37
Certificato del sistema di storage...................................................................... 41
Sostituzione del certificato autofirmato del sistema di storage con
certificati firmati da una CA locale....................................................... 42
Configurazione dell'interfaccia di gestione mediante DHCP.............................. 43
Assegnazione automatica di un indirizzo IP al sistema di storage......... 44
Interfacce, servizi e funzionalità del sistema di storage che supportano Internet
Protocol versione 6...........................................................................................45
Accesso all'interfaccia di gestione del sistema di storage tramite IPv6............. 46
Esecuzione dell'utility di connessione................................................................ 47
Crittografia e firma CIFS................................................................................... 47
Supporto della gestione per le comunicazioni SSL............................................ 50
Gestione della modalità TLS nel sistema di storage.............................. 50
Capitolo 5 Impostazioni di protezione dati 51
Impostazioni di protezione dati......................................................................... 52
EMC® VNXe® Series Guida alla configurazione della sicurezza 3Sommario
Capitolo 6 Manutenzione della protezione 55
Manutenzione sicura.........................................................................................56
Aggiornamento licenze.........................................................................56
Upgrade del software...........................................................................56
EMC Secure Remote Support per il sistema di storage in uso...........................57
Capitolo 7 Impostazioni alert di protezione 59
Impostazioni alert............................................................................................. 60
Configurazione delle impostazioni degli alert........................................ 61
Capitolo 8 Altre impostazioni di protezione 63
Controlli di protezione fisica..............................................................................64
Protezione antivirus.......................................................................................... 64
Appendice Suite di crittografia TLS 65
Suite di crittografia TLS supportate..................................................................66
4 EMC® VNXe® Series Guida alla configurazione della sicurezzaCAPITOLO 1
Introduzione
Il presente capitolo descrive brevemente diverse funzionalità di protezione implementate nel
sistema di storage.
Vengono trattati i seguenti argomenti:
l Panoramica............................................................................................................................. 6
l Documenti correlati................................................................................................................. 6
EMC® VNXe® Series Guida alla configurazione della sicurezza 5Introduzione
Panoramica
Il sistema di storage utilizza una vasta gamma di funzionalità di protezione per controllare l'accesso
utente e di rete, monitorare l'accesso e l'utilizzo del sistema e supportare la trasmissione dei dati di
storage. Il presente documento descrive le funzionalità di protezione disponibili.
Questo documento è destinato agli amministratori responsabili della configurazione e del
funzionamento del sistema di storage.
La guida descrive le impostazioni di sicurezza nell'ambito delle categorie illustrate in Tabella 1 a
pagina 6:
Tabella 1 Categorie delle impostazioni di sicurezza
Categoria di Descrizione
protezione
Controllo degli accessi Limitazione dell'accesso da parte dell'utente finale o di altre entità
per proteggere l'hardware, il software o funzionalità specifiche di
prodotto.
Logs Gestione della registrazione degli eventi.
Protezione delle Protezione delle comunicazioni di rete dei prodotti.
comunicazioni
Protezione dei dati Protezione dei dati dei prodotti.
Serviceability Mantenimento del controllo sulle operazioni di assistenza eseguite
dal produttore o dai relativi partner di assistenza.
Sistema di alert Gestione di alert e notifiche generati per eventi legati alla sicurezza.
Altre impostazioni di Impostazioni di protezione che non ricadono in una delle sezioni
sicurezza precedenti, ad esempio la sicurezza fisica.
Documenti correlati
È possibile trovare istruzioni di configurazione specifiche all'interno della documentazione di VNXe,
disponibile nel sito web del Supporto Online EMC all'indirizzo www.emc.com/vnxesupport. Questa
guida include riferimenti ai seguenti documenti, laddove appropriato.
l Installazione del proprio hardware VNXe
l Guida online ad Unisphere for VNXe
l Utilizzo del sistema VNXe con file system CIFS
l Utilizzo del sistema VNXe con file system NFS
l Utilizzo del sistema VNXe con LUN FC (Fibre Channel) o iSCSI
l Utilizzo del sistema VNXe con NFS VMware o VMFS VMware
l Guida utente CLI VNXe
l EMC Secure Remote Support per VNXe Requisiti e configurazione Note tecniche
l Guida alla programmazione di SMI-S Provider per VNXe
6 EMC® VNXe® Series Guida alla configurazione della sicurezzaCAPITOLO 2
Controllo dell'accesso
Il presente capitolo descrive diverse funzionalità per il controllo dell'accesso implementate sul
sistema di storage.
Vengono trattati i seguenti argomenti:
l Metodi di accesso....................................................................................................................8
l Account di gestione e di servizio predefiniti del sistema di storage..........................................9
l Gestione degli account del sistema di storage........................................................................10
l Unisphere...............................................................................................................................10
l Interfaccia a riga di comando (CLI) Unisphere....................................................................... 12
l Interfaccia di servizio SSH del sistema di storage.................................................................. 13
l Porta di servizio Ethernet dell'SP del sistema di storage e IPMItool.......................................15
l SMI-S Provider...................................................................................................................... 15
l Supporto per vSphere Storage API for Storage Awareness................................................... 15
l SSO con Unisphere Central................................................................................................... 16
l Protezione degli object del file system................................................................................... 19
l Accesso a file system in un ambiente multiprotocollo............................................................ 20
EMC® VNXe® Series Guida alla configurazione della sicurezza 7Controllo dell'accesso
Metodi di accesso
Il sistema di storage supporta i metodi di accesso illustrati nella tabella Metodi di accesso.
Tabella 2 Metodi di accesso
Tipo Descrizione
Account di Tali account presentano privilegi per l'esecuzione di attività di gestione e monitoraggio associate
gestione al sistema di storage e alle relative risorse di storage. Vedere Ruoli e privilegi per gli utenti locali.
Le password vengono create e gestite attraverso l'interfaccia di gestione del sistema di storage e
possono essere utilizzate per accedere a una delle seguenti interfacce di gestione:
l Unisphere®:
n Un'interfaccia grafica web-based, accessibile tramite HTTPS, che fornisce strumenti per
la configurazione, la gestione e il monitoraggio delle impostazioni di storage e di sistema
del sistema di storage.
l CLI Unisphere:
n La CLI Unisphere fornisce un'interfaccia a riga di comando per la stessa funzionalità
disponibile all'interno di Unisphere.
Account di Tale account esegue funzioni specializzate di servizio. Un unico account consente di accedere alle
servizio interfacce di servizio utilizzando SSH o la connessione della porta di servizio Ethernet su ciascuno
storage processor (SP). Le interfacce di servizio del sistema di storage includono le seguenti:
l Unisphere. Utilizzando un account di gestione, digitare la password di servizio per accedere
alla pagina di servizio Unisphere da cui è possibile effettuare le seguenti azioni:
n Raccogli informazioni servizio di sistema (livello di sistema) - Consente di raccogliere
informazioni sul sistema e salvarle in un file. Il personale di assistenza può utilizzare le
informazioni raccolte per analizzare il sistema.
n Salva configurazione (livello di sistema) - Consente di salvare i dettagli relativi alle
impostazioni di configurazione del sistema di storage in un file. Il service provider può
utilizzare questo file per riconfigurare il sistema in seguito a un guasto grave o a una
reinizializzazione dello stesso.
n Riavvia software di gestione (livello di sistema) - Consente di riavviare il software di
gestione per risolvere problemi di connessione tra il sistema e Unisphere.
n Reinizializza sistema (livello di sistema) - Consente di effettuare il reset del sistema di
storage alle impostazioni di fabbrica originali. Entrambi gli storage processor (SP) devono
essere installati, funzionare normalmente ed essere impostati in modalità di servizio. In
caso contrario, non sarà possibile eseguire questa azione.
Nota: la Modalità di servizio rappresenta una modalità a funzionamento ridotto ideata
per le attività di manutenzione e risoluzione dei problemi. Un sistema di storage in tale
modalità utilizza un'interfaccia limitata all'interno di Unisphere, oltre che
un'interfaccia CLI specifica che consente la risoluzione di problemi isolati.
n Modifica password di servizio sistema - Consente di modificare la password di servizio per
accedere alla pagina Esegui manutenzione sistema.
n Spegni sistema (livello di sistema) - Le procedure del ciclo di accensione/spegnimento del
sistema sono utili per risolvere i problemi del sistema di storage che non sono stati
eliminati effettuando il riavvio o il reimage dello storage processor.
8 EMC® VNXe® Series Guida alla configurazione della sicurezzaControllo dell'accesso
Tabella 2 Metodi di accesso (continua)
Tipo Descrizione
n Abilita SSH (livello di sistema) - Consente di abilitare il protocollo Secure Shell (SSH) per
fornire accesso SSH al sistema. Utilizzando un client SSH, l'utente o il service provider
possono connettersi al sistema ed eseguire operazioni di manutenzione avanzate.
n Imposta modalità di servizio (livello di SP) - L'impostazione dell'SP in modalità di servizio
arresta i servizi I/O sull'SP per consentire di eseguire gli interventi di assistenza in modo
sicuro.
n Riavvia (livello di SP) - Consente di riavviare lo storage processor (SP) selezionato.
Utilizzare questo intervento di assistenza per tentare di risolvere problemi di minore entità
relativi a software di sistema o componenti hardware dell'SP. Inoltre è possibile riavviare
un SP in buono stato impostato in modalità di servizio per riportarlo alla modalità normale.
n Esegui reimage (livello di SP) - Consente di eseguire il reimage dell'SP selezionato.
Durante l'operazione di reimage, il software di sistema sull'SP viene analizzato e si tenta di
risolvere eventuali problemi automaticamente.
l CLI Unisphere:
n La CLI Unisphere fornisce un'interfaccia a riga di comando per la stessa funzionalità
disponibile all'interno di Unisphere.
l Interfaccia script di servizio SSH:
n Un'interfaccia a riga di comando accessibile attraverso un client SSH che fornisce
funzioni specifiche di servizio per la diagnosi, la risoluzione dei problemi e la risoluzione
delle criticità nell'ambito del sistema di storage.
l Interfaccia tramite la porta di servizio Ethernet dell'SP:
n Fornisce le stesse funzionalità diagnostiche e di risoluzione dei problemi dell'interfaccia di
servizio SSH, ad eccezione del fatto che l'accesso viene fornito mediante un'interfaccia
che utilizza la porta di servizio Ethernet su ciascuno SP. Tale porta deve essere utilizzata
esclusivamente come porta di connessione diretta (Serial over LAN). Per ulteriori
informazioni, vedere Porta di servizio Ethernet dell'SP del sistema di storage e IPMItool.
Account di gestione e di servizio predefiniti del sistema di
storage
Il sistema di storage viene fornito con impostazioni predefinite per l'account utente da utilizzare
per l'accesso e la configurazione iniziale del sistema di storage. Vedere Impostazioni predefinite in
fabbrica per l'account utente.
Tabella 3 Impostazioni predefinite in fabbrica per l'account utente
Tipo di account Nome utente Password Autorizzazioni
Gestione (Unisphere) Exchange Password123# Privilegi di
amministratore per la
reimpostazione delle
password predefinite,
la configurazione delle
impostazioni di
EMC® VNXe® Series Guida alla configurazione della sicurezza 9Controllo dell'accesso
Tabella 3 Impostazioni predefinite in fabbrica per l'account utente (continua)
Tipo di account Nome utente Password Autorizzazioni
sistema, la creazione
di account utente e
l'assegnazione dello
storage.
Servizio service service Eseguire operazioni di
servizio.
Nota: durante il processo di configurazione iniziale è necessario modificare la password per gli
account predefiniti amministratore e servizio.
Gestione degli account del sistema di storage
La tabella Metodi di gestione degli account illustra i modi in cui è possibile gestire gli account del
sistema di storage.
Tabella 4 Metodi di gestione degli account
Ruoli degli account Descrizione
Management Al termine del processo di configurazione iniziale del sistema di storage, è possibile gestire
gli account di gestione del sistema di storage da Unisphere o dalla CLI Unisphere. È possibile
creare, modificare, eliminare o riconfigurare le impostazioni delle password per gli account
locali del sistema di storage, oltre che assegnare o modificare i ruoli per gli account che
determinano i privilegi degli utenti che li utilizzano.
Service Non è possibile creare né eliminare account di servizio del sistema di storage. Per
reimpostare la password dell'account di servizio, utilizzare la funzione Modifica password
di servizio dalla pagina Servizio di Unisphere.
Nota: È possibile reimpostare le password predefinite degli account del sistema di storage
premendo il pulsante di ripristino password situato sullo chassis del sistema di storage. La
Guida online di Unisphere fornisce ulteriori informazioni.
Unisphere
L'autenticazione per l'accesso a Unisphere viene effettuata in base alle credenziali dell'account
utente (locale o LDAP). Gli account utente vengono creati e successivamente gestiti tramite la
pagina Gestione amministrazione Unisphere. L'autorizzazione applicabile a Unisphere varia a
seconda del ruolo associato all'account utente.
Autenticazione
Prima che possa scaricare il contenuto dell'interfaccia utente di Unisphere in una workstation di
gestione, l'utente deve fornire le credenziali di autenticazione e stabilire una sessione nel sistema di
storage. Quando l'utente specifica l'indirizzo di rete del sistema di storage come URL in un web
browser, visualizza una pagina di login in cui può selezionare l'autenticazione come utente locale o
tramite un server di directory LDAP. Le credenziali fornite verranno autenticate e al
completamento dell'autenticazione verrà creata una sessione di gestione dell'interfaccia utente nel
sistema di storage. Successivamente, l'interfaccia utente di Unisphere verrà scaricata e verrà
creata un'istanza nella workstation di gestione dell'utente. L'utente sarà quindi in grado di
10 EMC® VNXe® Series Guida alla configurazione della sicurezzaControllo dell'accesso
monitorare e gestire il sistema di storage nell'ambito delle funzionalità del ruolo che gli è stato
assegnato.
LDAP
Il protocollo LDAP (Lightweight Directory Access Protocol) è un protocollo applicativo per
l'esecuzione di query sui servizi di directory in esecuzione su reti TCP/IP. Il protocollo LDAP
consente di ottenere una gestione centrale per le operazioni di autorizzazione di rete aiutando a
centralizzare la gestione di utenti e gruppi all'interno della rete. L'integrazione del sistema in un
ambiente LDAP esistente fornisce un modo per controllare l'accesso dell'utente e di gruppi di
utenti al sistema mediante la CLI Unisphere o Unisphere.
Dopo aver configurato le impostazioni LDAP per il sistema, è possibile gestire utenti e gruppi di
utenti, all'interno del contesto di una struttura di directory LDAP stabilita. Ad esempio, è possibile
assegnare autorizzazioni di accesso alla CLI Unisphere in base agli utenti e ai gruppi esistenti. il
sistema utilizza le impostazioni LDAP solo per facilitare il controllo dell'accesso alla CLI Unisphere e
a Unisphere, non per l'accesso a ogni risorsa di storage.
Regole per le sessioni
Le sessioni di Unisphere hanno le seguenti caratteristiche:
l Termine di scadenza di un'ora
l Il timeout delle sessioni non è configurabile
l Gli ID sessione vengono generati durante l'autenticazione e vengono utilizzati per la durata di
ciascuna sessione
Uso della password
I nomi utente e le password degli account Unisphere devono rispettare tali requisiti, come indicato
nella tabella Requisiti per gli account Unisphere.
Tabella 5 Requisiti per gli account Unisphere
Limitazione Requisiti per la password
Numero minimo di caratteri 8
Numero minimo di caratteri maiuscoli 1
Numero minimo di caratteri minuscoli 1
Numero minimo di caratteri numerici 1
Numero minimo di caratteri speciali 1
l I caratteri speciali supportati includono:
n !,@#$%^*_~?
Numero massimo di caratteri 40
Nota: È possibile modificare le password degli account in Unisphere facendo clic su
Impostazioni > Ulteriori opzioni di configurazione > Gestione amministrazione. Quando si
modifica la password, non è possibile riutilizzare una delle ultime tre password. La Guida online
di Unisphere fornisce ulteriori informazioni.
Autorizzazione
La tabella Ruoli e privilegi per gli utenti locali mostra i ruoli assegnabili agli utenti locali del sistema
di storage e i privilegi associati a tali ruoli. Inoltre, è possibile assegnare questi ruoli a utenti e
gruppi LDAP.
EMC® VNXe® Series Guida alla configurazione della sicurezza 11Controllo dell'accesso
Tabella 6 Ruoli e privilegi degli utenti locali
Attività Operator Storage amministrator Amministratore
e Administrator e VM
Modifica della password di login locale x x x
Aggiunta di host x
Creazione dello storage x x
Eliminazione dello storage x x
Aggiunta di storage object alle risorse di storage x x
(dischi virtuali, share, storage group, ecc.)
Visualizzazione della configurazione e dello stato x x x
dello storage
Visualizzazione degli account utente del sistema x x
di storage.
Aggiunta, eliminazione o modifica degli account x
utente del sistema di storage
Visualizzazione del software corrente o della x x x
stato della licenza
Esecuzione dell'aggiornamento del software o x
della licenza
Esecuzione della configurazione iniziale x
Modifica della configurazione dello storage server x
Modifica delle impostazioni di sistema x
Modifica delle impostazioni di rete x
Modifica della lingua dell'interfaccia di gestione x x x
Connessioni VASA tra vCenter e il sistema di x
storage
Nel caso del ruolo di amministratore VM, una volta stabilita la connessione tra vCenter e il sistema
di storage, un utente vCenter sarà in grado di visualizzare il sottoinsieme della configurazione e
dello stato dello storage pertinente al vCenter e ai relativi server ESX. L'utente vCenter potrà
visualizzare solo le informazioni consentite tramite i meccanismi di controllo dell'accesso vCenter.
Nota: È possibile modificare i ruoli degli account in Unisphere facendo clic su Impostazioni >
Ulteriori opzioni di configurazione > Gestione amministrazione. La Guida online di Unisphere
fornisce ulteriori informazioni.
Supporto NAT
La configurazione NAT non è supportata per effettuare il login in locale al sistema di storage
tramite Unisphere.
Interfaccia a riga di comando (CLI) Unisphere
La CLI Unisphere fornisce un'interfaccia a riga di comando per la stessa funzionalità disponibile
all'interno di Unisphere.
12 EMC® VNXe® Series Guida alla configurazione della sicurezzaControllo dell'accesso
L'esecuzione della CLI Unisphere richiede un software speciale per riga di comando del sistema di
storage. È possibile scaricarlo dal sito web di Supporto Online EMC all'indirizzo www.emc.com/
vnxesupport.
Regole per le sessioni
Il client CLI di Unisphere non supporta le sessioni. È necessario utilizzare la sintassi a linee di
comando per specificare il nome utente e la password dell'account con ciascun comando impartito.
È possibile utilizzare il comando CLI di Unisphere -saveuser per salvare le credenziali di accesso
(nome utente e password) per un account specifico in un file del lockbox protetto che risiede
localmente sull'host in cui viene installata la CLI Unisphere. I dati memorizzati sono disponibili solo
sull'host in cui sono stati salvati e per l'utente che li ha salvati. Dopo aver salvato le credenziali di
accesso, la CLI le applica automaticamente alla destinazione e alla porta specificate del sistema di
storage ogni volta che si esegue un comando.
Utilizzo delle password
L'autenticazione per la CLI di Unisphere viene eseguita in base agli account di gestione creati e
gestiti mediante Unisphere. Gli stessi permessi che si applicano a Unisphere si applicano anche ai
comandi specifici, in base al ruolo associato all'attuale account di accesso.
Impostazioni salvate
È possibile salvare le seguenti impostazioni sull'host in cui si esegue la CLI di Unisphere:
l Le credenziali di accesso dell'utente, incluso il nome utente e la password, per ciascun sistema
a cui si ha accesso.
l Certificati SSL importati dal sistema.
l Informazioni sul sistema predefinito a cui accedere mediante la CLI di Unisphere, incluso il
nome di sistema o l'indirizzo IP e il numero di porta del sistema.
La CLI di Unisphere salva le impostazioni in un lockbox protetto, che risiede localmente sull'host in
cui viene installata la CLI di Unisphere. I dati memorizzati sono disponibili solo sull'host in cui sono
stati salvati e per l'utente che li ha salvati. Il lockbox risiede nei seguenti percorsi:
l In Windows XP: C:\Documents and Settings\\Local Settings
\ApplicationData\EMC\UEM CLI\
l In Windows 7 o Windows 8: C :\Users\${user_name}\AppData\Local\.EMC\UEM CLI
\
l In UNIX/Linux: /EMC/UEM CLI
Individuare i file config.xml e config.key. Se si disinstalla la CLI Unisphere, le directory e i file non
vengono eliminati ed è possibile conservarli. Se i file non sono più necessari, è possibile eliminarli.
Interfaccia di servizio SSH del sistema di storage
Se abilitata, l'interfaccia di assistenza VNXe del sistema di storage fornisce un'interfaccia della riga
di comando per l'esecuzione di funzionalità correlate e sovrapposte a quelle disponibili dalla pagina
di assistenza Unisphere (Impostazioni > Esegui manutenzione sistema).
L'account di servizio consente agli utenti di eseguire le seguenti funzioni:
l Eseguire comandi di servizio specializzati del sistema di storage per il monitoraggio e la
risoluzione dei problemi legati alle impostazioni e alle attività del sistema di storage.
l Utilizzare i comandi Linux standard come membro di un account utente Linux senza privilegi.
Questo account non dispone dell'accesso a file di sistema proprietari, a file di configurazione o
a dati di utenti/clienti.
L'impostazione dell'interfaccia di assistenza del sistema di storage SSH è persistente tra i riavvii
del sistema, i failover, nella modalità di assistenza e nella modalità normale. Pertanto, l'abilitazione
EMC® VNXe® Series Guida alla configurazione della sicurezza 13Controllo dell'accesso
dell'interfaccia di assistenza SSH del sistema di storage manterrà l'interfaccia abilitata finché non
viene esplicitamente disattivata dalla pagina del sistema di assistenza Unisphere (da Impostazioni
selezionare Esegui manutenzione sistema > Componenti di sistema > Sistema di storage >
Interventi di assistenza > Disabilita SSH.
Nota: Per accedere alla pagina Esegui manutenzione sistema, è necessario immettere la
password di assistenza.
Per garantire la massima sicurezza del sistema, si consiglia di lasciare sempre disabilitata
l'interfaccia di assistenza SSH del sistema di storage salvo il caso in cui sia specificatamente
necessaria per eseguire operazioni di assistenza sul sistema di storage. Dopo aver eseguito le
operazioni di assistenza necessarie, disabilitare l'interfaccia di SSH per assicurarsi che il sistema
rimanga protetto.
Sessioni
Le sessioni dell'interfaccia di servizio SSH del sistema di storage vengono sottoposte a
manutenzione in base alle impostazioni stabilite dal client SSH. Le caratteristiche delle sessioni
vengono determinate dalle impostazioni di configurazione dei client SSH.
Uso della password
L'account di assistenza è un account che il personale di assistenza può usare per eseguire comandi
Linux di base.
La password predefinita per l'interfaccia di servizio del sistema di storage è service. Quando si
esegue la configurazione iniziale per il sistema di storage, è necessario modificare la password di
servizio predefinita. Le restrizioni delle password sono identiche a quelle che si applicano agli
account di gestione Unisphere (consultare la sezione Uso della password). Per informazioni sul
comando di servizio del sistema di storage svc_service_password, utilizzato per gestire le
impostazioni della password per l'account di servizio del sistema di storage, consultare il
documento sulle note tecniche, VNXe Service Commands.
Autorizzazione
Come mostrato in Definizioni dell'autorizzazione per l'account di servizio, l'autorizzazione per
l'account di servizio viene definita in due modi diversi.
Tabella 7 Definizioni delle autorizzazioni degli account di assistenza
Tipo di autorizzazione Descrizione
Autorizzazioni dei file system Le autorizzazioni per il file system definiscono gran parte delle attività che l'account
Linux di servizio può o non può eseguire nel sistema di storage. Ad esempio, gran parte
degli strumenti e delle utilità Linux che modificano il funzionamento del sistema in
qualsiasi modo richiede privilegi per l'account da superuser. Poiché l'account di
servizio non possiede tali diritti di accesso, non può utilizzare strumenti e utility Linux
per i quali non possiede autorizzazioni di esecuzione e non può modificare file di
configurazione che richiedono l'accesso utente root per lettura o modifica o per
entrambe.
Access control list (ACL) Il meccanismo ACL del sistema di storage utilizza un elenco di regole molto
specifiche per concedere o negare esplicitamente l'accesso alle risorse di sistema
dall'account di assistenza. Tali regole specificano le autorizzazioni per l'account di
assistenza per altre aree del sistema di storage che non vengono altrimenti definite
dalle autorizzazioni per i file system Linux standard.
Comandi di servizio del sistema di storage
Nell'ambiente operativo (OE) del sistema di storage sono installati comandi per il ripristino e la
configurazione del sistema, nonché per la diagnostica dei problemi. Questi comandi forniscono
14 EMC® VNXe® Series Guida alla configurazione della sicurezzaControllo dell'accesso
informazioni dettagliate e un livello di controllo del sistema inferiore rispetto a quello disponibile
tramite Unisphere. Il documento sulle note tecniche Comandi di assistenza VNXe descrive questi
comandi e i relativi use case comuni.
Porta di servizio Ethernet dell'SP del sistema di storage e
IPMItool
I sistemi di storage con OE 3.0 o versioni successive consentono di accedere alla console da una
porta di servizio Ethernet situata su ogni SP. Tale accesso richiede l'utilizzo di IPMItool, uno
strumento di rete simile a ssh o telnet che si interfaccia con ogni SP tramite una connessione
Ethernet utilizzando il protocollo IPMI. IPMItool è un'utility di Windows che negozia un canale di
comunicazione sicuro per l'accesso alla console di un sistema di storage tramite SP. Per attivare la
console, l'utility richiede le credenziali di login e un indirizzo IP. Per ulteriori informazioni su
IPMItool, vedere il documento IPMItool User Guide Technical Notes.
L'interfaccia tramite la porta di servizio Ethernet dell'SP fornisce le stesse funzioni e funzionalità
dell'interfaccia SSH di servizio ed è inoltre soggetta alle stesse limitazioni. La differenza risiede nel
fatto che gli utenti accedono all'interfaccia mediante un collegamento alla porta Ethernet, anziché
un client SSH.
Per un elenco dei comandi di servizio fare riferimento al documento VNXe Service Commands
Technical Notes.
SMI-S Provider
SMI-S Provider non apporta modifiche sul fronte della sicurezza. Un client SMI-S si connette al
sistema di storage tramite HTTPS sulla porta 5989. Il login degli utenti non differisce da quello
degli utenti per CLI o UI di Unisphere. Tutte le regole di sicurezza valide per gli utenti di UI e CLI si
applicano anche alle connessioni SMI-S. Gli utenti per UI e CLI di Unisphere possono eseguire
l'autenticazione tramite l'interfaccia SMI-S. Non vengono definiti utenti distinti per l'interfaccia
SMI-S. Dopo l'autenticazione, il client SMI-S dispone degli stessi privilegi definiti per gli utenti per
UI e CLI di Unisphere. In SMI-S Provider Programmer's Guide for VNXe sono disponibili informazioni
sulla configurazione del servizio.
Supporto per vSphere Storage API for Storage Awareness
vSphere Storage API for Storage Awareness (VASA) è un'API indipendente dal vendor, definita da
VMware, per storage awareness. Si tratta di un'interfaccia web proprietaria basata su SOAP
utilizzata solo per fini di monitoraggio da client VMware, anziché Unisphere. VASA è solo
un'interfaccia per la generazione di report e viene utilizzata per richiedere informazioni di base sul
sistema di storage e sugli storage device che espone all'ambiente virtuale al fine di facilitare le
attività giornaliere di provisioning, monitoraggio e risoluzione dei problemi tramite vSphere. Il
vendor provider (VP) VASA viene eseguito sullo storage processor (SP) attivo del sistema di
storage. Gli utenti vSphere devono configurare l'istanza VP come provider di informazioni VASA
per ogni sistema di storage. In caso di guasto di un SP, il processo correlato verrà riavviato sull'SP
peer, insieme al VP VASA. Il failover dell'indirizzo IP viene eseguito automaticamente.
Internamente il protocollo rileverà un errore durante l'acquisizione degli eventi di modifica alla
configurazione dal nuovo VP attivo, ma ciò provocherà una risincronizzazione automatica degli
oggetti VASA senza alcun intervento da parte dell'utente.
Autenticazione correlata a VASA
Per avviare una connessione da vCenter al VP Unisphere, è necessario utilizzare il client vSphere
per inserire tre informazioni chiave:
EMC® VNXe® Series Guida alla configurazione della sicurezza 15Controllo dell'accesso
l URL del VP, utilizzando il seguente formato:
n https://:5989/vasa/services/vasaServices
l nome utente di un utente Unisphere, con il ruolo di amministratore VM o amministratore:
n per gli utenti locali utilizzare la sintassi: local/
n per gli utenti LDAP utilizzare la sintassi: /
l password associata all'utente
Nota: È preferibile utilizzare il ruolo di amministratore VM in quanto è un ruolo di sola lettura.
Le credenziali Unisphere vengono utilizzate solo durante la fase iniziale della connessione. Se le
credenziali Unisphere sono valide per il sistema di storage di destinazione, il certificato del server
vCenter viene registrato automaticamente con il sistema di storage. Tale certificato verrà utilizzato
per autenticare tutte le richieste successive da parte di vCenter. L'installazione o l'upload del
certificato per il VP non richiede passaggi manuali. Se il certificato è scaduto, il vCenter deve
registrare un nuovo certificato per supportare una nuova sessione. Se il certificato è revocato
dall'utente, la sessione viene invalidata e la connessione interrotta.
Sessione vCenter, connessione sicura e credenziali
Una sessione vCenter viene avviata quando un amministratore vSphere utilizza il client vSphere
per fornire l'URL del VP VASA e le credenziali di login al server vCenter. Il server vCenter utilizza
URL, credenziali e certificato SSL del VP VASA per stabilire una connessione sicura con il VP. Una
sessione vCenter termina quando un amministratore utilizza il client vSphere per rimuovere il VP
dalla configurazione vCenter e il server vCenter interrompe la connessione.
Le sessioni vCenter si basano su comunicazioni HTTPS sicure tra server vCenter e VP.
L'architettura VASA utilizza certificati SSL e identificatori di sessione VASA per supportare
connessioni sicure. Il server vCenter e il VP aggiungono al proprio store attendibile il certificato
dell'altro.
Il VP VASA fornisce a vCenter le seguenti informazioni:
l Visibilità di storage: rileva internamente le modifiche delle proprietà, inviando le informazioni
aggiornate a vCenter
l Alarm per stato e capacità: monitora internamente le modifiche dello stato di integrità e il
superamento dei livelli di soglia associati alla capacità, sollevando gli alarm appropriati per
vCenter:
n stato di integrità per l'array, gli SP, le porte di I/O, le LUN e i file system
n indicazioni di modifica a livello di classe in caso di cambiamento dello stato di integrità di tali
oggetti
n alarm di capacità dello spazio per LUN e file system
l Funzionalità di storage VASA: monitora internamente le modifiche delle funzionalità di storage,
generando un report delle funzionalità aggiornate per vCenter
l Integrazione di Storage DRS: vSphere si basa sulle informazioni interne del provider VASA e le
inserisce nella logica di business per diversi workflow di Storage DRS
SSO con Unisphere Central
La funzionalità di Single Sign-On (SSO) aggiunta a Unisphere Central fornisce servizi di
autenticazione per più sistemi di storage con ambiente operativo (OE) versione 3.1 o successive
configurati per il suo utilizzo. Questa funzionalità offre agli utenti un modo semplice per effettuare
il login a ogni sistema senza richiedere l'autenticazione per ciascuno di essi.
Unisphere Central è un server di autenticazione centralizzato che agevola l'SSO. Questa
funzionalità consente agli utenti di:
16 EMC® VNXe® Series Guida alla configurazione della sicurezzaControllo dell'accesso
l Effettuare il login a Unisphere Central, quindi selezionare e avviare Unisphere su un sistema di
storage senza dover nuovamente fornire le credenziali di accesso.
l Effettuare il login a un sistema di storage e selezionare altri sistemi di storage a cui effettuare il
login senza dover nuovamente fornire le credenziali di accesso.
Unisphere Central eseguirà periodicamente una query per richiedere informazioni sullo stato
provenienti dai sistemi di storage che gestisce. L'identità associata alle richieste eseguite in questo
contesto è il certificato SSL/X.509 di Unisphere Central. Questo certificato è firmato dalla
Certificate Authority (CA) di Unisphere Central, considerata attendibile da ogni istanza del sistema
di storage che Unisphere Central può gestire in base alla propria configurazione.
Questa funzione fornisce inoltre la funzionalità Single Sign-Off; ad esempio, quando un utente si
disconnette da Unisphere Central, può disconnettersi contemporaneamente da tutte le sessioni
associate a un sistema di storage 3.1.
Requisiti
Per utilizzare la funzionalità SSO sono necessari i seguenti requisiti:
l Deve essere utilizzato Unisphere Central 4.0 o versione successiva.
l Sia il server Unisphere Central che i sistemi di storage devono essere configurati per effettuare
l'autenticazione con la stessa directory AD/LDAP.
l L'utente LDAP deve essere mappato direttamente a un ruolo di Unisphere oppure
rappresentare un membro di un gruppo AD/LDAP mappato a un ruolo Unisphere sia sul sistema
di storage che su Unisphere Central.
l In ogni sistema di storage deve essere eseguito il sistema operativo (OE) 3.1 o versione
successiva e deve essere abilitata la funzionalità SSO.
l L'utente deve effettuare il login come utente LDAP.
Nota: Nel caso in cui tali requisiti non siano soddisfatti, l'utente deve effettuare il login al
singolo sistema come utente locale e fornire le credenziali di autenticazione per accedere al
sistema.
È necessario disporre dei privilegi di amministratore o di Storage Administrator per abilitare SSO.
Gli utenti con privilegi di amministratore VM o operatore non possono abilitare SSO. Utilizzare il
seguente comando uemcli per abilitare SSO:
Uemcli -d -u -p /sys/ur set -ssoEnabled yes
Ogni sistema di storage configurato con questa funzionalità abilitata può essere un client del server
di autenticazione centralizzato e fare parte dell'ambiente SSO. Per ulteriori informazioni su questo
comando, consultare la Guida utente della CLI Unisphere.
Considerazioni e limitazioni
Sono supportati i seguenti web browser:
l Google Chrome 33 o versioni successive
l Microsoft Internet Explorer 10 o versioni successive
l Mozilla Firefox 28 o versioni successive
l Apple Safari 6 o versioni successive
Il timeout della sessione utente tra il web client e il server di autenticazione centralizzato è di 45
minuti.
Il timeout della sessione dell'applicazione tra il web client e il sistema di storage è di un'ora.
Flussi del processo di SSO
Le seguenti sequenze rappresentano i flussi del processo di autenticazione relativi alla funzionalità
SSO associata a Unisphere Central.
EMC® VNXe® Series Guida alla configurazione della sicurezza 17Controllo dell'accesso
Accesso a un sistema di storage tramite Unisphere Central
1. L'utente avvia un web browser su una workstation di gestione e specifica l'indirizzo di rete di
Unisphere Central come URL.
2. Il web server reindirizza il browser a un URL di login locale di Unisphere Central e all'utente
viene presentata una schermata di login.
3. L'utente digita e invia le credenziali di login LDAP. Il nome utente è nel formato /nome utente.
4. È impostato un token di sessione e il sistema reindirizza nuovamente il browser all'URL originale
specificato.
5. Il browser scarica il contenuto di Unisphere e viene creata un'istanza di Unisphere Central.
6. L'utente accede quindi attraverso Unisphere a un sistema di storage specifico da monitorare.
7. L'utente seleziona l'indirizzo di rete del sistema di storage.
8. Viene creata una nuova finestra del browser con l'URL del sistema di storage.
9. Il browser viene reindirizzato al server di autenticazione di Unisphere Central in cui l'utente ha
già effettuato l'autenticazione.
10. Il browser viene reindirizzato nuovamente alla pagina di download di Unisphere e viene stabilita
una sessione con il sistema di storage utilizzando il nuovo ticket di servizio.
11. Unisphere viene scaricato e viene creata un'istanza.
12. L'utente avvia la gestione/il monitoraggio del sistema di storage.
Accesso ai sistemi di storage associati a Unisphere Central
1. L'utente avvia un web browser su una workstation di gestione e specifica l'indirizzo di rete di
un sistema di storage come URL.
2. Il browser viene reindirizzato al servizio di login locale di Unisphere Central e all'utente viene
presentata una schermata di login.
3. L'utente digita e invia le credenziali di login LDAP. Il nome utente è nel formato /nome utente.
4. Un token di sessione è impostato come cookie e il sistema reindirizza nuovamente il browser
all'URL originale specificato.
5. Il browser scarica il contenuto di Unisphere e viene creata un'istanza di Unisphere.
6. L'utente apre quindi un'altra finestra o scheda del web browser e specifica l'indirizzo di rete di
un altro sistema di storage come URL.
7. Il browser viene reindirizzato al server di autenticazione di Unisphere Central in cui l'utente ha
già effettuato l'autenticazione. Viene creato un nuovo ticket di servizio.
8. Il browser viene reindirizzato nuovamente alla pagina di download di Unisphere e viene stabilita
una sessione con il secondo sistema di storage utilizzando il nuovo ticket di servizio.
9. Viene scaricato Unisphere per il secondo sistema di storage e viene creata un'istanza.
10. L'utente avvia la gestione/il monitoraggio del secondo sistema di storage.
Gestione attiva attraverso Unisphere Central
1. L'utente avvia un web browser su una workstation di gestione e specifica l'indirizzo di rete di
Unisphere Central come URL.
2. Il web server reindirizza il browser a un URL di login locale di Unisphere Central.
3. All'utente viene presentata una schermata di login.
18 EMC® VNXe® Series Guida alla configurazione della sicurezzaControllo dell'accesso
4. L'utente digita e invia le credenziali di login LDAP. Il nome utente è nel formato /nome utente.
5. È impostato un token di sessione e il sistema reindirizza nuovamente il browser all'URL originale
specificato.
6. Il browser scarica il contenuto di Unisphere e viene creata un'istanza di Unisphere Central.
7. L'utente può ora avviare un'operazione che modificherà la configurazione di uno o più sistemi di
storage gestiti dall'istanza di Unisphere Central.
Accesso a un sistema di storage locale
Se si utilizza un account locale o se non è possibile collegarsi al server di autenticazione di
Unisphere Central, si può eseguire il login a un sistema di storage locale utilizzando il server di
autenticazione che risiede sul sistema anziché accedere mediante Unisphere Central. Esistono due
modi per effettuare il login al sistema di storage in locale:
l Quando il browser viene reindirizzato al server di autenticazione di Unisphere Central, è
disponibile un'opzione che consente all'utente di tornare al sistema ed eseguire il login a livello
locale.
l Se Unisphere Central non è accessibile, è possibile utilizzare la seguente sintassi URL per
ricercare o accedere al sistema ed eseguire il login in locale: https://
?casHome=LOCAL
dove storagesystemIP è l'indirizzo IP del sistema di storage.
Supporto SSO e NAT
SSO non supporta la configurazione NAT. Inoltre, la configurazione NAT non è supportata per
effettuare il login in locale al sistema di storage tramite Unisphere.
Protezione degli object del file system
In un ambiente multiprotocollo, il sistema di storage utilizza le proprie policy di sicurezza per
stabilire come riconciliare le differenze tra la semantica di controllo dell'accesso di NFS e quella del
protocollo CIFS.
Modello di sicurezza Unix
I diritti di accesso UNIX vengono definiti come bit di modalità di un object del file system. Sono
rappresentati da una stringa di bit in cui ogni bit rappresenta una modalità di accesso o privilegio
assegnato all'utente proprietario del file, al gruppo associato all'object del file system e a tutti gli
altri utenti. I bit di modalità UNIX vengono rappresentati sotto forma di tre set di triplette
concatenate di rwx (lettura, scrittura ed esecuzione) per ciascuna categoria di utenti (utente,
gruppo o altro).
Modello di sicurezza Windows
Il modello di sicurezza Windows si basa principalmente sui diritti di ciascun object, che
comprendono l'utilizzo di un descrittore della sicurezza (SD) e del relativo elenco di controllo
dell'accesso (ACL).
L'accesso a un object del file system è diverso a seconda che le autorizzazioni siano impostate su
Concedi o Nega attraverso l'uso di un SD. L'SD descrive il proprietario dell'object e i group SID per
l'object stesso, insieme ai relativi ACL. Un ACL fa parte del descrittore della sicurezza di ciascun
object. Ogni ACL contiene voci di controllo dell'accesso (ACE). Ogni ACE a sua volta, contiene un
singolo SID che identifica un utente, un gruppo o un computer e un elenco dei diritti concessi o
negati per tale SID.
EMC® VNXe® Series Guida alla configurazione della sicurezza 19Controllo dell'accesso
Accesso a file system in un ambiente multiprotocollo
L'accesso ai file è fornito tramite i server NAS. Un server NAS include un set di file system in cui
vengono archiviati i dati. Il server NAS fornisce l'accesso a questi dati per i protocolli basati su file
NFS, CIFS e FTP attraverso l'esportazione dei file system tramite share CIFS e NFS (note anche
come esportazioni NFS). La modalità server NAS per la condivisione multiprotocollo consente la
condivisione degli stessi dati tra CIFS e NFS. Poiché la modalità di condivisione multiprotocollo
fornisce l'accesso simultaneo di CIFS e NFS a un file system, il mapping degli utenti Windows agli
utenti UNIX e la definizione delle regole di sicurezza da utilizzare (bit di modalità, ACL e credenziali
utente) devono essere considerati e configurati correttamente per la condivisione multiprotocollo.
Nota: Per informazioni sulla condivisione e la gestione dei server NAS in relazione a
configurazione multiprotocollo, user mapping, policy di accesso e credenziali utente, fare
riferimento alla guida online di Unisphere e alla Guida utente della CLI Unisphere.
User mapping
In un contesto multiprotocollo, affinché la protezione del file system possa essere applicata, anche
se non nativa del protocollo, l'utente di Windows dovrà essere mappato a un utente UNIX e
viceversa. L'user mapping racchiude i seguenti componenti:
l Servizi di directory UNIX
l Resolver Windows
l Secmap
l NTXMAP
Servizi di directory UNIX
I servizi di directory UNIX (UDS) consentono di determinare quanto segue relativamente all'user
mapping:
l Da un determinato ID utente (UID), restituiscono il nome dell'account UNIX corrispondente.
l Da un determinato nome di account UNIX, restituiscono l'UID e il group ID principale (GID)
corrispondenti.
I servizi supportati sono:
l LDAP
l NIS
Per ogni server NAS, esiste massimo un UDS attivo alla volta. I servizi UDS devono essere attivati
quando è abilitata la condivisione multiprotocollo. I servizi UDS da utilizzare vengono determinati
dalla proprietà unix-directory-service del server NAS.
Resolver Windows
I resolver Windows consentono di determinare quanto segue relativamente all'user mapping:
l Da un determinato SID, restituiscono il nome dell'account Windows corrispondente
l Da un determinato nome di account Windows, restituiscono il SID corrispondente
I resolver Windows sono:
l Il controller di dominio (DC) del dominio
l Il database dei gruppi locali (LGDB) del server CIFS
20 EMC® VNXe® Series Guida alla configurazione della sicurezzaControllo dell'accesso
Secmap
La funzione Secmap consente di archiviare tutti i mapping da SID a UID/GID primari e da UID a SID
in modo da garantire la coerenza su tutti i file system del server NAS.
NTXMAP
NTXMAP consente di associare un account Windows a un account UNIX quando il nome è
differente. Ad esempio, se è presente un utente che dispone di un account denominato Gerald su
Windows ma l'account su UNIX è denominato Gerry, NTXMAP consente di eseguire la correlazione
tra i due.
Policy di accesso per NFS, CIFS e FTP
In un ambiente multiprotocollo, il sistema di storage utilizza policy di accesso per i file system al
fine di gestire il controllo dell'accesso utente dei relativi file system. Esistono due tipi di sicurezza,
Windows e UNIX.
Per quanto riguarda l'autenticazione di sicurezza UNIX, le credenziali vengono create dai servizi di
directory UNIX (UDS). I diritti dell'utente sono determinati dai bit di modalità. Gli ID utente e i
group ID (rispettivamente UID e GID) vengono utilizzati per l'identificazione. Non vi sono privilegi
associati alla sicurezza UNIX.
Per quanto riguarda invece l'autenticazione di sicurezza Windows, le credenziali vengono create
dal controller di dominio (DC) Windows e dal database LGDB (Local Group Database) del server
CIFS. I diritti dell'utente sono determinati dagli ACL CIFS. Il SID viene utilizzato per
l'identificazione. Esistono privilegi associati alla sicurezza di Windows, come ad esempio
TakeOwnership, Backup e Restore, i quali sono concessi dal database LGDB del server CIFS.
Esistono tre policy di accesso, che definiscono quale sicurezza è utilizzata da quali protocolli:
l UNIX: la sicurezza UNIX viene utilizzata sia per NFS che per CIFS.
l Windows: la sicurezza Windows viene utilizzata sia per NFS che per CIFS.
l Nativa: consente di utilizzare la protezione nativa del protocollo UNIX per NFS o Windows per
CIFS.
La policy di accesso UNIX garantisce l'accesso a livello di file tramite la sicurezza UNIX, che utilizza
le credenziali UNIX per tutti i protocolli e applica ad essi solo i bit di modalità. Con l'elaborazione
delle richieste dei protocolli a livello di file per l'accesso CIFS, le credenziali UNIX create dai servizi
UDS abilitati vengono utilizzate per verificare i bit di modalità. L'accesso viene quindi concesso o
negato in base ai bit di modalità. Gli ACL Windows vengono ignorati, anche per l'accesso utente
tramite CIFS.
La policy di accesso di Windows garantisce l'accesso a livello di file attraverso la sicurezza
Windows. Questa policy utilizza le credenziali Windows per tutti i protocolli e applica solo l'ACL
CIFS a tutti i protocolli. Con l'elaborazione delle richieste dei protocolli a livello di file per l'accesso
NFS, le credenziali Windows create dal controller di dominio e dal database LGDB vengono
utilizzate per verificare l'ACL CIFS. L'accesso viene quindi concesso o negato in base all'ACL CIFS.
I bit di modalità UNIX vengono ignorati, anche per l'accesso utente tramite NFS.
La policy di accesso Nativa garantisce l'accesso a livello di file tramite la protezione Nativa che
utilizza le credenziali UNIX per il protocollo NFS o le credenziali Windows per il protocollo CIFS e
applica i bit di modalità solo a NFS o gli ACL CIFS solo a CIFS. Con l'elaborazione delle richieste
NFS a livello di file, le credenziali UNIX associate alla richiesta consentono di verificare i bit di
modalità. L'accesso viene quindi concesso o negato. Con l'elaborazione delle richieste CIFS a livello
di file, le credenziali Windows associate alla richiesta consentono di verificare l'ACL CIFS.
L'accesso viene quindi concesso o negato. Non viene eseguita alcuna sincronizzazione tra i bit di
modalità e l'elenco di controllo dell'accesso di tipo discrezionale (DACL) CIFS, in quanto sono
indipendenti.
Per quanto concerne il protocollo FTP, l'autenticazione con Windows o UNIX dipende dal formato
del nome utente utilizzato. Se si utilizza l'autenticazione Windows, il controllo dell'accesso FTP è
EMC® VNXe® Series Guida alla configurazione della sicurezza 21Puoi anche leggere
