客户端认证和授权
ONTAP 通过使用可信源验证身份来对客户机和用户进行认证。ONTAP 通过将用户的凭证与为文件或目录配置的权限进行比较来授权用户访问文件或目录。
认证
可创建本地或远程用户帐户:
本地帐户是用于在存储系统上保存帐户信息的帐户。
远程帐户是其帐户信息存储在 Active Directory 域控制器、LDAP 服务器或 NIS 服务器上的帐户。
ONTAP 使用本地或外部服务来查找主机名、用户、组、netgroup 和名称映射信息。ONTAP 支持以下名称服务:
本地用户
DNS
外部 NIS 域
外部 LDAP 域
名称服务切换表指定用于搜索网络信息的源和搜索顺序(提供 Linux 上的 /etc/nsswitch.conf 文件的等效功能)。NAS 客户端连接到 SVM 时,ONTAP 检查指定的名称服务,以获取所需信息。
| 支持 Kerberos Kerberos 是一款网络认证协议,该协议通过加密客户端-服务器实施中的用户密码来提供 |
授权
ONTAP 评估三种级别的安全性,以确定实体是否已授权对 SVM 上的文件和目录执行请求的操作。访问权限取决于评估安全级别后的有效权限:
导出(NFS)和共享(SMB)安全性
导出和共享安全性适用于对给定的 NFS 导出或 SMB 共享的客户端访问权限。具有管理权限的用户可从 SMB 和 NFS 客户端管理导出级和共享级安全性。
存储级访问防护文件和目录安全性
存储级访问防护安全性适用于访问 SVM 卷的 SMB 和 NFS 客户端。仅支持 NTFS 访问权限。如果 Linux 用户要访问应用了存储级访问防护的卷上的数据,ONTAP 会对其执行安全检查,此时,必须在拥有该卷的 SVM 上将 Linux 用户映射到 Windows 用户。
NTFS、UNIX 和 NFSv4 本机文件级安全性
本机文件级安全性存在于代表存储对象的文件或目录上。可从客户端设置文件级安全性。无论使用 SMB 还是 NFS 访问数据,文件许可均有效。