Güvenlik servisleri¶
Kimlik doğrulama ve istemcilerin yetkilendirilmesi için, Paylaşımlı Dosya Sistemleri Depolama servisi isteğe bağlı olarak farklı ağ kimlik doğrulama protokolleriyle yapılandırılabilir. Desteklenen kimlik doğrulama protokolleri LDAP, Kerberos ve Microsoft Active Directory doğrulama servisidir.
Güvenlik servislerine giriş¶
Bir paylaşım oluşturduktan ve dışa aktarma konumunu elde ettikten sonra, kullanıcıların onu takma ve dosyalarla çalışmaya yetkisi yoktur. Paylaşımlı Dosya Sistemi servisi, açık bir şekilde yeni paylaşıma erişim izni vermeyi gerektirir.
Kimlik doğrulama ve yetkilendirme için müşteri yapılandırma verileri (AuthN / AuthZ) güvenlik servisleri tarafından saklanabilir. Kullanılmış sürücüler ve arka uçlar tarafından destekleniyorsa, Paylaşımlı Dosya Sistemleri servisi tarafından LDAP, Kerberos veya Microsoft Active Directory kullanılabilir. Kimlik Doğrulama servisi, Paylaşımlı Dosya Sistemleri servisi olmadan da yapılandırılabilir.
Not
Bazı durumlarda, güvenlik servislerinden birini açıkça belirtmeniz gerekir; örneğin, NetApp, EMC ve Windows sürücüleri, CIFS protokolüyle paylaşımların oluşturulması için Active Directory’e ihtiyaç duyar.
Güvenlik servisleri yönetimi¶
Bir güvenlik servisi, Active Directory etki alanı veya Kerberos etki alanı gibi belirli bir paylaşılan dosya sistemi protokolü için bir güvenlik etki alanı tanımlayan seçenekler grubunu özetleyen Paylaşımlı Dosya Sistemleri servisi (manila) varlığıdır. Güvenlik servisi, Paylaşımlı Dosya Sistemleri’nin belirli bir alana katılan bir sunucu oluşturması için gerekli tüm bilgileri içerir.
Kullanıcılar, API’yi kullanarak bir güvenlik servisini oluşturabilir, güncelleyebilir, görüntüleyebilir ve silebilir. Güvenlik Servisleri, aşağıdaki varsayımlara dayanarak tasarlanmıştır:
Kiracılar, güvenlik servisi için ayrıntılar sunar.
Yöneticiler güvenlik servislerini önemser: bu güvenlik servislerinin sunucu tarafını yapılandırırlar.
Paylaşımlı Dosya Sistemleri API’sinde bir
security_service,share_networksile ilişkilendirilir.Paylaşım sürücüleri, yeni oluşturulan paylaşım sunucularını yapılandırmak için güvenlik servisindeki verileri kullanmaktadır.
Güvenlik servisi oluştururken, bu kimlik doğrulama servislerinden birini seçebilirsiniz:
Kimlik doğrulama servisi |
Açıklama |
|---|---|
LDAP |
Hafif Dizin Erişimi Protokolü. Bir IP ağı üzerinden dağıtılmış dizin bilgi servislerine erişmek ve bunları korumak için bir uygulama protokolü. |
Kerberos |
Düğümler üzerinde çalışan, güvenli olmayan bir ağ üzerinden iletişim kuranların kimliğini birbirleriyle güvenli bir şekilde kanıtlamak için çalışan ağ kimlik doğrulama protokolü. |
Active Directory |
Microsoft’un Windows etki alanı ağları için geliştirdiği bir dizin hizmeti. LDAP, Microsoft’un Kerberos sürümünü ve DNS’yi kullanır. |
Paylaşımlı Dosya Sistemleri hizmeti, bir güvenlik servisini bu seçeneklerle yapılandırmanıza izin verir:
Kiracı ağı içinde kullanılan bir DNS IP adresi.
Güvenlik servisinin sunucu adı ya da IP adresi.
Güvenlik servisi için bir etki alanı
Kiracı tarafından kullanılan bir kullanıcı ya da grup ismi.
Eğer kullanıcı adı belirtirseniz, kullanıcı için parola.
Varolan bir güvenlik servisi varlığı, Paylaşımlı Dosya Sistemleri servisine bir grup hisse için güvenlik ve ağ yapılandırması hakkında bilgi veren paylaşım ağı varlıklarıyla ilişkilendirilebilir. Belirli bir paylaşım ağı için tüm güvenlik servislerinin listesini görebilir ve bunları bir paylaşım ağından ayırabilirsiniz.
For details of managing security services via API, see the Security services API. You also can manage security services via python-manilaclient, see Security services CLI managing.
Bir yönetici ve paylaşım sahipleri olarak kullanıcılar, bir IP adresi, kullanıcı, grup veya TLS sertifikaları üzerinden kimlik doğrulama ile erişim kuralları oluşturarak paylaşımlara erişimi yönetebilir. Kimlik doğrulama yöntemleri, hangi paylaşım sürücüsüne ve yapılandırdığınız ve kullandığınız güvenlik servisine bağlıdır.
Böylece, bir yönetici olarak, ağ üzerinden özel kimlik doğrulama servisini kullanacak bir arka uç yapılandırabilir ve kullanıcıları saklar. Kimlik doğrulama servisi, Paylaşımlı Dosya Sistemi ve Kimlik servisi olmayan istemcilerle birlikte çalışabilir.
Not
Different authentication services are supported by different share drivers. For details of supporting of features by different drivers, see Manila share features support mapping. Support for a specific authentication service by a driver does not mean that it can be configured with any shared file system protocol. Supported shared file systems protocols are NFS, CIFS, GlusterFS, and HDFS. See the driver vendor’s documentation for information on a specific driver and its configuration for security services.
Bazı sürücüler güvenlik servislerini desteklemektedir ve diğer sürücüler yukarıda adı geçen güvenlik servislerini desteklemez. Örneğin, NFS veya CIFS paylaşımlı dosya sistemi protokollü Genel Sürücü, yalnızca IP adresi üzerinden kimlik doğrulama yöntemini destekler.
Tüyo
Çoğu durumda CIFS paylaşımlı dosya sistemi protokolünü destekleyen sürücüler, Active Directory’i kullanacak ve kullanıcı kimlik doğrulaması aracılığıyla erişimi yönetecek şekilde yapılandırılabilir.
GlusterFS protokolünü destekleyen sürücüler TLS sertifikaları ile kimlik doğrulaması ile kullanılabilir.
Tek desteklenen seçenek, IP adresi üzerinden NFS protokolü kimlik doğrulamasını destekleyen sürücülerdir.
HDFS paylaşımlı dosya sistemi protokolü NFS erişimi kullandığından, IP adresi üzerinden kimlik doğrulama yapmak üzere yapılandırılabilir.
Bununla birlikte, IP üzerinden kimlik doğrulama, en az güvenli kimlik doğrulama türüdür.
Paylaşımlı Dosya Sistemleri servisinin gerçek kullanımı için önerilen yapılandırma, CIFS paylaşım protokolüyle bir paylaşım oluşturmak ve buna Microsoft Active Directory dizin hizmetini eklemektir. Bu yapılandırmada merkezi veri tabanını ve Kerberos ve LDAP yaklaşımlarını bir araya getiren servisi edineceksiniz. Bu, canlı paylaşımlı dosya sistemleri için uygun olan gerçek bir kullanım durumudur.
