Sicherheitsdienste

Für die Authentifizierung und Autorisierung von Clients kann der Shared File Systems Storage Service optional mit unterschiedlichen Netzwerkauthentifizierungsprotokollen konfiguriert werden. Unterstützte Authentifizierungsprotokolle sind LDAP-, Kerberos- und Microsoft Active Directory-Authentifizierungsdienst.

Einführung in die Sicherheitsdienste

Nach dem Erstellen einer Freigabe und dem Erhalten seiner Stelle für den Export, haben die Benutzer keine Berechtigungen, um sie zu installieren und mit Dateien zu arbeiten. Der Shared File System Service erfordert explizit den Zugriff auf die neue Freigabe.

Die Client-Konfigurationsdaten für die Authentifizierung und Autorisierung (AuthN/AuthZ) können über ``Sicherheitsdienste` gespeichert werden. LDAP, Kerberos oder Microsoft Active Directory können vom Shared File Systems Service verwendet werden, wenn sie von benutzten Treibern und Backends unterstützt werden. Authentifizierungsdienste können auch ohne den Shared File Systems Service konfiguriert werden.

Bemerkung

In einigen Fällen ist es erforderlich, explizit einen der Sicherheitsdienste anzugeben, z. B. benötigen NetApp-, EMC- und Windows-Treiber Active Directory für die Erstellung von Freigaben mit dem CIFS-Protokoll.

Sicherheitsdienstverwaltung

Ein Sicherheitsdienst ist die Shared File Systems Service (Manila) Entity, die eine Reihe von Optionen abstrahiert, die eine Sicherheitsdomäne für ein bestimmtes Dateisystemprotokoll definiert, z. B. eine Active Directory Domain oder eine Kerberos Domain. Der Sicherheitsdienst enthält alle Informationen, die für die freigegebenen Dateisysteme erforderlich sind, um einen Server zu erstellen, der eine bestimmte Domäne verbindet.

Mit der API können Benutzer einen Sicherheitsdienst erstellen, aktualisieren, anzeigen und löschen. Security Services basieren auf folgenden Annahmen:

  • Die Tenants geben Auskunft über den Sicherheitsdienst.

  • Administratoren sorgen für Sicherheitsdienste: Sie konfigurieren die Serverseite solcher Sicherheitsdienste.

  • Innerhalb der Shared File Systems API ist ein security_service``mit dem ``share_networks verbunden.

  • Freigabe-Treiber verwenden Daten im Sicherheitsdienst, um neu erstellte Freigabe-Server zu konfigurieren.

Beim Erstellen eines Sicherheitsdienstes können Sie einen dieser Authentifizierungsdienste auswählen:

Authentifizierungsdienst

Beschreibung

LDAP

Das Lightweight Directory Access Protocol. Ein Anwendungsprotokoll für den Zugriff und die Pflege von verteilten Verzeichnisinformationsdiensten über ein IP-Netzwerk.

Kerberos

Das Netzwerk-Authentifizierungsprotokoll, das auf der Basis von Tickets arbeitet, um es den Knoten zu ermöglichen, über ein nicht sicheres Netzwerk zu kommunizieren, um ihre Identität auf sichere Weise zu beweisen.

Active Directory

Ein Verzeichnisdienst, den Microsoft für Windows-Domänennetzwerke entwickelt hat. Verwendet LDAP, Microsoft-Version von Kerberos und DNS.

Mit dem Dienst Shared File Systems können Sie einen Sicherheitsdienst mit diesen Optionen konfigurieren:

  • Eine DNS-IP-Adresse, die im Tenantnetzwerk verwendet wird.

  • Eine IP-Adresse oder ein Hostname eines Sicherheitsdienstes.

  • Eine Domain eines Sicherheitsdienstes.

  • Ein Benutzer oder Gruppenname, der von einem Tenant verwendet wird.

  • Ein Passwort für einen Benutzer, wenn Sie einen Benutzernamen angeben.

Eine bestehende Sicherheitsdiensteinheit kann mit Share-Netzwerk-Entitäten verknüpft werden, die den Shared File Systems-Dienst über die Sicherheit und die Netzwerkkonfiguration für eine Gruppe von Aktien informieren. Sie können auch die Liste aller Sicherheitsdienste für ein bestimmtes Freigabenetzwerk anzeigen und diese aus einem Freigabenetzwerk aufheben.

Weitere Informationen zum Verwalten von Sicherheitsdiensten über API finden Sie in der Security services API. Sie können auch Sicherheitsdienste über Python-Manilaclient verwalten, siehe Security Services CLI Managing.

Ein Administrator und Benutzer als Freigabebesitzer können die :ref:`Zugriff auf die Freigabe verwalten <shared_fs_share_acl>`durch die Erstellung von Zugriffsregeln mit Authentifizierung durch eine IP-Adresse, Benutzer-, Gruppen- oder TLS-Zertifikate. Authentifizierungsmethoden hängen davon ab, welchen Share-Treiber und Sicherheitsdienst Sie konfigurieren und verwenden.

So können Sie als Administrator ein Backend konfigurieren, um einen bestimmten Authentifizierungsdienst über das Netzwerk zu nutzen und die Benutzer zu speichern. Der Authentifizierungsdienst kann mit Clients ohne das Shared File System und den Identity Service betrieben werden.

Bemerkung

Verschiedene Authentifizierungsdienste werden von verschiedenen Freigabe- Treibern unterstützt. Weitere Informationen zur Unterstützung von Features durch verschiedene Treiber finden Sie unter `Manila Share Features Support Mapping <https://docs.openstack.org/manila/latest/contributor/share_back_ends_feature_support_mapping.html> `_. Die Unterstützung eines bestimmten Authentifizierungsdienstes durch einen Treiber bedeutet nicht, dass er mit einem beliebigen Dateisystemprotokoll konfiguriert werden kann. Unterstützte freigegebene Dateisystemprotokolle sind NFS, CIFS, GlusterFS und HDFS. In der Dokumentation des Treiberherstellers finden Sie Informationen zu einem bestimmten Treiber und dessen Konfiguration für Sicherheitsdienste.

Einige Treiber unterstützen Sicherheitsdienste und andere Treiber unterstützen keine der oben genannten Sicherheitsdienste. Beispielsweise unterstützt der generische Treiber mit dem NFS oder dem CIFS-Dateisystemprotokoll nur die Authentifizierungsmethode über die IP-Adresse.

Tipp

  • Die Treiber, die das CIFS-Dateisystemprotokoll in den meisten Fällen unterstützen, können so konfiguriert werden, dass sie Active Directory verwenden und den Zugriff über die Benutzerauthentifizierung verwalten.

  • Treiber, die das GlusterFS-Protokoll unterstützen, können mit der Authentifizierung über TLS-Zertifikate verwendet werden.

  • Mit Treibern, die NFS-Protokoll-Authentifizierung über IP-Adresse unterstützen, ist die einzige unterstützte Option.

  • Da das HDFS-gemeinsam genutzte Dateisystemprotokoll NFS-Zugriff nutzt, kann es auch konfiguriert werden, um über IP-Adresse zu authentifizieren.

Beachten Sie jedoch, dass die Authentifizierung über IP die am wenigsten sichere Authentifizierung ist.

Die empfohlene Konfiguration für den Shared File Systems Service produktive Nutzung ist es, eine Freigabe mit dem CIFS-Freigabeprotokoll zu erstellen und ihm den Microsoft Active Directory-Verzeichnisdienst hinzuzufügen. In dieser Konfiguration erhalten Sie die zentrale Datenbank und den Service, der Kerberos- und LDAP-Ansätze vereint. Dies ist ein echter Anwendungsfall, der für die Produktion von gemeinsam genutzten Dateisystemen bequem ist.