Layanan keamanan

Untuk otentikasi dan otorisasi klien, layanan Shared File Systems Storage dapat dikonfigurasi secara opsional dengan protokol otentikasi jaringan yang berbeda. Protokol otentikasi yang didukung adalah layanan otentikasi direktori LDAP, Kerberos, dan Microsoft Active.

Pengantar layanan keamanan

Setelah membuat bagian dan mendapatkan lokasi ekspornya, pengguna tidak memiliki izin untuk memasangnya dan mengoperasikannya dengan file. Layanan Shared File System mengharuskan untuk secara eksplisit memberikan akses ke bagian baru.

Data konfigurasi klien untuk otentikasi dan otorisasi (AuthN/AuthZ) dapat disimpan oleh security services. Active Directory LDAP, Kerberos, atau Microsoft dapat digunakan oleh layanan Shared File Systems jika didukung oleh driver dan back end yang digunakan. Layanan otentikasi juga dapat dikonfigurasi tanpa layanan Shared File Systems.

Catatan

Dalam beberapa kasus, diperlukan untuk menentukan secara eksplisit salah satu layanan keamanan, misalnya, driver NetApp, EMC dan Windows memerlukan Active Directory untuk pembuatan share dengan protokol CIFS.

Manajemen layanan keamanan

A *security service * adalah entitas Shared File Systems (manila) yang abstract (memisahkan) satu set pilihan yang mendefinisikan domain keamanan untuk protokol sistem file bersama tertentu, seperti domain Active Directory atau domain Kerberos. Layanan keamanan berisi semua informasi yang diperlukan untuk Shared File Systems untuk membuat server yang bergabung dengan domain tertentu.

Dengan menggunakan API, pengguna dapat membuat, memperbarui, melihat dan menghapus layanan keamanan. Security Service dirancang berdasarkan asumsi berikut:

  • Tenant (penyewa) memberikan rincian untuk layanan keamanan.

  • Administrator peduli dengan layanan keamanan: mereka mengkonfigurasi sisi server dari layanan keamanan semacam itu.

  • Di dalam File Systems API, sebuah security_service dikaitkan dengan share_networks.

  • Share driver menggunakan data dalam layanan keamanan untuk mengkonfigurasi share server yang baru dibuat.

Saat membuat layanan keamanan, Anda dapat memilih salah satu dari layanan otentikasi ini:

Layanan Authentication

Deskripsi

LDAP

The Lightweight Directory Access Protocol. Protokol aplikasi untuk mengakses dan memelihara layanan informasi direktori terdistribusi melalui jaringan IP.

Kerberos

Protokol otentikasi jaringan yang bekerja berdasarkan tiket untuk memungkinkan node berkomunikasi melalui jaringan yang tidak aman untuk membuktikan identitas mereka satu sama lain secara aman.

Active Directory

Layanan direktori yang dikembangkan Microsoft untuk domain Windows. Menggunakan LDAP, versi Microsoft Kerberos, dan DNS.

Layanan Shared File Systems memungkinkan Anda mengkonfigurasi layanan keamanan dengan opsi ini:

  • Alamat IP DNS yang digunakan di dalam jaringan penyewa.

  • Alamat IP atau nama host dari sebuah layanan keamanan.

  • Sebuah domain dari sebuah layanan keamanan.

  • Nama pengguna atau grup yang digunakan oleh penyewa.

  • Kata sandi untuk pengguna, jika Anda menentukan nama pengguna.

Entitas layanan keamanan yang ada dapat dikaitkan dengan entitas jaringan share yang menginformasikan layanan Shared File Systems tentang keamanan dan konfigurasi jaringan untuk sekelompok share. Anda juga dapat melihat daftar semua layanan keamanan untuk jaringan share tertentu dan melepaskannya dari jaringan share.

Untuk detail mengelola layanan keamanan melalui API, lihat Security services API. Anda juga dapat mengelola layanan keamanan melalui python-manilaclient, lihat Security services CLI managing.

Administrator dan pengguna sebagai pemilik share dapat mengelola access to the shares dengan membuat aturan akses dengan otentikasi meskipun sertifikat alamat IP, pengguna, grup, atau TLS. Metode otentikasi bergantung pada share driver dan layanan keamanan yang Anda konfigurasikan dan gunakan.

Dengan demikian, sebagai administrator, Anda dapat mengkonfigurasi back end untuk menggunakan layanan otentikasi tertentu melalui jaringan dan akan menyimpan pengguna. Layanan otentikasi dapat beroperasi dengan klien tanpa Shared File System dan layanan Identity.

Catatan

Layanan otentikasi yang berbeda didukung oleh driver share yang berbeda. Untuk rincian dukungan fitur oleh driver yang berbeda, lihat Manila share features support mapping. Dukungan untuk layanan otentikasi tertentu oleh driver tidak berarti dapat dikonfigurasi dengan protokol sistem file shared. Protokol sistem file shared yang didukung adalah NFS, CIFS, GlusterFS, dan HDFS. Lihat dokumentasi vendor driver untuk mendapatkan informasi mengenai driver khusus dan konfigurasinya untuk layanan keamanan.

Beberapa driver mendukung layanan keamanan dan driver lainnya tidak mendukung layanan keamanan yang disebutkan di atas. Sebagai contoh, Generic Driver dengan NFS atau protokol file shared CIFS hanya mendukung metode otentikasi melalui alamat IP.

Tip

  • Driver yang mendukung protokol sistem berkas bersama CIFS dalam banyak kasus dapat dikonfigurasi untuk menggunakan Active Directory dan mengelola akses melalui otentikasi pengguna.

  • Driver yang mendukung protokol GlusterFS dapat digunakan dengan otentikasi melalui sertifikat TLS.

  • Dengan driver yang mendukung otentikasi protokol NFS melalui alamat IP adalah satu-satunya opsi yang didukung.

  • Karena protokol sistem file shared HDFS menggunakan akses NFS, ia juga dapat dikonfigurasi untuk melakukan otentikasi melalui alamat IP.

Namun, perhatikan bahwa otentikasi melalui IP adalah jenis otentikasi yang paling tidak aman.

Konfigurasi yang disarankan untuk penggunaan layanan Shared File Systems sebenarnya adalah membuat share dengan protokol share CIFS dan menambahkannya ke layanan direktori Microsoft Active Directory. Dalam konfigurasi ini Anda akan mendapatkan basis data terpusat dan layanan yang menyatukan pendekatan Kerberos dan LDAP. Ini adalah kasus penggunaan nyata yang sesuai untuk sistem file shared produksi.