Reference Guide
● アクセス制御:コンテナー テクノロジーによって提供されるアプリケーション分離に加えて、アプライアンス上のアクセス制御
リスト(ACL)メカニズムでは、サービス アカウントによるシステム リソースへのアクセスを明示的に許可または拒否する、
非常に特殊なルールのリストを使用します。標準の Linux ファイル システム権限によって定義されない、アプライアンスの他の
領域に対するサービス アカウント権限は、これらの規則によって指定されます。
アプライアンス サービス スクリプト
アプライアンスのソフトウェア バージョンには、問題の診断、システム構成、システム リカバリーに関する一連のスクリプトがイ
ンストールされています。これらのスクリプトを使用すると、PowerStore Manager を使用した場合よりも、さらに詳しい情報を収
集し、より深いレベルのシステム制御を行うことができます。PowerStore Service Scripts Guide では、これらのスクリプトとその
一般的な使用例について説明します。
アプライアンス ノード Ethernet サービス ポートと IPMItool
ご使用のアプライアンスは、各ノードの Ethernet サービス ポートを介したコンソール アクセスを提供します。このアクセスには、
IPMItool を使用する必要があります。IPMItool は、SSH や Telnet に似たネットワーク ツールであり、IPMI プロトコルを使用して、
Ethernet 接続を介した各ノードとのインターフェイスを確立します。IPMItool は、アプライアンスのノード コンソールにアクセスす
るための安全な通信チャネルをネゴシエートする Windows ユーティリティーです。このユーティリティーでは、コンソールをアクテ
ィブ化するために物理アクセスが必要です。
ノード Ethernet サービス ポート インターフェイスでは、サービス SSH インターフェイス(サービス LAN インターフェイス)と同じ
機能が提供され、同じ制限が適用されます。ただし、ユーザーはインターフェイスにアクセスするために、SSH クライアントでは
なく Ethernet ポート接続を使用します。このインターフェイスはフィールド サービス担当者向けに設計されており、ネットワーク
を妨害することなくアプライアンスに接続できます。専用の管理コンソールは必要ありません。
このインターフェイスは、直接的なポイントツーポイントでルーティング不可能な接続を提供します。サービス担当者は、コンソー
ルの出力にサービス LAN インターフェイスを使用して、PowerStore サービス コンテナーと PowerStore Manager(ICW(初期構成ウ
ィザード)を含む)に SSH アクセスできます。サービス LAN インターフェイスを介したサービス コンテナーへの SSH アクセスは常
に有効であり、無効にすることはできません。ただし、サービス アカウントの認証情報は管理できます。
サービス スクリプトのリストについては、PowerStore Service Scripts Guide を参照してください。
NFS セキュア
NFS セキュアでは、NFSv3 および NFSv4 でユーザーを認証するために Kerberos を使用します。Kerberos は、整合性(署名)とプ
ライバシー(暗号化)を提供します。整合性とプライバシーは有効化に必須ではなく、NFS のエクスポート オプションです。
Kerberos を使用しない場合、サーバーはユーザー認証についてクライアントに全く依存することになります。サーバーはクライアン
トを信頼します。Kerberos を使用する場合、サーバーは KDC(キー配布センター)を信頼します。KDC は、認証を処理し、アカウ
ント(プリンシパル)とパスワードを管理します。さらに、パスワードが送信されることもありません。
Kerberos を使用しない場合、ユーザーの認証情報が暗号化されずに送信されるため、簡単になりすましの被害に遭います。Kerberos
を使用すると、ユーザーの ID(プリンシパル)は暗号化された Kerberos のチケットに含まれ、それを読み取れるのはターゲット サ
ーバーと KDC だけです。暗号化キーを知ることができるのは、ここだけです。
NFS セキュアに関連して、Kerberos では AES128 および AES256 暗号化がサポートされます。NFS セキュアとともに、SMB と LDAP
にインパクトを与えます。これらの暗号化は、Windows および Linux でデフォルトでサポートされています。これらの新しい暗号
化は非常に安全ですが、それを使用するかどうかはクライアントにかかっています。サーバーはそのユーザー プリンシパルからア
クティブ Unix ディレクトリー サービス(UDS)をクエリーして、ユーザーの認証情報を構築します。NIS はセキュアでないため、
NFS セキュアと使用することは推奨されません。Kerberos は LDAP または LDAPS と併用することが勧められています。
NFS セキュアは、PowerStore Manager を使用して構成できます。
ファイル プロトコルの関係
Kerberos を使用するには、次が必要です。
● DNS:IP アドレスの代わりに DNS 名を使用する必要があります。
● NTP:PowerStore には NTP サーバーが構成されている必要があります。
メモ: Kerberos を使用するには、ネットワークで KDC、サーバー、クライアントの時刻が正確に同期されている必要があり
ます。
18 認証とアクセス