9.5. Benutzerauthentifizierung und -autorisierung einrichten

Mit Acronis Cyber Infrastructure können Sie Benutzer per Kerberos für Zugriffe auf bestimmte NFS-Freigaben authentifizieren und diese dazu autorisieren, per LDAP auf bestimmte NFS-Exporte innerhalb dieser Freigaben zugreifen zu dürfen.

9.5.1. NFS-Freigabe-Benutzer per Kerberos authentifizieren

Gehen Sie folgendermaßen vor, um die Benutzerauthentifizierung für eine NFS-Freigabe zu aktivieren:

  1. Weisen Sie der IP-Adresse der Freigabe einen vorwärts und rückwärts auflösbaren FQDN (voll qualifizierten Domain-Namen) zu.

  2. Spezifizieren Sie auf der Registerkarte Einstellungen –> Sicherheit –> Kerberos die folgenden Kerberos-Informationen:

    1. Bei Bereich – Ihren DNS-Namen (in Großbuchstaben).

    2. Bei KDC-Dienst – den DNS-Namen oder die IP-Adresse des Hosts, auf dem der KDC-Dienst (Key Distribution Center Service, Schlüsselverteilungscenterdienst) des Bereichs (Realm) läuft.

    3. Bei KDC-Administrationsdienst – den DNS-Namen oder die IP-Adresse des Hosts, auf dem der KDC-Administrationsdienst des Bereichs (Realm) ausgeführt wird.

      Normalerweise laufen das KDC und sein Administrationsdienst auf demselben Host.

  3. Führen Sie auf dem Kerberos-Server folgende Schritte aus:

    1. Melden Sie sich als Administrator am Kerberos-Datenbankadministrationsprogramm an.

    2. Fügen Sie mit dem Befehl addprinc -randkey nfs/<share_FQDN>@<realm> einen Prinzipal für die Freigabe hinzu. Beispiel:

      # addprinc -randkey nfs/share1.example.com@example.com

    3. Generieren Sie eine Schlüsseltabelle (keytab) für den Prinzipal und speichern Sie diese in einem Verzeichnis, von dem aus Sie Dateien hochladen können. Beispiel:

      # ktadd -k /tmp/krb5.keytab nfs/share1.example.com@example.com

  4. Wählen Sie in der Registerkarte Storage-Services –> NFS –> Freigabe eine Freigabe aus und klicken Sie dann auf Authentifizierung.

  5. Laden Sie die Schlüsseltabelle (keytab-Datei) hoch und klicken Sie dann auf Speichern.

Wichtig

Jede Freigabe und jeder Client (ein Benutzer, der den Export mountet) muss über einen eigenen Prinzipal und eine eigene Schlüsseltabelle verfügen.

9.5.2. NFS-Exportbenutzer per LDAP autorisieren

Wenn Sie den Zugriff auf ein Benutzerverzeichnis per LDAP konfigurieren, können Sie steuern, welche Benutzer auf welche NFS-Exporte zugreifen dürfen. Sie benötigen ein Verzeichnis von Benutzerkonten mit den gewünschten NFS-Zugriffsparametern.

Gehen Sie folgendermaßen vor, um den Zugriff auf einen LDAP-Server zu konfigurieren

  1. Spezifizieren Sie auf der Registerkarte Einstellungen –> Sicherheit –> LDAP folgende Informationen:
    • Bei Adresse – die IP-Adresse des LDAP-Servers.
    • Bei Basis-DN – den definierte Namen (Distinguished Name), der als Startpunkt für die Suche dient.
  2. Klicken Sie auf Speichern.
20.10.2020
Drucken