Dell EMC Unity 500 storage Manuel utilisateur

Gamme Dell EMC Unity™ Security
Configuration Guide
Version 5.1
Part Number: 302-002-564
October 2021
Rev. 13
Remarques, précautions et avertissements
REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre produit.
PRÉCAUTION : ATTENTION vous avertit d’un risque de dommage matériel ou de perte de données et vous
indique comment éviter le problème.
AVERTISSEMENT : un AVERTISSEMENT signale un risque d’endommagement du matériel, de blessure
corporelle, voire de décès.
© 2016 - 2021 Dell Inc. ou ses filiales. Tous droits réservés. Dell, EMC et les autres marques commerciales mentionnées sont des marques de
Dell Inc. ou de ses filiales. Les autres marques peuvent être des marques commerciales de leurs propriétaires respectifs.
Contents
Additional resources......................................................................................................................6
Chapter 1: Introduction................................................................................................................. 7
Présentation..........................................................................................................................................................................7
Informations sur les fonctions et les fonctionnalités connexes................................................................................7
Chapter 2: Contrôle d’accès.......................................................................................................... 8
Comptes de maintenance et de gestion par défaut du système de stockage......................................................8
Gestion des comptes du système de stockage............................................................................................................ 8
Unisphere...............................................................................................................................................................................9
Interface de ligne de commande (CLI) Unisphere..................................................................................................... 12
Interface de maintenance SSH du système de stockage.........................................................................................12
Port de service Ethernet du SP du système de stockage et IPMItool................................................................. 14
Fournisseur SMI-S............................................................................................................................................................. 14
Prise en charge de vSphere Storage API for Storage Awareness......................................................................... 14
Authentification unique (SSO) avec Unisphere Central........................................................................................... 16
Flux des processus d'authentification unique (SSO)...........................................................................................17
Connexion à un système de stockage local........................................................................................................... 18
Authentification unique (SSO) et prise en charge NAT (Network Address Translation)...........................18
Sécurité sur les objets du système de fichiers............................................................................................................18
Accès aux systèmes de fichiers dans un environnement multiprotocole............................................................. 19
Mappage utilisateur..................................................................................................................................................... 19
Stratégies d'accès pour NFS, SMB et FTP...........................................................................................................24
Informations d'identification de la sécurité en mode fichier............................................................................. 24
NFS sécurisé.......................................................................................................................................................................26
Contrôle d'accès dynamique...........................................................................................................................................28
Chapter 3: Consignation..............................................................................................................29
Consignation.......................................................................................................................................................................29
Options de consignation à distance..............................................................................................................................30
Chapter 4: Sécurité des communications..................................................................................... 31
Utilisation des ports...........................................................................................................................................................31
Ports réseau du système de stockage.................................................................................................................... 31
Ports que le système de stockage peut contacter............................................................................................. 36
Certificat du système de stockage............................................................................................................................... 39
Remplacement d’un certificat auto-signé du système de stockage avec des certificats signés
provenant d’une autorité de certification locale..............................................................................................39
Interfaces, services et fonctions du système de stockage compatibles IPv6.....................................................41
Accès à l'interface de gestion du système de stockage à partir d'une adresse IPv6.......................................42
Configuration de l'interface de gestion via DHCP.....................................................................................................42
Exécution de Connection Utility...............................................................................................................................43
Chiffrement et signature du protocole (SMB)...........................................................................................................43
Réflexion de paquets IP................................................................................................................................................... 45
Contents
3
Multitenancy des IP.......................................................................................................................................................... 45
À propos des VLAN.....................................................................................................................................................46
Prise en charge de la gestion pour FIPS 140-2.......................................................................................................... 46
Prise en charge de la gestion des communications SSL..........................................................................................47
Prise en charge de la gestion en mode shell restreint..............................................................................................48
Chapter 5: Paramètres de sécurité des données.......................................................................... 50
À propos de Data at Rest Encryption (déploiements physiques uniquement)...................................................50
Chiffrement basé sur le contrôleur......................................................................................................................... 50
Chiffrement de l'espace système............................................................................................................................50
Key Manager................................................................................................................................................................. 51
Audit de chiffrement................................................................................................................................................... 51
Activation de la fonction............................................................................................................................................ 51
État du chiffrement..................................................................................................................................................... 51
Gestion des clés externe........................................................................................................................................... 52
Sauvegarder le fichier de magasin de clés............................................................................................................ 53
Consignation de l'audit Data at Rest Encryption................................................................................................. 53
Opérations de remplacement à chaud....................................................................................................................54
Ajout d'un disque à un système de stockage avec chiffrement activé.......................................................... 54
Suppression d'un disque à partir d'un système de stockage avec chiffrement activé.............................. 55
Remplacement d'un châssis et des processeurs de stockage dans un système de stockage avec
chiffrement activé.................................................................................................................................................. 55
Désactivation d’un système de stockage Unity activé par chiffrement........................................................ 55
Paramètres de sécurité des données........................................................................................................................... 55
Chapter 6: Maintenance de sécurité............................................................................................ 57
Maintenance sécurisée.....................................................................................................................................................57
Mise à jour des licences............................................................................................................................................. 57
Mise à niveau des logiciels.........................................................................................................................................57
Signature du code....................................................................................................................................................... 58
EMC Secure Remote Services pour votre système de stockage..........................................................................58
Chapter 7: Paramètres d'alerte de sécurité................................................................................. 60
Paramètres d'alerte.......................................................................................................................................................... 60
Configuration des paramètres d'alerte......................................................................................................................... 61
Configuration des paramètres d'alerte pour les notifications par e-mail .......................................................61
Configuration des paramètres d'alerte pour les traps SNMP........................................................................... 61
Chapter 8: Autres paramètres de sécurité................................................................................... 63
À propos des exigences STIG.........................................................................................................................................63
Gérer le mode STIG (déploiements physiques uniquement).................................................................................. 63
Gérer les paramètres de compte utilisateur en mode STIG (déploiements physiques uniquement)............ 65
Verrouillage/déverrouillage manuel du compte (déploiements physiques uniquement)..................................67
Contrôles de sécurité physique (déploiements physiques uniquement)..............................................................68
Protection antivirus.......................................................................................................................................................... 68
Malware detection............................................................................................................................................................ 68
Appendix A: Suites de chiffrement TLS....................................................................................... 69
Suites de chiffrement TLS pris en charge.................................................................................................................. 69
4
Contents
Appendix B: Configuration LDAP................................................................................................. 70
À propos de la configuration LDAP............................................................................................................................... 70
Configurer le serveur DNS.............................................................................................................................................. 70
Configurer un serveur LDAP............................................................................................................................................71
Vérifier la configuration LDAP.................................................................................................................................. 72
Configurer LDAP sécurisé......................................................................................................................................... 72
Vérifier la configuration LDAPS................................................................................................................................73
Configurer un utilisateur LDAP.......................................................................................................................................74
Contents
5
Préface :
Dans le cadre d’un effort d'amélioration, des révisions régulières des matériels et logiciels sont publiées. Par conséquent, il se
peut que certaines fonctions décrites dans le présent document ne soient pas prises en charge par l'ensemble des versions des
logiciels ou matériels actuellement utilisés. Pour obtenir les informations les plus récentes sur les fonctionnalités des produits,
consultez les notes de mise à jour de vos produits. Si un produit ne fonctionne pas correctement ou ne fonctionne pas comme
indiqué dans ce document, contactez un professionnel du support technique .
Obtenir de l’aide
Pour plus d’informations sur le support, les produits et les licences, procédez comme suit :
Informations sur les produits
Pour obtenir de la documentation sur le produit et les fonctionnalités ou les notes de mise à jour, rendez-vous sur la page de
Documentation technique Unity à l’adresse dell.com/unitydocs.
Résolution des problèmes
Pour obtenir des informations relatives aux produits, mises à jour logicielles, licences et services, consultez le site Web du
support (enregistrement obligatoire) à l’adresse dell.com/support. Une fois que vous êtes connecté, recherchez la page du
produit appropriée.
6
Ressources supplémentaires
1
Introduction
Ce chapitre décrit brièvement diverses fonctions de sécurité implémentées sur le système de stockage.
Sujets :
•
•
Présentation
Informations sur les fonctions et les fonctionnalités connexes
Présentation
Le système de stockage utilise diverses fonctions de sécurité pour contrôler les accès utilisateur et réseau, surveiller l’accès au
système et son utilisation et prendre en charge la transmission des données de stockage. Ce document décrit les fonctions de
sécurité disponibles.
Ce document s'adresse aux administrateurs responsables de la configuration et du fonctionnement du système de stockage.
Ce guide examine les paramètres de sécurité des catégories présentées dans le Catégories de paramètre de sécurité , page 7 :
Tableau 1. Catégories de paramètre de sécurité
Catégories de sécurité
Description :
Contrôle d’accès
Restriction de l’accès par l’utilisateur ou d’autres entités pour protéger les fonctions
matérielles, logicielles ou de produits spécifiques.
Logs
Gestion de la consignation des événements.
Sécurité des communications
Sécurisation des communications réseau du produit.
Sécurité des données
Protection des données du produit.
Facilité de service
Contrôle continu des interventions de maintenance sur le produit effectuées par le fabricant
ou ses partenaires de service.
Système d'alerte
Gestion des alertes et des notifications générées pour les événements liés à la sécurité.
Autres paramètres de sécurité
Paramètres de sécurité n'appartenant à aucune des précédentes catégories, comme la
sécurité physique.
Informations sur les fonctions et les fonctionnalités
connexes
Des informations relatives aux fonctions et fonctionnalités décrites dans ce document sont incluses dans ce qui suit pour Unity :
●
●
●
●
●
Guide d’utilisation de l’interface de ligne de commande Unisphere
Aide en ligne de Unisphere
Guide de programmation du fournisseur SMI-S
Commandes de maintenance - Notes techniques
Configuration et conditions requises des services à distance sécurisés
Pour accéder à l’ensemble des publications client Dell EMC client, rendez-vous sur le site de support (inscription obligatoire) à
l’adresse : dell.com/support. Une fois que vous êtes connecté, recherchez la page du produit appropriée.
Introduction
7
2
Contrôle d’accès
Ce chapitre décrit diverses fonctions de contrôle d'accès implémentées sur le système de stockage.
Sujets :
•
•
•
•
•
•
•
•
•
•
•
•
•
Comptes de maintenance et de gestion par défaut du système de stockage
Gestion des comptes du système de stockage
Unisphere
Interface de ligne de commande (CLI) Unisphere
Interface de maintenance SSH du système de stockage
Port de service Ethernet du SP du système de stockage et IPMItool
Fournisseur SMI-S
Prise en charge de vSphere Storage API for Storage Awareness
Authentification unique (SSO) avec Unisphere Central
Sécurité sur les objets du système de fichiers
Accès aux systèmes de fichiers dans un environnement multiprotocole
NFS sécurisé
Contrôle d'accès dynamique
Comptes de maintenance et de gestion par défaut du
système de stockage
Le système de stockage est configuré avec des paramètres de compte utilisateur par défaut que vous devez utiliser la première
fois que vous accédez au système de stockage et que vous le configurez. Voir Paramètres de compte utilisateur par défaut ,
page 8.
REMARQUE : Avec les versions 5.0.1.x et ultérieures, il est recommandé de commencer par configurer Unity à l’aide de l’IU
de Unisphere plutôt que via les interfaces de l’API, de ligne de commande, d’SMI-S ou de la commande de maintenance.
Cela garantit que tous les mots de passe par défaut sont à jour.
Tableau 2. Paramètres de compte utilisateur par défaut
Type de compte
Nom
d’utilisateur
Password
Privilèges
Gestion (Unisphere)
admin
Password123#
Privilèges d’administration permettant de réinitialiser les
mots de passe par défaut, configurer les paramètres
système par défaut, créer des comptes d’utilisateur et
allouer du stockage.
Service
service
service
Exécution d'interventions de maintenance.
Gestion des comptes du système de stockage
Méthodes de gestion des comptes , page 8 illustre les différentes méthodes de gestion des comptes du système de stockage.
Tableau 3. Méthodes de gestion des comptes
Rôles des comptes
Description
Gestion
● Adminstrateur
Au terme du processus de configuration initiale du système de
stockage, vous pouvez gérer les utilisateurs et les groupes du
8
Contrôle d’accès
Tableau 3. Méthodes de gestion des comptes (suite)
Rôles des comptes
Description
●
●
●
●
système de stockage (comptes locaux ou comptes LDAP, ou
encore les deux) à partir de Unisphere ou de la CLI Unisphere.
● Pour les comptes locaux, vous pouvez ajouter un nouvel
utilisateur, supprimer un utilisateur sélectionné, modifier le
rôle de l'utilisateur et redéfinir (changer) le mot de passe
utilisateur.
● Pour un utilisateur LDAP, vous pouvez ajouter un
utilisateur LDAP, supprimer un utilisateur sélectionné et
changer le rôle de l'utilisateur.
● Pour un groupe LDAP, vous pouvez ajouter un groupe
LDAP, supprimer un groupe sélectionné et changer le rôle
de l'utilisateur.
Administrateur du stockage
Administrateur de la sécurité
Opérateur
Administrateur VM
Service
Vous n'êtes autorisé ni à créer ni à supprimer des comptes
de maintenance du système de stockage. Vous pouvez
réinitialiser le mot de passe du compte de maintenance à
partir de Unisphere. Sous Système, sélectionnez la fonction
Maintenance > Tâches de maintenance > Changer le mot
de passe de maintenance.
REMARQUE : Vous pouvez réinitialiser les mots de passe par défaut des comptes du système de stockage en appuyant sur
le bouton de réinitialisation des mots de passe situé sur le châssis du système de stockage. Reportez-vous à l’aide en ligne
Unisphere et au guide d’information sur le matériel du système pour obtenir plus d’informations. Pour plus d’informations sur
la réinitialisation du mot de passe administrateur sur un système UnityVSA, reportez-vous au Guide d’installation UnityVSA
de Dell EMC.
Unisphere
L'authentification requise pour accéder à Unisphere s'effectue sur la base des informations d'identification du compte utilisateur
(local ou LDAP). Les comptes utilisateur sont créés et gérés par la suite via la sélection Gestion des utilisateurs sous
Paramètres > Utilisateurs et groupes dans Unisphere. Les autorisations qui s'appliquent à Unisphere dépendent du rôle
associé au compte utilisateur.
Avant de pouvoir télécharger le contenu de l'interface utilisateur de Unisphere sur une station de gestion, l'utilisateur doit
fournir ses informations d'identification à des fins d'authentification et établir une session sur le système de stockage. Une
fois que l'utilisateur a saisi l'adresse réseau du système de stockage sous forme d'URL dans un navigateur Web, une page de
connexion s'affiche pour lui permettre de s'authentifier en tant qu'utilisateur local ou via un serveur d'annuaire LDAP. Après
authentification des informations d'identification fournies par l'utilisateur, l'interface utilisateur de la session de gestion est créée
sur le système de stockage. L'interface utilisateur de Unisphere est ensuite téléchargée et instanciée sur la station de gestion de
l'utilisateur. L'utilisateur peut alors surveiller et gérer le système de stockage dans la limite des autorisations que lui accorde son
rôle.
LDAP
LDAP (Lightweight Directory Access Protocol) est un protocole d'application pour l'interrogation de services d'annuaire
s'exécutant sur des réseaux TCP/IP. LDAP fournit une gestion centralisée des informations d'authentification, d'identité et de
groupe utilisées pour l'autorisation d'accès au système de stockage. L'intégration du système de stockage à un environnement
LDAP existant offre un moyen de contrôler l'accès des utilisateurs et des groupes d'utilisateurs au système via la CLI Unisphere
ou Unisphere.
Une fois les paramètres LDAP configurés pour le système, vous pouvez gérer les utilisateurs et les groupes d'utilisateurs, dans
le contexte d'une structure de répertoires LDAP établie. Par exemple, vous pouvez attribuer des rôles d'accès (Administrateur,
Administrateur du stockage, Administrateur de la sécurité, Opérateur, Administrateur VM) aux utilisateurs ou groupes LDAP.
Le rôle appliqué détermine le niveau d'autorisation dont dispose l'utilisateur ou le groupe dans l'administration du système de
stockage. le système utilise les paramètres LDAP uniquement en vue de faciliter le contrôle de l'accès à la CLI Unisphere et à
Unisphere, et non pour l'accès aux ressources de stockage.
Contrôle d’accès
9
Règles des sessions
Les sessions Unisphere présentent les caractéristiques suivantes :
● Expiration après une heure
● Délai d'expiration de la session non configurable
● Identifiants de session générés pendant l'authentification et utilisés pendant toute la durée de la session
Utilistion du nom d’utilisateur et du mot de passe
Les noms d’utilisateur des comptes Unisphere doivent respecter les conditions décrites dans le tableau suivant.
Tableau 4. Exigences relatives aux noms d’utilisateur des comptes Unisphere
Restriction
Configuration requise pour le nom d’utilisateur
Nombre minimal de caractères alphanumériques
1
Nombre maximal de caractères alphanumériques
64
Caractères spéciaux pris en charge
. (point)
Les mots de passe des comptes Unisphere doivent respecter les conditions décrites dans le tableau suivant.
Tableau 5. Exigences relatives aux mots de passe des comptes Unisphere
Restriction
Critères pour créer un mot de passe
Minimum number of characters
8
Nombre minimal de caractères majuscules
1
Nombre minimal de caractères minuscules
1
Minimum number of numeric characters
1
Minimum number of special characters
● Caractères spéciaux pris en charge :
○ !,@#$%^*_~?
1
Nombre maximal de caractères
40
REMARQUE : Vous pouvez modifier les mots de passe des comptes dans Unisphere en sélectionnant Paramètres,
Utilisateurs et groupes, puis Gestion des utilisateurs > Plus d’actions > Réinitialiser le mot de passe. Lors de la
modification d'un mot de passe, vous ne pouvez pas réutiliser l'un des trois derniers mots de passe. L'aide en ligne de
Unisphere fournit des informations complémentaires à ce sujet.
REMARQUE : En mode STIG, le mot de passe doit comporter au moins 15 caractères. Le mode STIG définit également
des conditions supplémentaires relatives au nombre, à la période de validité et à l'état d'expiration des mots de passe. Les
comptes utilisateur créés avant l'activation du mode STIG ne sont pas affectés sauf si le mot de passe est modifié. Pour
plus d’informations sur le mode STIG, reportez-vous à la section Gérer le mode STIG (déploiements physiques uniquement) ,
page 63.
Les mots de passe sont protégés par un hachage salé à l’aide de SHA256.
Autorisation
Rôles et privilèges des utilisateurs locaux , page 11 montre les rôles attribuables aux utilisateurs locaux du système de stockage
ainsi que les privilèges qui leur sont associés. Vous pouvez en outre attribuer ces rôles à des utilisateurs et groupes LDAP.
10
Contrôle d’accès
Tableau 6. Rôles et privilèges des utilisateurs locaux
Tâche
Opérateur
Administrateu
r de stockage
Administrateu Administrateu
r de la sécurité r
Modifier son propre mot de passe de
connexion local
x
x
x
Ajouter, supprimer ou modifier des
hôtes
x
x
Créer un stockage
x
x
Supprimer le stockage
x
x
Ajouter des objets de stockage, comme
des LUN, des partages et des groupes
de stockage, à des ressources de
stockage
x
x
Afficher la configuration et l'état du
stockage
x
x
Afficher les comptes utilisateurs
Unisphere
x
x
Ajouter, supprimer, modifier, verrouiller
ou déverrouiller des comptes utilisateur
Unisphere
x
x
x
x
Afficher l'état actuel du logiciel ou de la
licence
x
x
x
x
Exécuter une mise à niveau de logiciel
ou de licence
x
Exécution de la configuration initiale
x
Modifier la configuration du serveur
NAS
x
Modifier les paramètres système
x
Modifier les paramètres réseau
x
Modifier la langue de l'interface de
gestion
x
x
x
x
Afficher les informations des logs et des x
alertes
x
x
x
Afficher l'état du chiffrement
x
x
x
x
Effectuer la sauvegarde du magasin de
clés de chiffrement, du log d'audit et du
checksum
Modifier les paramètres de sécurité
(mode FIPS 140-2, mode TLS et mode
shell restreint)
Établir des connexions VASA entre
vCenter et le système de stockage
Administrateu
r VM
x
x
x
x
x
Dans le cas du rôle d'administrateur VM, une fois la connexion établie entre vCenter et le système de stockage, l'utilisateur
vCenter peut afficher les informations de configuration et d'état du stockage pertinentes pour ce serveur vCenter et les
serveurs VMware ESXi associés. Les informations qu'il est autorisé à visualiser sont déterminées par les mécanismes de contrôle
d'accès vCenter.
REMARQUE : Vous pouvez modifier les rôles des comptes dans Unisphere en sélectionnant Paramètres, Utilisateurs
et groupes, Gestion des utilisateurs > Plus d’actions > Modifier le rôle. L'aide en ligne de Unisphere fournit des
informations complémentaires à ce sujet.
Contrôle d’accès
11
NAT
NAT n'est pas pris en charge pour la connexion locale via Unisphere au système de stockage.
Interface de ligne de commande (CLI) Unisphere
La CLI Unisphere offre les mêmes fonctions que celles disponibles via Unisphere.
L'exécution de la CLI Unisphere nécessite un logiciel de ligne de commande du système de stockage spécial. Vous pouvez
télécharger ce logiciel depuis la page produit de votre système de stockage. Consultez le site de support (inscription obligatoire)
à l’adresse suivante : dell.com/support.
Règles des sessions
Le client CLI Unisphere ne prend pas en charge les sessions. Vous devez utiliser la syntaxe de ligne de commande pour spécifier
le nom d'utilisateur et le mot de passe du compte à chaque commande que vous exécutez.
Vous pouvez utiliser la commande -saveuser de la CLI Unisphere pour enregistrer les informations d'identification (nom
d'utilisateur et mot de passe) d'un compte donné dans un fichier du lockbox sécurisé stocké en local sur l'hôte où est installée la
CLI Unisphere. Les données stockées ne sont disponibles que sur l'hôte sur lequel elles ont été enregistrées et pour l'utilisateur
qui les a enregistrées. Après avoir enregistré les informations d'identification d'accès, la CLI les applique automatiquement au
port et à la destination du système de stockage spécifiés chaque fois que vous exécutez une commande.
Utilisation des mots de passe
L'authentification auprès de la CLI Unisphere s'effectue sur la base des comptes de gestion créés et gérés via Unisphere. Les
autorisations qui s'appliquent à Unisphere s'appliquent également aux commandes spécifiques en fonction du rôle associé au
compte de connexion actif.
Enregistrement des paramètres
Vous pouvez enregistrer les paramètres suivants sur l'hôte sur lequel vous exécutez la CLI Unisphere :
● Informations d'identification d'utilisateur, telles que votre nom d'utilisateur et votre mot de passe, pour chaque système de
stockage auquel vous accédez.
● Certificats SSL importés du système de stockage.
● Informations relatives au système par défaut accessible via la CLI Unisphere, telles que le nom ou l'adresse IP du système et
son numéro de port.
La CLI Unisphere enregistre les paramètres dans un lockbox sécurisé résidant localement sur l'hôte sur lequel la CLI Unisphere
est installée. Les données stockées ne sont disponibles que sur l'hôte sur lequel elles ont été enregistrées et pour l'utilisateur qui
les a enregistrées. Le lockbox réside aux emplacements suivants :
● Sous Windows Server 2003 (XP) : C:\Documents and Settings\$<user_name>\Local
Settings\ApplicationData\.emc\uemcli\cert
● Sous Windows 7, Windows 8 et Windows 10 : C:\Users\${user_name}\AppData\Local\.emc\uemcli\cert
● Sous UNIX/Linux : <home_directory>/.emc/uemcli/cert
Recherchez les fichiers config.xml et config.key. Si vous désinstallez la CLI Unisphere, ces répertoires et fichiers ne sont pas
supprimés, ce qui vous donne la possibilité de les conserver. Si vous n'avez plus besoin de ces fichiers, supprimez-les.
Interface de maintenance SSH du système de
stockage
Lorsqu'elle est activée, l'interface de maintenance SSH du système de stockage fournit une interface de ligne de commande
permettant d'exécuter des opérations liées ou identiques à celles disponibles à partir de la page de maintenance de Unisphere
(sous Système, sélectionnez Maintenance > Tâches de maintenance > Activer SSH).
12
Contrôle d’accès
Le compte de maintenance permet aux utilisateurs d'effectuer les tâches suivantes :
● Exécuter des commandes de maintenance du système de stockage spécialisées pour contrôler les paramètres système et les
opérations du système de stockage ainsi que pour résoudre les problèmes rencontrés.
● Utiliser un ensemble limité de commandes dont ils disposent en tant que membres dotés d’un compte d’utilisateur Linux non
privilégié en mode shell restreint. Ce compte n’a accès ni aux fichiers système propriétaires, ni aux fichiers de configuration,
ni aux données des utilisateurs ou des clients.
Pour plus d'informations sur les commandes de maintenance, consultez les notes techniques sur les Commandes de
maintenance.
Le paramètre d’interface de maintenance SSH du système de stockage est préservé lors des redémarrages du système et des
basculements, aussi bien en mode maintenance qu'en mode normal. Par conséquent, l’activation de l’interface de maintenance
SSH du système de stockage garde l’interface activée jusqu'à ce qu’elle soit explicitement désactivée à la page Maintenance de
Unisphere (sous Système, sélectionnez Service > Tâches de maintenance > Désactiver le protocole SSH).
Pour une sécurité maximale du système, il est recommandé de laisser l’interface de maintenance du système de stockage SSH
désactivée à tout moment, à moins qu'elle ne soit vraiment nécessaire pour effectuer des opérations de maintenance sur le
système de stockage. Après avoir effectué les opérations de maintenance nécessaires, désactivez l’interface SSH pour vous
assurer que le système reste sécurisé.
Sessions
Les sessions de l'interface de maintenance SSH du système de stockage sont gérées sur la base des paramètres établis par le
client SSH. Leurs caractéristiques sont déterminées par les paramètres de configuration du client SSH.
Utilisation des mots de passe
Le compte de maintenance est un compte que le personnel de maintenance peut utiliser pour exécuter des commandes Linux de
base.
Le mot de passe par défaut de l'interface de maintenance du système de stockage est « service ». Lors de la configuration
initiale du système de stockage, vous devez modifier le mot de passe de maintenance par défaut. Les restrictions relatives au
mot de passe sont les mêmes que celles qui s'appliquent aux comptes de gestion Unisphere (reportez-vous à la section Utilistion
du nom d’utilisateur et du mot de passe , page 10). Pour plus d'informations sur la commande de maintenance du système
de stockage, svc_service_password, utilisée pour gérer les paramètres de mot de passe du compte de maintenance du
système de stockage, consultez la fiche technique sur les commandes de maintenance.
Autorisation
Comme indiqué dans Définition des autorisations du compte de maintenance , page 13, les autorisations du compte de
maintenance sont définies de deux façons.
Tableau 7. Définition des autorisations du compte de maintenance
Type d'autorisation
Description
Autorisations du système de
fichiers Linux
Les autorisations du système de fichiers déterminent la plupart des tâches que le compte
de maintenance peut et ne peut pas effectuer sur le système de stockage. Par exemple,
la majorité des outils et utilitaires Linux qui modifient le fonctionnement du système d’une
quelconque façon nécessitent des privilèges de compte de superutilisateur. Étant donné que le
compte de maintenance ne dispose pas de tels privilèges d'accès, il ne peut pas exécuter ces
outils et utilitaires Linux. Il ne peut pas non plus modifier les fichiers de configuration exigeant
un accès racine en lecture et/ou en écriture.
Listes de contrôle d’accès
Le mécanisme de listes de contrôle d'accès (ACL) du système de stockage utilise une liste de
règles très spécifiques pour octroyer ou refuser de manière explicite l'accès aux ressources
du système par le compte de maintenance. Les règles contenues dans l'ACL déterminent les
autorisations dont bénéficie le compte de maintenance sur d'autres fonctions du système de
stockage non couvertes par les autorisations du système de fichiers Linux standard.
Contrôle d’accès
13
Commandes de maintenance du système de stockage
L’environnement d’exploitation du système de stockage intègre diverses commandes de diagnostic des problèmes, de
configuration système et de restauration système. Ces commandes offrent un niveau d'informations approfondi et un contrôle
de système de niveau inférieur à celui disponible via Unisphere. Une description de ces commandes, ainsi que des exemples
d'utilisation courants, sont disponibles dans le document Notes techniques sur les commandes de maintenance.
Port de service Ethernet du SP du système de
stockage et IPMItool
Votre système de stockage permet d'accéder à la console via le port de service Ethernet situé sur chaque SP. Cet
accès requiert l'utilisation de l'outil IPMItool. Similaire à SSH ou à Telnet, l'outil réseau IPMItool utilise le protocole IPMI
pour s'interfacer avec chaque SP via une connexion Ethernet. IPMItool est un utilitaire Windows qui négocie un canal de
communication sécurisé afin d'accéder à la console du SP d'un système de stockage. Pour pouvoir activer la console, l'utilitaire a
besoin d'informations d'identification et d'une adresse IP. Pour plus d'informations sur IPMItool, consultez le document IPMItool
User Guide Technical Notes.
REMARQUE : Pour UnityVSA, la console vSphere est utilisée pour accéder à la console.
L'interface du port de service Ethernet du SP offre les mêmes fonctions que l'interface de maintenance SSH et est soumise
aux mêmes restrictions. Elle diffère néanmoins de celle-ci par le fait que les utilisateurs y accèdent via une connexion par port
Ethernet plutôt qu'au moyen d'un client SSH.
Pour obtenir la liste des commandes de maintenance, consultez les Notes techniques sur les commandes de maintenance.
Fournisseur SMI-S
Le fournisseur SMI-S n'entraîne aucun changement au niveau de la sécurité. Le client SMI-S se connecte au système de
stockage via le port HTTPS 5989. Les informations d'identification pour la connexion sont les mêmes que celles des utilisateurs
de l'interface utilisateur ou de la CLI Unisphere. Toutes les règles de sécurité applicables aux utilisateurs de l'interface utilisateur
et de la CLI valent aussi pour les connexions SMI-S. Les utilisateurs de l'interface utilisateur et de la CLI Unisphere peuvent
ainsi s'authentifier via l'interface SMI-S. Il est inutile de définir des comptes utilisateur distincts pour cette interface. Une fois
authentifié, le client SMI-S bénéficie des mêmes privilèges que ceux définis pour les comptes utilisateur de l'interface utilisateur
et de la CLI Unisphere. Le Guide de programmation du fournisseur SMI-S de votre système de stockage fournit des informations
sur la configuration de ce service.
Prise en charge de vSphere Storage API for Storage
Awareness
vSphere Storage API for Storage Awareness (VASA) est une API de détection du stockage définie par VMware et indépendante
du fournisseur. Un fournisseur VASA (VP) est un composant logiciel dédié au stockage qui agit comme un service d'information
concernant le stockage pour vSphere. Les hôtes ESXi et vCenter Server se connectent au VP pour obtenir des informations
sur les capacités, l'état et la topologie de stockage disponibles. Par la suite, vCenter Server fournit des informations aux clients
vSphere. L'interface VASA est plutôt utilisée par les clients VMware par rapport aux clients Unisphere.
Le fournisseur VASA (VP) s'exécute sur le processeur de stockage (SP) actif du système de stockage. L'utilisateur vSphere
doit configurer cette instance du VP en tant que fournisseur des informations VASA pour chaque système de stockage. En
cas d'arrêt d'un SP, le processus associé, de même que le VP VASA, redémarrent sur le SP homologue. L'adresse IP bascule
automatiquement. En interne, le protocole détectera une défaillance lors de l'obtention des événements de modification de
configuration à partir du nouveau VP actif, mais les objets VASA seront automatiquement resynchronisés sans intervention de
l'utilisateur.
Le système de stockage fournit des interfaces VASA 3.0 et VASA 2.0 pour vSphere 6 et vSphere 7 et des interfaces VASA 1,0
pour vSphere 5.x.
VASA 1.0 est utilisée pour la surveillance uniquement ; son utilisation concerne les clients VMware plutôt que les clients
Unisphere. VASA 1.0 est une interface exclusivement destinée au reporting. Elle permet d'obtenir des informations de base
14
Contrôle d’accès
sur le système de stockage et les périphériques de stockage qu'il expose à l'environnement virtuel afin de simplifier les tâches
quotidiennes de provisionnement, de surveillance et de dépannage via vSphere :
● Visibilité du stockage : détection interne des modifications de propriétés et envoi d’informations à jour à vCenter
● Alarmes d'état de santé et de capacité : surveillance interne des changements d'état de santé et de dépassement des seuils
de capacité, avec déclenchement d'alarmes appropriées à destination de vCenter :
○ état de santé de la baie, des SP, des ports d'E/S, des LUN et des systèmes de fichiers ;
○ signalement des changements d'état de santé de n'importe lequel de ces objets, par types de changement ;
○ alarmes de capacité des LUN et des systèmes de fichiers.
● Fonctions de stockage VASA : surveillance interne des changements de capacités de stockage, avec transmission à vCenter
d'informations à jour sur les capacités.
● Intégration de Storage DRS : vSphere s'appuie sur les informations communiquées en interne par le VP et les intègre dans sa
logique métier en vue de leur utilisation dans différents workflows Storage DRS.
VASA 3.0 et 2.0 prennent en charge les volumes virtuels (vVol). Les interfaces VASA 3.0 et VASA 2.0 prennent en charge
des interfaces pour interroger les abstractions de stockage telles que les vVol et les conteneurs de stockage. Ces informations
facilitent la prise de décision concernant le positionnement et la conformité des disques virtuels dans le cadre de la gestion
basée sur les règles de stockage (SPBM). VASA 3.0 and VASA 2.0 prennent également en charge des interfaces pour
provisionner et gérer le cycle de vie des volumes virtuels utilisés pour la sauvegarde des disques virtuels. Ces interfaces sont
appelées directement par les hôtes ESXi.
Pour plus d’informations sur VASA, vSphere et les vVol, consultez la documentation VMware et l’aide en ligne Unisphere.
Authentification VASA
Pour permettre à vCenter de se connecter au VP Unisphere, vous devez saisir trois types d'informations dans vSphere Client :
● l'URL du VP, au format suivant :
○ Pour VASA 3.0 et VASA 2.0, https://<Management IP address>:8443/vasa/version.xml
○ Pour VASA 1.0, https://<Management IP address>:8444/vasa/version.xml ou https://<Management IP address>:8444/
vasa/services/vasaService
● le nom d'un utilisateur Unisphere (doté du rôle d'administrateur de VM ou d'administrateur) :
REMARQUE : Le rôle d'Administrateur VM est strictement utilisé en vue d'enregistrer les certificats.
○ pour les utilisateurs locaux, utilisez la syntaxe : local /<username>
○ pour les utilisateurs LDAP, utilisez la syntaxe : <domain>/<username>
● le mot de passe associé à cet utilisateur.
Les informations d'identification Unisphere sont uniquement utilisées lors de cette étape de connexion initiale. Si les informations
d'identification Unisphere sont valides pour le système de stockage cible, le certificat de vCenter Server est automatiquement
enregistré auprès du système de stockage. Ce certificat est ensuite utilisé pour authentifier les demandes de connexion
ultérieures de vCenter. L'installation ou le téléchargement de ce certificat dans le VP ne requiert aucune intervention manuelle.
À l'expiration du certificat, vCenter doit en enregistrer un autre afin de prendre en charge une nouvelle session. La révocation du
certificat par l'utilisateur entraîne l'invalidation de la session et l'arrêt de la connexion.
Session, connexion sécurisée et informations d'identification vCenter
Pour démarrer une session vCenter, un administrateur vSphere doit fournir l'URL et les informations d'identification du VP à
vCenter Server via vSphere Client. vCenter Server utilise l'URL, les informations d'identification et le certificat SSL du VP pour
établir une connexion sécurisée à ce dernier. Une session vCenter est terminée lorsque les événements suivants se produisent :
● Un administrateur supprime le VP de la configuration vCenter dans vSphere Client et que vCenter Server met fin à la
connexion.
● vCenter Server tombe en panne ou un de ses services échoue, ce qui interrompt la connexion. Lorsque vCenter ou le service
redémarre, il tente de rétablir la connexion SSL. S'il n'y parvient pas, il lance une nouvelle connexion SSL.
● Le fournisseur VASA échoue, ce qui interrompt la connexion. Lorsque le fournisseur VASA démarre, il peut répondre à la
communication à partir de vCenter Server pour rétablir la connexion SSL et la session VASA.
Une session vCenter repose sur une communication HTTPS sécurisée entre vCenter Server et un VP. L'architecture VASA
utilise des certificats SSL et des identifiants de session VASA pour sécuriser les connexions. Dans VASA 1.0, vCenter Server
ajoutait le certificat VP à son magasin d'approbations dans le cadre de l'installation du VP ou de la création d'une connexion
de session VASA. Le VP ajoutait le certificat vCenter Server à son magasin d'approbations lors de l'appel de la fonction
registerVASACertificate par le service SMS (Storage Monitoring Service). Dans VASA 3.0 et VASA 2.0, vCenter Server agit en
Contrôle d’accès
15
tant qu'autorité de certification VMware (VMCA). Le VP transmet un certificat auto-signé à la demande, après autorisation de la
demande. Il ajoute le certificat vCenter Server à son magasin d'approbations, puis émet une demande de signature de certificat
et remplace son certificat auto-signé par le certificat signé VMCA. Les futures connexions seront authentifiées par le serveur
(VP) en utilisant le certificat client (SMS) validé en fonction du certificat de signature racine précédemment enregistré. Un VP
génère des identifiants uniques pour les objets d'entité de stockage et vCenter Server utilise l'identifiant pour demander des
données pour une entité spécifique.
REMARQUE : Le certificat VMCA est l’autorité de certification par défaut utilisée pour sécuriser les communications entre
vCenter Server et un VP. Avec les versions Unity antérieures à 5.1, le VP prend uniquement en charge les certificats autosignés du VMCA. Unity version 5.1 et versions ultérieures prennent en charge la configuration de l’autorité de certification
subordonnée. Seules les configurations VASA 2.0 et VASA 3.0 pour lesquelles le VP peut être enregistré sont prises en
charge. Unity stocke le certificat signé dans sa zone de stockage fiable et valide les demandes VASA par rapport au
certificat signé.
Un VP utilise les certificats SSL et l'identifiant de session VASA pour valider les sessions VASA. Une fois la session établie,
un VP doit valider à la fois le certificat SSL et l'identifiant de session VASA associés à chaque appel de fonction émis à
partir de vCenter Server. Le VP utilise le certificat de vCenter Server stocké dans son magasin d'approbations pour valider
le certificat associé aux appels de fonctions en provenance du service vCenter SMS. Une session VASA est conservée sur
plusieurs connexions SSL. Si une connexion SSL est supprimée, vCenter Server effectue une négociation SSL avec le VP pour
rétablir la connexion SSL dans le contexte de la même session VASA. Si un certificat SSL expire, l'administrateur vSphere doit
générer un nouveau certificat. vCenter Server établit une nouvelle connexion SSL et enregistre le nouveau certificat applicable
au VP.
REMARQUE : L’annulation de l’enregistrement des VP 3.0 et 2.0 est différente de l’annulation de l’enregistrement des
VP 1.0. Le service SMS n’appelle pas la fonction unregisterVASACertificate par rapport à un VP 3.0 ou 2.0, par conséquent,
même après l’annulation, le VP peut continuer à utiliser son certificat signé VMCA issu du service SMS et continuer à avoir
accès au certificat racine VMCA.
Authentification unique (SSO) avec Unisphere Central
La fonction d'authentification unique (SSO) ajoutée à Unisphere Central fournit des services d'authentification pour plusieurs
systèmes de stockage qui sont configurés pour utiliser cette fonctionnalité. Cette fonction offre un moyen simple pour un
utilisateur de se connecter à chaque système sans devoir renouveler son authentification auprès de chaque système.
Unisphere Central est le serveur centralisé d'authentification qui facilite l'authentification unique (SSO). Cette fonction permet à
un utilisateur :
● De se connecter à Unisphere Central, puis de sélectionner et de démarrer Unisphere sur un système de stockage sans devoir
rappeler les informations d'identification.
● Vous connecter à un système de stockage, puis choisir d'autres systèmes de stockage associés à la même instance
Unisphere Central à laquelle vous connecter sans devoir rappeler les informations d'identification.
Unisphere Central exécute régulièrement une requête pour demander des informations d'état auprès des systèmes de stockage
qu'il gère. L'identité associée aux demandes effectuées dans ce contexte est le certificat SSL/X.509 Unisphere Central. Ce
certificat est signé par l'autorité de certification de Unisphere Central qui est approuvée par chaque instance du système de
stockage que Unisphere Central est configuré pour gérer.
En outre, cette fonction fournit une fonction de déconnexion unique. Ainsi, lorsque vous vous déconnectez de la console
Unisphere Central, vous fermez en même temps toutes les sessions associées du système de stockage.
Conditions requises
Pour utiliser l'authentification unique (SSO) :
● Les systèmes de stockage Unity et UnityVSA doivent exécuter OE version 4.0 ou supérieure.
● Unisphere Central version 4.0 ou une version ultérieure doit être utilisée.
● Le serveur Unisphere Central et les systèmes de stockage doivent être configurés pour l'authentification auprès du même
répertoire AD/LDAP.
● L'utilisateur LDAP doit être directement mappé à un rôle Unisphere, ou être membre d'un groupe AD/LDAP qui est mappé à
un rôle Unisphere à la fois sur le système de stockage et sur Unisphere Central.
● Chaque système de stockage doit activer la fonction d'authentification unique (SSO).
● L'utilisateur doit se connecter en tant qu'utilisateur LDAP.
16
Contrôle d’accès
REMARQUE : Si ces conditions ne sont pas remplies, l'utilisateur doit se connecter au système individuel en tant
qu'utilisateur local et fournir des informations d'authentification pour accéder à ce système.
Pour activer l'authentification unique (SSO), vous devez avoir les privilèges Administrateur. Les utilisateurs disposant des
privilèges Administrateur de stockage, Opérateur ou Administrateur VM ne peuvent pas activer l'authentification unique (SSO).
Utilisez la commande uemcli suivante pour activer l'authentification unique (SSO) :
uemcli -d <IP address> -u <username> -p <password> /sys/ur set -ssoEnabled yes
Chaque système de stockage configuré avec cette configuration activée peut être un client du serveur centralisé
d'authentification et participer à l'environnement d'authentification unique (SSO). Pour plus d'informations sur cette commande,
consultez le Guide d'utilisation de l'interface de ligne de commande Unisphere.
Considérations et restrictions
Le délai d'expiration de la session utilisateur entre le client Web et le serveur centralisé d'authentification est de 45 minutes.
Le délai d'expiration de la session application entre le client web et le système de stockage est de 1 heure.
REMARQUE : Reportez-vous à la Matrice de support simplifiée pour le système de stockage sur le site Web de support
pour obtenir des informations sur la compatibilité et l’interopérabilité liées aux navigateurs Web.
Flux des processus d'authentification unique (SSO)
Les séquences suivantes représentent les flux des processus d'authentification relatifs à l'authentification unique (SSO) en
corrélation avec Unisphere Central.
Accès à un système de stockage via Unisphere Central
1. L'utilisateur lance un navigateur Web sur une station de gestion et spécifie l'adresse réseau d'Unisphere Central en tant
qu'URL.
2. Le navigateur est redirigé par le serveur Web vers une URL de connexion locale Unisphere Central et l'utilisateur voit
apparaître un écran de connexion.
3. L'utilisateur saisit et envoie des informations d'identification LDAP. Le nom d'utilisateur est au format suivant : <LDAP
DOMAIN>/username.
4. Un jeton de session est défini et le navigateur est redirigé par le système vers l'URL d'origine qui avait été spécifiée.
5. Le navigateur télécharge le contenu d'Unisphere et Unisphere Central est instancié.
6. L'utilisateur navigue alors dans Unisphere jusqu'à un système de stockage en particulier à surveiller.
7. L'utilisateur clique sur l'adresse réseau du système de stockage.
8. Une nouvelle fenêtre de navigateur est créée avec l'URL du système de stockage.
9. Le navigateur est redirigé vers le serveur d'authentification Unisphere Central où l'utilisateur est déjà authentifié.
10. Le navigateur est redirigé vers la page de téléchargement de Unisphere et une session est établie avec le système de
stockage en utilisant le nouveau ticket de service.
11. Unisphere est téléchargé et instancié.
12. L'utilisateur démarre la gestion/surveillance du système de stockage.
Accès aux systèmes de stockage associés à Unisphere Central
1. L'utilisateur démarre un navigateur Web sur une station de gestion et spécifie l'adresse réseau d'un système de stockage en
tant qu'URL.
2. Le navigateur est redirigé vers le service de connexion locale Unisphere Central et l'utilisateur voit apparaître un écran de
connexion.
3. L'utilisateur saisit et envoie des informations d'identification LDAP. Le nom d'utilisateur est au format suivant : <LDAP
DOMAIN>/username.
4. Un jeton de session est défini comme un cookie et le navigateur est redirigé par le système vers l'URL d'origine qui avait été
spécifiée.
5. Le navigateur télécharge le contenu d'Unisphere et Unisphere est instancié.
6. L'utilisateur ouvre ensuite une autre fenêtre ou un autre onglet du navigateur Web et spécifie l'adresse réseau d'un autre
système de stockage en tant qu'URL.
Contrôle d’accès
17
7. Le navigateur est redirigé vers le serveur d'authentification Unisphere Central où l'utilisateur est déjà authentifié. Un nouveau
ticket de service est obtenu.
8. Le navigateur est redirigé vers la page de téléchargement de Unisphere et établit une session avec le deuxième système de
stockage en utilisant le nouveau ticket de service.
9. Unisphere pour le deuxième système de stockage est téléchargé et instancié.
10. L'utilisateur démarre la gestion/surveillance du deuxième système de stockage.
Connexion à un système de stockage local
Lorsque vous utilisez un compte local ou, si la connectivité au serveur d'authentification Unisphere Central n'est pas disponible,
vous pouvez vous connecter à un système de stockage local à l'aide du résident du serveur d'authentification sur le système au
lieu de vous connecter via Unisphere Central. Il existe deux façons de se connecter localement au système de stockage :
● Lorsque le navigateur est redirigé vers le serveur d'authentification Unisphere Central, une option permet à l'utilisateur de se
rediriger vers le système et de se connecter localement.
● Si Unisphere Central est inaccessible, la syntaxe suivante d'URL peut être utilisée pour parcourir ou pour accéder localement
au système et à la connexion : https://<storagesystemIP>?casHome=LOCAL
où storagesystemIP est l'adresse IP du système de stockage.
Authentification unique (SSO) et prise en charge NAT (Network
Address Translation)
L’authentification unique (SSO) ne prend pas en charge la configuration NAT. En outre, la configuration NAT n'est pas prise en
charge pour la connexion locale via Unisphere au système de stockage.
Sécurité sur les objets du système de fichiers
Dans un environnement multiprotocole, la stratégie de sécurité est définie au niveau du système de fichiers et est indépendante
pour chaque système de fichiers. Chaque système de fichiers utilise sa stratégie d'accès pour déterminer comment rapprocher
les différences entre les sémantiques de contrôle d'accès NFS et SMB. La sélection d'une stratégie d'accès détermine quel
mécanisme est utilisé pour garantir la sécurité des fichiers sur le système de fichiers donné.
REMARQUE : Si l’ancien protocole SMB1 n’a pas besoin d’être pris en charge dans votre environnement, il peut
être désactivé à l’aide de la commande de maintenance svc_nas. Pour plus d'informations sur cette commande de
maintenance, consultez le document Notes techniques sur les commandes de maintenance.
Modèle de sécurité UNIX
Lorsque la stratégie UNIX est sélectionnée, toute tentative de modification de la sécurité en mode fichier à partir du protocole
SMB est ignorée, comme la modification des listes de contrôle d'accès. Les privilèges d'accès UNIX correspondent aux bits de
mode ou à la liste de contrôle d'accès (ACL) NFSv4 d'un objet du système de fichiers. Les bits de mode sont représentés par
une chaîne de bits. Chaque bit représente un mode d'accès ou un privilège accordé à l'utilisateur auquel appartient le fichier,
au groupe associé à l'objet du système de fichiers et à tous les autres utilisateurs. Les bits de mode UNIX sont représentés
sous la forme de trois ensembles de triplets concaténés rwx (lecture, écriture et exécution) pour chaque catégorie d'utilisateurs
(utilisateur, groupe ou autre). Une ACL est une liste d'utilisateurs et de groupes d'utilisateurs à l'aide de laquelle vous pouvez
contrôler ou refuser l'accès aux services.
Modèle de sécurité Windows
Le modèle de sécurité Windows est principalement basé sur des privilèges des objets, impliquant l'utilisation d'un descripteur de
sécurité et de sa liste de contrôle d'accès (ACL). Lorsque la stratégie SMB est activée, les modifications appliquées aux bits de
mode du protocole NFS sont ignorées.
L'accès à un objet du système de fichiers dépend de la manière dont les autorisations ont été paramétrées sur Autoriser ou
Refuser via l'utilisation d'un descripteur de sécurité. Le SD décrit le propriétaire de l'objet et groupe les SID pour l'objet avec ses
ACL. Une ACL fait partie du descripteur de sécurité pour chaque objet. Chaque ACL contient des entrées de contrôle d'accès
18
Contrôle d’accès
(ACE). Chaque ACE à son tour contient un seul SID qui identifie un utilisateur, un groupe ou un ordinateur et une liste de
privilèges qui sont refusés ou autorisés pour ce SID.
Accès aux systèmes de fichiers dans un
environnement multiprotocole
L'accès aux fichiers est fourni via des serveurs NAS. Un serveur NAS contient un ensemble de systèmes de fichiers où sont
stockées des données. Le serveur NAS permet d'accéder à ces données pour des protocoles de fichiers NFS et SMB en
partageant des systèmes de fichiers via des partages SMB et NFS. Le mode serveur NAS pour le partage multiprotocole permet
de partager les mêmes données entre SMB et NFS. Du fait que le mode de partage multiprotocole offre un accès simultané SMB
et NFS à un système de fichiers, le mappage des utilisateurs Windows sur les utilisateurs UNIX et la définition des stratégies de
sécurité à utiliser (bits de mode, ACL et informations d'identification des utilisateurs) doivent être pris en compte et configurés
de manière adéquate pour un partage multiprotocole.
REMARQUE : Pour plus d'informations sur la configuration et la gestion de serveurs NAS concernant le partage
multiprotocole, le mappage utilisateur, les stratégies d'accès et les informations d'identification utilisateur, reportez-vous
à l'aide en ligne de Unisphere et au Guide d’utilisation de l'interface de ligne de commande (CLI) Unisphere.
Mappage utilisateur
Dans un contexte multiprotocole, un utilisateur Windows doit être mis en correspondance avec un utilisateur UNIX. Toutefois, un
utilisateur UNIX doit être mappé à un utilisateur Windows uniquement lorsque la politique d'accès est Windows. Ce mappage est
nécessaire pour que la sécurité du système de fichiers puisse être exécutée, même si elle n'est pas native dans le protocole. Les
composants suivants sont impliqués dans le mappage utilisateur :
● Services d'annuaire UNIX, fichiers locaux ou les deux
● Programmes de résolution Windows
● Mappage sécurisé (secmap) - cache contenant tous les mappages entre les identifiants SID et UID ou ID de groupe utilisés
par un serveur NAS.
● ntxmap
REMARQUE : Le mappage de l'utilisateur n'affecte pas les utilisateurs ni les groupes locaux sur le serveur SMB.
Services d'annuaire UNIX et fichiers locaux
Les services d'annuaire UNIX (UDS) et les fichiers locaux sont utilisés pour les éléments suivants :
● Retourne le nom du compte UNIX correspondant pour un identifiant utilisateur (UID) particulier.
● Retourne l'UID et l'identifiant de groupe (GID) principal correspondants pour un nom de compte UNIX particulier.
Les services pris en charge sont les suivants :
●
●
●
●
LDAP
NIS
Fichiers locaux
Aucun (l'unique mappage possible s'effectue par le biais de l'utilisateur par défaut)
Il faudrait un UDS activé ou des fichiers locaux activés, ou bien les deux à la fois pour le serveur NAS lorsque le partage
multiprotocole est activé. La propriété de service d'annuaire Unix du serveur NAS détermine qui est utilisé pour le mappage des
utilisateurs.
Programmes de résolution Windows
Les programmes de résolution Windows sont utilisés pour effectuer les éléments suivants pour le mappage utilisateur :
● Retourne le nom du compte Windows correspondant pour un identifiant de sécurité particulier (SID)
● Retourne le SID correspondant pour un nom de compte Windows particulier
Les programmes de résolution Windows sont les suivants :
● Le contrôleur de domaine (DC) du domaine.
Contrôle d’accès
19
● La base de données du groupe local (LGDB) du serveur SMB
secmap
La fonction secmap consiste à stocker tous les mappages SID à UID et GID principal et UID à SID afin d'assurer une cohérence
entre tous les systèmes de fichiers du serveur NAS.
ntxmap
ntxmap est utilisé pour associer un compte Windows à un compte UNIX lorsque le nom est différent. Par exemple, si un
utilisateur dispose d'un compte qui est nommé Gerald sous Windows, mais que ce compte est appelé Gerry sous UNIX, ntxmap
est utilisé pour établir la corrélation entre les deux.
Mappages SID à UID, GID principal
La séquence suivante est le processus utilisé pour résoudre un SID pour un UID, mappage GID principal :
1. secmap est recherché dans le SID. Si le SID est trouvé, le mappage UID et GID est résolu.
2. Si le SID est introuvable dans secmap, le nom Windows associé à l'identifiant SID doit être trouvé.
a. Les bases de données du groupe local des serveurs SMB du NAS sont recherchées pour le SID. Si le SID est trouvé, le
nom Windows associé est le nom d'utilisateur local, ainsi que le nom du serveur SMB.
b. Si le SID est introuvable dans la base de données du groupe local, le contrôleur du domaine est recherché. Si le SID est
trouvé, le nom Windows associé est le nom d'utilisateur. Si le SID ne peut pas être résolu, l’accès est refusé.
3. Le nom de Windows est traduit dans un nom UNIX. ntxmap est utilisé à cette fin.
a. Si le nom Windows se trouve dans ntxmap, l'entrée est utilisée en tant que nom UNIX.
b. Si le nom Windows se trouve dans ntxmap, le nom Windows est utilisé en tant que nom UNIX.
4. L'UDS (serveur NIS, serveur LDAP ou fichiers locaux) est recherché en utilisant le nom UNIX.
a. Si le nom d'utilisateur UNIX est trouvé dans l'UDS, le mappage UID et de l'ID de groupe est résolu.
b. Si le nom UNIX est introuvable, mais que la fonctionnalité de mappage automatique pour les comptes Windows non
mappés est activée, l'UID est automatiquement assigné.
c. Si le nom d'utilisateur UNIX n'est pas trouvé dans l'UDS mais qu'il existe un compte UNIX par défaut, le mappage UID et
de l'ID de groupe est résolu en fonction de celui du compte UNIX par défaut.
d. Si le SID ne peut pas être résolu, l’accès est refusé.
Si le mappage est trouvé, il est ajouté dans la base de données secmap persistante. Si le mappage est introuvable, le mappage
en échec est ajouté dans la base de données secmap persistante.
Le schéma suivant montre le processus permettant de résoudre un mappage SID à UID, GID principal :
20
Contrôle d’accès
SID
Dans
secmap
secmap ?
Oui
Dans les
fichiers locaux
ou UDS ?
UID et
GID principal
Non
Dans la DB
du groupe
local ?
Non
UID et
GID principal
Oui
UID et
GID principal
Oui
UID et
GID principal
Non
Oui
Nom Windows utilisé
pour l'accès SMB
uniquement
Mappage
automatique ?
Non
Dans le
Contrôleur de
domaine ?
Oui
Non
Oui
Nom
Windows
Dans
ntxmap ?
Oui
Nom UNIX
Non
Compte UNIX
par défaut ?
Non
Nom Windows =
Nom UNIX
SID inconnu
Accès refusé
Échec du mappage
Accès refusé
Figure 1. Processus de résolution d'un mappage SID à UID, GID principal
Contrôle d’accès
21
Mappage UID à SID
La séquence suivante est le processus utilisé pour résoudre un UID dans un mappage SID :
1. secmap est recherché pour l'UID. Si l'UID est trouvé, le mappage SID est résolu.
2. Si l'UID est introuvable dans secmap, le nom Windows associé à l'identifiant UID doit être trouvé.
a. L'UDS (serveur NIS, serveur LDAP ou fichiers locaux) est recherché en utilisant l'UID. Si l'UID est trouvé, le nom UNIX
associé est le nom d'utilisateur.
b. Si l'UID n'est pas trouvé dans l'UDS, mais qu'il existe un compte Windows par défaut, l’UID est mappé sur le SID du
compte Windows par défaut.
3. Si les informations du compte Windows par défaut ne sont pas utilisées, le nom UNIX est converti en nom Windows. ntxmap
est utilisé à cette fin.
a. Si le nom Windows se trouve dans ntxmap, l'entrée est utilisée en tant que nom Windows.
b. Si le nom UNIX se trouve dans ntxmap, le nom UNIX est utilisé en tant que nom Windows.
4. Le contrôleur de domaine Windows ou la base de données du groupe local est recherché(e) en utilisant le nom Windows.
a. Si le nom Windows est trouvé, le mappage SID est résolu.
b. Si le nom Windows contient un point et que la partie du nom suivant le dernier point (.) correspond à un nom de serveur
SMB, la base de données du groupe local de ce serveur SMB est recherchée pour résoudre le mappage SID.
c. Si le nom Windows n'est pas trouvé mais qu'il existe un compte Windows par défaut, le mappage SID est résolu en
fonction de celui du compte Windows par défaut.
d. Si le SID ne peut pas être résolu, l’accès est refusé.
Si le mappage est trouvé, il est ajouté dans la base de données secmap persistante. Si le mappage est introuvable, le mappage
en échec est ajouté dans la base de données secmap persistante.
Le schéma suivant montre le processus permettant de résoudre un mappage UID à SID :
22
Contrôle d’accès
UID
Dans
secmap
secmap ?
Oui
Dans le
contrôleur de
domaine ?
SID
Non
SID
Non
Non
Dans les
fichiers locaux
ou UDS ?
Oui
Oui
Nom
UNIX
Dans
ntxmap ?
Non
Oui
Nom
Windows
Nom Windows =
Nom UNIX
Dans la DB
du groupe
local ?
Oui
SID
Non
Compte
Windows par
défaut ?
Oui
SID
Non
UID non résolu
Accès refusé
Figure 2. Processus permettant de résoudre un mappage UID à SID
Contrôle d’accès
23
Stratégies d'accès pour NFS, SMB et FTP
Dans un environnement multiprotocole, le système de stockage utilise les stratégies d'accès du système de fichiers pour gérer le
contrôle d'accès utilisateur de ses systèmes de fichiers. Il existe deux types de sécurité, UNIX et Windows.
Pour l'authentification de sécurité UNIX, les informations d'identification sont créées à partir des services d'annuaire UNIX
(UDS), avec pour exception les accès NFS non sécurisés, où les informations d'identification sont fournies par le client d'hôte.
Les droits des utilisateurs sont déterminés à partir des bits de mode et de la liste de contrôle d'accès (ACL) NFSV4. Les
identificateurs d'utilisateurs et de groupes (UID et GID, respectivement) sont utilisés pour l'identification. Il n'y a pas de
privilèges associés à la sécurité UNIX.
Pour l'authentification de sécurité Windows, les informations d'identification sont générées à partir du contrôleur de domaine
Windows (DC) et de la base de données du groupe local (LGDB) du serveur SMB. Les droits des utilisateurs sont déterminés
à partir des ACL SMB. Les ID de sécurité (SID) sont utilisés pour l'identification. Il existe des privilèges associés à la sécurité
Windows, comme TakeOwnership, la sauvegarde et la restauration qui sont attribués par le LGDB ou l'objet de stratégie de
groupe du serveur SMB.
Le tableau suivant décrit les règles d’accès qui définissent quelle sécurité est utilisée par quel protocole :
Règle
d’accès
Description
Native (par
défaut)
● Chaque protocole gère l’accès avec sa sécurité native.
● La sécurité des partages NFS utilise les informations d'identification UNIX associées à la demande de
vérification des bits de mode UNIX NFSv3 ou ACL NFSv4. L'accès est alors accordé ou refusé.
● La sécurité des partages SMB utilise les informations d'identification Windows associées à la demande de
vérification de la liste de contrôle d'accès (ACL) SMB. L'accès est alors accordé ou refusé.
● Les bits de mode UNIX NFSv3 et les changements d’autorisation ACL NFSv4 sont synchronisés les uns
par rapport aux autres.
● Il n’y a aucune synchronisation entre les autorisations UNIX et Windows.
Windows
● Sécurise l'accès en mode fichier pour Windows et UNIX à l’aide de la sécurité Windows.
● Utilise les informations d’identification Windows pour vérifier la liste ACL SMB.
● Les autorisations pour les fichiers nouvellement créés sont déterminées par une conversion ACL SMB.
Les changements d’autorisation ACL SMB sont synchronisés sur les bits de mode UNIX NFSv3 ou l’ACL
NFSv4.
● Les bits de mode NFSv3 et les changements d’autorisation ACL NFSv4 sont refusés.
UNIX
● Sécurise l'accès en mode fichier pour Windows et UNIX à l’aide de la sécurité UNIX.
● Suite à la demande d’accès SMB, les informations d’identification UNIX générées à partir de fichiers locaux
ou UDS sont utilisées pour vérifier les autorisations des bits de mode NFSv3 ou des ACL NFSv4.
● Les autorisations pour les fichiers nouvellement créés sont déterminées par UMASK.
● Les changements d’autorisation des bits de mode UNIX NFSv3 ou l’ACL NFSv4 sont synchronisés sur
l’ACL SMB.
● Les changements d’autorisation de l’ACL SMB sont autorisés afin d’éviter toute interruption, mais ces
autorisations ne sont pas conservées.
Pour le protocole FTP, l'authentification à l'aide de Windows ou UNIX dépend du format du nom de l'utilisateur qui est utilisé lors
de l'authentification sur le serveur NAS. Si l'authentification Windows est utilisée, le contrôle d'accès FTP est similaire à celui de
SMB ; dans le cas contraire, l'authentification est similaire à celle de NFS. Les clients FTP et SFTP sont authentifiés lorsqu'ils se
connectent au serveur NAS. Il peut s'agir d'une authentification SMB (lorsque le format du nom d'utilisateur est domain\user
ou user@domain ) ou une authentification UNIX (pour les autres formats d'un nom d'utilisateur). L'authentification SMB est
assurée par le contrôleur de domaine Windows du domaine défini dans le serveur NAS. L'authentification UNIX est assurée par
le serveur NAS en fonction du mot de passe chiffré qui est stocké soit dans un serveur LDAP distant, soit dans un serveur NIS
distant, soit dans le fichier de mots de passe local du VDM.
Informations d'identification de la sécurité en mode fichier
Pour appliquer la sécurité en mode fichier, le système de stockage doit générer des informations d'identification qui sont
associées à la demande SMB ou NFS en cours de traitement. Il existe deux types d'informations d'identification : Windows et
UNIX. Les informations d'identification Windows et UNIX sont générées par le serveur NAS pour les cas d'utilisation suivants :
● Pour créer des informations d'identification UNIX avec plus de 16 groupes pour une demande NFS. La propriété des
informations d'identification étendues du serveur NAS doit être définie pour offrir cette possibilité.
24
Contrôle d’accès
● Pour créer des informations d'identification UNIX pour une demande SMB lorsque la stratégie d'accès au système de fichiers
est UNIX.
● Pour créer des informations d'identification Windows pour une demande SMB.
● Pour créer des informations d'identification Windows pour une demande NFS lorsque la stratégie d'accès au système de
fichiers est Windows.
REMARQUE : Pour une demande NFS lorsque la propriété des informations d'identification n'est pas définie, les
informations d'identification UNIX de la demande NFS sont utilisées. Lors de l'utilisation de l'authentification Kerberos
pour une demande SMB, les informations d'identification Windows de l'utilisateur du domaine sont incluses dans le ticket
Kerberos de la demande de configuration de session.
Un cache persistant des informations d'identification est utilisé dans les cas suivants :
● Les informations d'identification Windows créées pour accéder à un système de fichiers ayant une stratégie d'accès
Windows.
● Les informations d'identification UNIX pour l'accès via NFS si l'option d'informations d'identification étendue est activée.
Il existe une instance de cache pour chaque serveur NAS.
Autorisation d'accès à des utilisateurs non mappés
Un environnement multiprotocole requiert les éléments suivants :
● Un utilisateur Windows doit être mappé sur un utilisateur UNIX.
● Un utilisateur UNIX doit être mappé sur un utilisateur Windows pour générer les informations d'identification Windows
lorsque l'utilisateur accède à un système de fichiers qui dispose d'une stratégie d'accès Windows.
Deux propriétés sont associées au serveur NAS par rapport aux utilisateurs non mappés :
● L'utilisateur UNIX par défaut.
● L'utilisateur Windows par défaut.
Lorsqu’un utilisateur Windows non mappé tente de se connecter à un système de fichiers multiprotocole et que le compte
d’utilisateur UNIX par défaut est configuré pour le serveur NAS, l’ID de l’utilisateur (UID) et l’ID du groupe principal (GID) de
l’utilisateur UNIX par défaut sont utilisés dans les informations d’identification Windows. De même, lorsqu’un utilisateur UNIX
non mappé tente de se connecter à un système de fichiers multiprotocole et que le compte d’utilisateur Windows par défaut est
configuré pour le serveur NAS, les informations d’identification Windows de l’utilisateur Windows par défaut sont utilisées.
REMARQUE : Si l'utilisateur UNIX par défaut n'est pas défini dans les Services d'annuaire UNIX (UDS), l'accès SMB
est refusé pour les utilisateurs non mappés. Si l’utilisateur Windows par défaut ne se trouve pas dans la LGDB ou le
DC Windows, l’accès NFS sur un système de fichiers qui dispose d’une politique d’accès Windows est refusé pour les
utilisateurs non mappés.
REMARQUE : L’utilisateur UNIX par défaut peut être un nom de compte UNIX existant valide ou peut utiliser le nouveau
format @uid=xxxx,gid=yyyy@, où xxxx et yyyy sont, respectivement, les valeurs numériques décimales de l’UID et du
GID principal. La configuration peut être effectuée via Unisphere ou l’interface de ligne de commande.
Informations d'identification UNIX pour demandes NFS
Pour gérer les demandes NFS pour un système de fichiers avec protocole NFS uniquement ou multiprotocole avec une stratégie
d'accès UNIX ou une stratégie d'accès native, les informations d'identification UNIX doivent être utilisées. Les informations
d'identification UNIX sont toujours intégrées dans chaque demande ; toutefois, les informations d'identification sont limitées à
16 groupes supplémentaires. La propriété extendedUnixCredEnabled du serveur NFS permet de générer des informations
d’identification avec plus de 16 groupes. Si cette propriété est définie, l'UDS actif est interrogé avec l'UID pour obtenir le GID
principal et tous les GID de groupe auxquels il appartient. Si l'UID ne se trouve pas dans l'UDS, les informations d'identification
UNIX intégrées dans la demande sont utilisées.
REMARQUE : Pour l'accès sécurisé NFS, les informations d'identification sont toujours créées à l'aide de l'UDS.
Informations d'identification UNIX pour demandes SMB
Pour gérer les demandes SMB pour un système de fichiers multiprotocole avec une stratégie d'accès UNIX, les informations
d'identification Windows doivent d'abord être générées pour l'utilisateur SMB lors de la configuration de la session. L'identifiant
Contrôle d’accès
25
de session de l'utilisateur Windows est utilisé pour trouver l'annuaire AD. Ce nom est ensuite utilisé (éventuellement via ntxmap)
pour rechercher un UID et GID Unix à partir de l'UDS ou du fichier local (fichier passwd). L'UID du propriétaire est inclus
dans les informations d'identification Windows. Lors de l'accès à un système de fichiers avec une règle d'accès UNIX, l'UID de
l'utilisateur est utilisé pour interroger les UDS afin de créer les informations d'identification UNIX, de la même façon que lors de
la génération d'informations d'identification étendues pour NFS. L'UID est requis pour la gestion des quotas.
Informations d'identification Windows pour les demandes SMB
Pour gérer les demandes SMB pour un système de fichiers avec protocole SMB uniquement ou multiprotocole avec une
stratégie d'accès Windows ou une stratégie d'accès native, les informations d'identification Windows doivent être utilisées.
Les informations d'identification Windows pour SMB doivent être générées à une seule reprise, au moment de la demande de
configuration de la session lorsque l'utilisateur se connecte.
Lors de l'utilisation de l'authentification Kerberos, les informations d'identification de l'utilisateur sont incluses dans le ticket
Kerberos de la demande de configuration de session, ce qui n'est pas le cas lors de l'utilisation du NT LAN Manager (NTLM).
D'autres informations sont alors interrogées depuis la LGDB ou le DC Windows. Pour Kerberos, la liste de SID du groupe
supplémentaire provient du ticket Kerberos et de la liste de SID du groupe local supplémentaire. La liste des privilèges est
extraite du LGDB. Pour NTLM, la liste de SID du groupe supplémentaire provient du DC Windows et de la liste de SID du groupe
local supplémentaire. La liste des privilèges est extraite du LGDB.
En outre, l'UID correspondant et l'ID de groupe principal sont également récupérés à partir du composant de mappage
utilisateur. Étant donné que le SID du groupe principal n'est pas utilisé pour la vérification d'accès, le GID principal UNIX est
utilisé à la place.
REMARQUE : NTLM est une ancienne suite de protocoles de sécurité propriétaires qui fournit l'authentification, l'intégrité
et la confidentialité aux utilisateurs. Kerberos est un protocole standard ouvert qui permet une authentification plus rapide
grâce à l'utilisation d'un système de tickets. Kerberos ajoute une plus grande sécurité que le NTLM aux systèmes sur un
réseau.
Informations d'identification Windows pour demandes NFS
Les informations d'identification Windows sont uniquement générées/récupérées lorsqu'un utilisateur tente d'accéder, via une
demande NFS, à un système de fichiers qui dispose d'une stratégie d'accès Windows. L'UID est extrait de la demande NFS.
Il existe un cache global des informations d'identification Windows pour permettre d'éviter de générer des informations
d'identification pour chaque demande NFS avec une durée de conservation associée. Si les informations d'identification
Windows sont détectées dans ce cache, aucune autre action n'est requise. Si les informations d'identification Windows sont
introuvables, l'UDS ou le fichier local est interrogé pour trouver le nom de l'UID. Le nom est ensuite utilisé (éventuellement
via ntxmap) pour trouver un utilisateur Windows, et les informations d'identification sont récupérées à partir du contrôleur de
domaine Windows ou LGDB. Si le mappage est introuvable, les informations d'identification Windows de l'utilisateur Windows par
défaut sont utilisées à la place ou l'accès est refusé.
NFS sécurisé
NFS sécurisé est l'utilisation de Kerberos pour authentifier les utilisateurs ayant NFSv3 et NFSv4. Kerberos assure l'intégrité
(signature) et la confidentialité (chiffrement). Il n'est pas nécessaire d'activer les options d'intégrité et de confidentialité. Il s'agit
d'options d'exportation NFS.
Sans Kerberos, le serveur s'appuie entièrement sur le client pour authentifier les utilisateurs : le serveur fait confiance au client.
Avec Kerberos, le serveur s'appuie sur le Centre de distribution de clés (KDC). C'est le KDC qui effectue l'authentification et
gère les comptes (entités de sécurité) et le mot de passe. En outre, aucun mot de passe sous quelque forme qu'elle soit n'est
envoyé sur le réseau.
Sans Kerberos, les informations d'identification de l'utilisateur sont envoyées sur le réseau non chiffrées et peuvent donc être
usurpées. Avec Kerberos, l'identité (l'entité de sécurité) de l'utilisateur est intégrée au ticket Kerberos chiffré, qui ne peut être lu
que par le serveur cible et le KDC. Ils sont les seuls à connaître la clé de chiffrement.
Le chiffrement AES128 et AES256 de Kerberos est pris en charge en même temps que NFS sécurisé. En plus de NFS sécurisé,
cela impacte également SMB et LDAP. Ces chiffrements sont désormais pris en charge par défaut par Windows et Linux. Ces
nouveaux chiffrements sont bien plus sécurisés mais c'est le client qui décide ou non de les utiliser. Le serveur se sert de l'entité
de sécurité de l'utilisateur pour créer les informations d'identification de cet utilisateur en interrogeant l'UDS actif. Étant donné
que NIS n'est pas sécurisé, il n'est pas recommandé de l'utiliser avec NFS sécurisé. Il est recommandé d'utiliser Kerberos avec
LDAP ou LDAPS.
26
Contrôle d’accès
NFS sécurisé peut être configuré via Unisphere ou la CLI UEM.
Relations de protocole fichier
Avec Kerberos, les éléments suivants sont obligatoires :
●
●
●
●
DNS : vous devez utiliser un nom DNS à la place des adresses IP
NTP : tous les participants doivent être synchronisés en temps opportun.
UDS : doit être utilisé pour créer les informations d'identification
Nom d'hôte : Kerberos fonctionne avec des noms au lieu d'adresses IP
En fonction de la valeur du nom d'hôte, NFS sécurisé utilise un ou deux SPN. Si le nom d'hôte est au format FQDN (nom de
domaine complet) hôte.domaine :
● Le SPN court est : nfs/host@REALM
● Le SPN long est : nfs/host.domainFQDN@REALM
Si le nom d'hôte n'est pas au format FQDN, seul le SPN court est utilisé.
Comme avec SMB où un serveur SMB peut être joint à un domaine, un serveur NFS peut être joint à un royaume (le terme
Kerberos équivalent au terme Domaine). Pour cela, deux options sont possibles :
● Utiliser le domaine windows configuré, le cas échéant
● Configurez entièrement un royaume Kerberos basé sur le KDC UNIX
Si l'administrateur choisit d'utiliser le domaine Windows configuré, il n'y a rien d'autre à faire. Chaque SPN utilisé par le service
NFS est automatiquement ajouté/supprimé dans le KDC lorsque le serveur SMB est associé/dissocié. Notez que le serveur SMB
ne peut pas être détruit si NFS sécurisé est configuré pour utiliser la configuration SMB.
Si l'administrateur choisit d'utiliser un royaume Kerberos basé sur UNIX, une configuration supplémentaire est nécessaire :
● Nom du royaume : Nom du royaume Kerberos, qui ne contient normalement que des lettres majuscules.
● Configurez entièrement un royaume Kerberos basé sur le KDC UNIX.
Pour garantir qu'un client monte une exportation NFS avec une sécurité spécifique, un paramètre de sécurité, sec, est fourni. Il
indique la sécurité minimale autorisée. Il existe 4 types de sécurité :
● AUTH_SYS : La sécurité standard existante qui n'utilise pas Kerberos. Le serveur approuve les informations d'identification
fournies par le client
● KRB5 : Authentification à l'aide de Kerberos v5
● KRB5i : Authentification Kerberos plus intégrité (signature)
● KRB5p : Authentification Kerberos plus intégrité, plus confidentialité (chiffrement)
Si un client NFS tente de monter une exportation avec une sécurité inférieure à la sécurité minimale configurée, l'accès est
refusé. Par exemple, si l'accès minimal est KRB5i, tout montage utilisant AUTH_SYS ou KRB5 est refusé.
Création des informations d'identification
Lorsqu'un utilisateur se connecte au système, il présente uniquement son entité de sécurité, soit user@REALM, qui est extraite
du ticket Kerberos. Contrairement à la sécurité AUTH_SYS, l'entité de sécurité n'est pas incluse dans la demande NFS. La partie
utilisateur (avant le @) est extraite de l'entité de sécurité, puis utilisée pour rechercher L'UID correspondant dans l'UDS. Le
système utilise cet UID pour créer l'entité de sécurité à l'aide de l'UDS actif, selon une procédure similaire à celle de l'activation
des informations d'identification NFS Extended (sauf que, sans Kerberos, l'UID est fourni directement par la demande).
Si l'entité de sécurité n'est pas mappée dans l'UDS, les informations d'identification de l'utilisateur UNIX par défaut qui ont été
configurées sont utilisées à la place. Si l'utilisateur UNIX par défaut n'est pas défini, les informations d'identification utilisées sont
nobody.
Réplication
Lorsqu'un serveur NAS est la cible d'une réplication, il est possible d'accéder aux données via NFS pour la sauvegarde ou la
reprise après sinistre. NFS sécurisé ne peut pas être utilisé dans ces cas, étant donné que l'utilisation des adresses IP directes
n'est pas compatible avec Kerberos. En outre, le nom de domaine complet (FQDN) ne peut pas être utilisé car il peut être mappé
aux interfaces de production sur la source ou aux interfaces locales sur la destination.
Contrôle d’accès
27
Contrôle d'accès dynamique
Le contrôle d'accès dynamique (DAC) permet aux administrateurs d'appliquer des autorisations et des restrictions de contrôle
d'accès sur les ressources en fonction de règles bien définies pouvant concerner le degré de confidentialité des ressources, la
tâche ou le rôle de l'utilisateur, et la configuration du périphérique qui est utilisé pour accéder à ces ressources.
Le contrôle d'accès basé sur les revendications (CBAC) avec contrôle d'accès dynamique (DAC) est une fonction de Windows
Server 2012 qui permet de définir le contrôle d'accès sur le contrôleur de domaine via un ensemble de stratégies d’accès
central (CAP). Chaque stratégie d'accès central (identifiée par son CAPID) dispose d'un nombre de règles d’accès central (CAR)
associées. Les stratégies CAP peuvent être attribuées à des objets de stratégie de groupe (GPO). Il s'agit du mécanisme
permettant de distribuer des stratégies CAP à chaque serveur de fichiers. La stratégie CAP s'applique à une ressource
spécifique (répertoire ou fichier) déterminée par le CAPID. Lorsqu'un serveur NAS est créé avec les partages Windows (SMB), il
récupère la stratégie CAP et la règle CAR appropriées en cas de liaison avec le domaine.
Chaque règle CAR dispose des attributs suivants :
● Expression cible des ressources
● Liste ACL des autorisations effectives
● Liste ACL des autorisations proposées (facultatif)
L'expression cible des ressources (expression d'applicabilité) est évaluée pour déterminer si la CAR s'applique ou non à une
ressource donnée (par exemple, @Resource.Department != @User.Department). Si cette expression prend la valeur TRUE, la
liste ACL des autorisations effectives est utilisée lors de la vérification d'accès ; dans le cas contraire, la règle est ignorée. La
liste ACL des autorisations proposées permet à l'administrateur de mesurer les effets des modifications proposées à appliquer
aux autorisations effectives. Lorsque l'évaluation des autorisations proposées est activée, toutes les différences détectées entre
les autorisations effectives et les autorisations proposées au cours d'un contrôle d'accès sont consignées dans le fichier log du
serveur.
Un client Windows (Windows Server 2012 ou Windows 8.x) peut être utilisé pour associer une stratégie CAP à des ressources
(répertoires ou fichiers), le cas échéant (facultatif). Lorsque cette opération est effectuée, la stratégie CAP spécifiée est
appliquée par le serveur NAS pour les ressources applicables. Un client Windows peut également permettre d'effectuer la
classification manuelle des ressources (par exemple, en définissant le pays ou le département).
Par défaut, la fonction DAC CBAC est activée sur le système de stockage. Toutefois, une commande de service, svc_dac, vous
permet d'effectuer les opérations suivantes :
● Activer ou désactiver la fonction DAC - en cas de désactivation, la stratégie CAP associée à une ressource est ignorée
(autrement dit, seule la fonction DACL détermine l'accès).
● Activer ou désactiver l'évaluation des autorisations proposées. Chaque règle CAR peut contenir des autorisations proposées
à distribuer aux serveurs de fichiers. Généralement, seules ces autorisations ne sont pas évaluées. La commande svc_dac
peut servir à évaluer ces autorisations. Une fois la fonction activée, toutes les différences entre les autorisations effectives
et les autorisations proposées sont envoyées vers le log du serveur. L'évaluation des autorisations proposées vous permet de
tester en toute sécurité les modifications proposées pour les règles CAR.
● Interroger les stratégies CAP ou les règles CAR associées à un compname du serveur NAS (par nom unique ou ID).
● Ajouter ou supprimer des règles de restauration personnalisées (pour remplacer la règle de restauration par défaut).
● Contrôler les commentaires de consignation fournis par le DAC à des fins de diagnostic.
Pour des informations détaillées sur la commande svc_dac, reportez-vous aux Notes techniques sur les commandes de
maintenance de la gamme EMC Unity.
28
Contrôle d’accès
3
Consignation
Ce chapitre décrit diverses fonctions de consignation implémentées sur le système de stockage.
Sujets :
•
•
Consignation
Options de consignation à distance
Consignation
Le système de stockage conserve les types de logs répertoriés dans le tableau suivant pour le suivi des événements qui
surviennent sur le système.
Tableau 8. Logs
Type de
journal
Description
Log système
Informations affichées dans Unisphere pour signaler aux utilisateurs des événements du système de
stockage exploitables par l'utilisateur. Ces enregistrements sont consignés dans la langue configurée par
défaut pour le système.
REMARQUE : Les événements exploitables par l'utilisateur incluent les événements d'audit. Toutefois,
tous les événements consignés ne s'affichent pas dans l'interface utilisateur graphique. Ces entrées de
journal d'audit ne répondant pas à un certain seuil de gravité sont consignées par le système, mais ne
s'affichent pas dans l'interface utilisateur.
Alerte système
Informations utilisées par le personnel de maintenance pour diagnostiquer ou surveiller l'état ou le
comportement du système de stockage. Ces enregistrements sont consignés en anglais uniquement.
Affichage et gestion des logs
Les fonctions de consignation répertoriées dans le tableau suivant sont disponibles pour les systèmes de stockage.
Tableau 9. Fonctions de consignation
Fonctionnalité
Description
Vidage du log
Lorsque le log du système de stockage atteint deux millions d'entrées, les
500 000 entrées les plus anciennes sont supprimées (compte tenu de leurs date et
heure d'enregistrement) de sorte qu'il n'en reste que 1,5 million. Vous pouvez activer la
consignation à distance de manière à ce que les entrées du log soient téléchargées sur
un nœud réseau distant pour y être archivées ou sauvegardées. Pour plus d’informations,
reportez-vous à la section Consignation , page 29.
Niveaux de consignation
Il est impossible de configurer les niveaux de consignation pour le système de stockage.
Vous ne pouvez les configurer que pour les journaux exportés, comme le décrit la section
Consignation , page 29.
Intégration des alertes
Il est possible d'afficher les informations d'alerte du système de stockage de différentes
façons :
● Affichage des alertes uniquement :
○ Dans Unisphere, accédez à Événements > Alertes.
● Afficher le log des événements :
○ À l'aide de la CLI Unisphere, saisissez la commande uemcli /event/alert/
hist show.
Consignation
29
Tableau 9. Fonctions de consignation (suite)
Fonctionnalité
Description
○ Dans Unisphere, accédez à Système > Service > Logs.
Gestion externe du log
Vous pouvez activer la consignation à distance de manière à ce que les entrées du log
soient téléchargées sur un nœud réseau distant pour y être archivées ou sauvegardées.
Sur ce nœud, vous pouvez utiliser des outils tels que syslog pour filtrer et analyser les
résultats du log. Pour plus d’informations, reportez-vous à la sectionConsignation , page
29.
Synchronisation de l'heure
L'heure de consignation est enregistrée au format GMT d'après l'heure du système de
stockage (laquelle peut être synchronisée sur l'heure réseau locale via un serveur NTP).
Options de consignation à distance
Le système de stockage prend en charge la consignation des messages utilisateur/d’audit vers cinq hôtes distants maximum. Le
système de stockage doit pouvoir accéder à l'hôte distant, et la sécurité du contenu des fichiers log doit être assurée par le biais
de contrôles d'accès réseau ou de la sécurité système au niveau de l'hôte distant.
Par défaut, le système de stockage peut transférer les informations du log sur le port 514 à l'aide du protocole UDP. Les
paramètres de consignation à distance suivants peuvent être définis au moyen de Unisphere. Connectez-vous à Unisphere et
cliquez sur Paramètres > Gestion > Consignation à distance.
● Activez la consignation sur un hôte distant.
● Adresse IP ou nom réseau auquel le système de stockage envoie les informations de consignation à distance.
● Type de messages de log à envoyer. Utilisez le champ Site pour définir le type de message de log. Il est recommandé de
sélectionner les options Messages au niveau utilisateur.
● Niveau de gravité des événements à envoyer à un hôte distant
● Numéro et type de port (UDP ou TCP) à utiliser pour la transmission du log.
Configuration de l'hôte qui recevra les messages de log du système de
stockage
Avant de configurer la consignation à distance pour un système de stockage, vous devez configurer un système distant qui
recevra les messages de consignation provenant du système de stockage. Un administrateur/racine de l’ordinateur récepteur
peut configurer le serveur syslog distant ou le serveur rsyslog qui recevra les informations sur les logs en modifiant le fichier de
configuration de serveur syslog ou rsyslog (syslogng.conf ou rsyslog.conf) sur le système distant.
REMARQUE : Pour plus d'informations sur la configuration et l'exécution d'un serveur syslog distant, consultez la
documentation relative au système d'exploitation exécuté sur le système distant.
30
Consignation
4
Sécurité des communications
Ce chapitre décrit diverses fonctions de sécurité des communications implémentées sur le système de stockage.
Sujets :
•
•
•
•
•
•
•
•
•
•
•
Utilisation des ports
Certificat du système de stockage
Interfaces, services et fonctions du système de stockage compatibles IPv6
Accès à l'interface de gestion du système de stockage à partir d'une adresse IPv6
Configuration de l'interface de gestion via DHCP
Chiffrement et signature du protocole (SMB)
Réflexion de paquets IP
Multitenancy des IP
Prise en charge de la gestion pour FIPS 140-2
Prise en charge de la gestion des communications SSL
Prise en charge de la gestion en mode shell restreint
Utilisation des ports
Les communications avec l'interface Unisphere et la CLI s'effectuent par HTTPS sur le port 443. Les tentatives d'accès à
Unisphere sur le port 80 (par HTTP) sont automatiquement redirigées sur le port 443.
Ports réseau du système de stockage
Ports réseau du système de stockage , page 31 présente l’ensemble des services réseau (et les ports correspondants)
disponibles sur le système de stockage.
Tableau 10. Ports réseau du système de stockage
Service
Protocole
Port
Description
FTP
TCP
21
Le port 21 est le port de contrôle
sur lequel le service FTP écoute les
demandes FTP entrantes.
SFTP
TCP/UDP
22
Autorise les notifications d'alertes via
SFTP (FTP sur SSH). SFTP est un
protocole client/serveur. Les utilisateurs
peuvent effectuer des transferts de
fichiers sur un système de stockage
situé sur le sous-réseau local, via SFTP.
Permet également la connexion de
contrôle FTP en sortie. S'il est fermé,
FTP n'est pas disponible.
SSH/SSHD, VSI
TCP/UDP
22
Autorise l'accès SSH (s'il est activé).
Également utilisé pour le plug-in VSI.
S'il est fermé, les connexions de gestion
utilisant SSH et le plug-in VSI ne sont
pas disponibles.
Mise à jour DNS dynamique
TCP/UDP
53
Utilisé conjointement avec le protocole
DHCP pour transmettre les requêtes
DNS au serveur DNS. S'il est fermé, la
Sécurité des communications
31
Tableau 10. Ports réseau du système de stockage (suite)
Service
Protocole
Port
Description
résolution de noms DNS ne fonctionne
pas.
Client DHCP
UDP
67
Permet au système de stockage d'agir
en tant que client DHCP lors du
processus de configuration initial. Il
transmet les messages du client (le
système de stockage) au serveur DHCP
en vue de l'obtention automatique des
informations sur l'interface de gestion. Il
sert également à configurer le protocole
DHCP pour l'interface de gestion d'un
système de stockage déjà déployé. S'il
est fermé, les adresses IP dynamiques ne
sont pas attribuées à l'aide de DHCP.
Client DHCP
UDP
68
Permet au système de stockage d'agir
en tant que client DHCP lors du
processus de configuration initial. Il
reçoit les messages du serveur DHCP
à destination du client (le système
de stockage) en vue de l'obtention
automatique des informations sur
l'interface de gestion. Il sert également
à configurer le protocole DHCP pour
l'interface de gestion d'un système de
stockage déjà déployé. S'il est fermé,
les adresses IP dynamiques ne sont pas
attribuées à l'aide de DHCP.
HTTP
TCP/UDP
80
Redirection du trafic HTTP vers
Unisphere et la CLI Unisphere. S'il est
fermé, le trafic de gestion vers le port
HTTP par défaut n'est pas disponible.
NAS, VAAI-NAS
TCP
111
Fournit des datastores NAS pour
VMware et est utilisé pour VAAI-NAS.
S'il est fermé, les datastores NAS et
VAAI-NAS ne sont pas disponibles.
Portmapper, rpcbind (infrastructure
réseau)
TCP/UDP
111
Ouvert par le service portmapper ou
rpcbind standard, il s'agit d'un service
réseau du système de stockage auxiliaire.
Il ne peut pas être arrêté. Par définition,
si un système client dispose d'une
connectivité réseau vers le port, il
peut l'interroger. Aucune authentification
n'est effectuée.
NTP
UDP
123
Synchronisation de l'heure NTP. S'il est
fermé, l'heure n'est pas synchronisée
entre les baies.
DCE Remote Procedure Call (DCERPC)
et NDMP
UDP
135
Plusieurs fonctions pour le client
Microsoft. Également utilisé pour NDMP.
Service de noms NETBIOS (SMB)
TCP/UDP
137
Le service de noms NETBIOS est associé
aux services de partage de fichiers SMB
du système de stockage et constitue
l'un des principaux composants de cette
fonction (Wins). S'il est désactivé, ce
port désactive tous les services associés
à SMB.
32
Sécurité des communications
Tableau 10. Ports réseau du système de stockage (suite)
Service
Protocole
Port
Description
Service de datagrammes NETBIOS
(SMB)
UDP
138
Le service de datagrammes NETBIOS
est associé aux services de partage de
fichiers SMB du système de stockage et
constitue l'un des principaux composants
de cette fonction. Seul le service de
navigation est utilisé. S'il est désactivé,
ce port désactive la fonctionnalité de
navigation.
Service de session NETBIOS (SMB)
TCP/UDP
139
Le service de session NETBIOS est
associé aux services de partage de
fichiers SMB du système de stockage et
constitue l'un des principaux composants
de cette fonction. Si les services
SMB sont activés, ce port est ouvert.
Cela est particulièrement nécessaire
pour les versions antérieures du
système d'exploitation Windows (avant
Windows 2000). Les clients autorisés à
accéder aux services SMB du système
de stockage doivent disposer d'une
connectivité réseau vers le port pour
assurer la continuité des opérations.
SNMP Unix Multiplexer
TCP
199
Communications SNMP. S'il est fermé,
les mécanismes d'alerte du système de
stockage reposant sur SNMP ne sont
pas envoyés.
LDAP
TCP/UDP
389
Requêtes LDAP non sécurisées. S'il est
fermé, les requêtes d'authentification
LDAP non sécurisées ne sont pas
disponibles. La configuration du service
LDAP sécurisé est une solution
alternative.
Protocole SLP (Service Location
Protocol)
TCP/UDP
427
Permet aux hôtes (ou autres ressources)
de découvrir les services disponibles
fournis par un système de stockage.
HTTPS
TCP/UDP
443
Trafic HTTP sécurisé vers Unisphere
et la CLI Unisphere. S'il est fermé, la
communication avec la baie n'est pas
possible.
REMARQUE : Dans le cas de SMIS, il sert à la gestion de la baie. À
noter cependant que le port 5989
est dédié par défaut à cette tâche.
SMB
TCP
445
SMB (sur le contrôleur de domaine) et
port de connectivité SMB pour clients
Windows 2000 et supérieurs. Les clients
autorisés à accéder aux services SMB
du système de stockage doivent disposer
d'une connectivité réseau vers le port
pour assurer la continuité des opérations.
La désactivation de ce port désactive
tous les services associés à SMB. Si
le port 139 est également désactivé, le
partage de fichiers SMB est désactivé.
Sécurité des communications
33
Tableau 10. Ports réseau du système de stockage (suite)
Service
Protocole
Port
Description
DHCP (IPv6 uniquement)
UDP
546
Client DHCP (v6). S'il est fermé, les
adresses IP dynamiques ne sont pas
attribuées à l'aide de DHCP.
DHCP (IPv6 uniquement)
UDP
547
Serveur DHCP (v6). S'il est fermé, les
adresses IP dynamiques ne sont pas
attribuées à l'aide de DHCP.
LDAPS
TCP/UDP
636
Requêtes LDAP sécurisées. S'il est
fermé, l'authentification LDAP sécurisée
n'est pas disponible.
FTP
TCP
1024:65535
Utilisé pour le transfert FTP passif. Le
port 1024:65535 est lié aux données,
tandis que le port 1025:65535 est liée à
la gestion.
mountd (NFS)
TCP/UDP
1234
Utilisé pour le service mount, qui est
un composant principal du service NFS
(versions 2, 3 et 4) et un composant
important de l'interaction entre le SP et
le serveur NAS.
NAS, VAAI-NAS
TCP
2049
Fournit des datastores NAS pour
VMware et est utilisé pour VAAI-NAS.
S'il est fermé, les datastores NAS et
VAAI-NAS ne sont pas disponibles.
NFS
TCP/UDP
2049
Utilisé pour fournir des services NFS.
UDI SSH
TCP
2222
Redirige le trafic à partir du port 22 pour
l'eth* du périphérique.
iSCSI
TCP
3260
Permet l'accès aux services iSCSI. S'il
est fermé, les services iSCSI en mode
fichier ne sont pas disponibles.
NFS
TCP/UDP
4 000
Utilisé pour fournir des services
NFS statd. statd surveille l’état
de verrouillage des fichiers NFS. Il
fonctionne conjointement avec le service
lockd afin d’offrir des fonctions de
restauration après sinistre pour NFS. S'il
est fermé, les services NAS statd ne
sont pas disponibles.
NFS
TCP/UDP
4001
Utilisé pour fournir des services NFS
lockd. lockd est le processus de
verrouillage de fichiers NFS. Il traite les
demandes de verrouillage émanant des
clients NFS et fonctionne conjointement
avec le processus statd. S'il est fermé,
les services NAS lockd ne sont pas
disponibles.
NFS
TCP/UDP
4002
Utilisé pour fournir des services NFS
rquotad. Le processus rquotad fournit
des informations de quota aux clients
NFS qui ont monté un système de
fichiers. S'il est fermé, les services NAS
rquotad ne sont pas disponibles.
SMB
UDP
4003
Permet de consulter ou modifier la liste
de contrôle d’accès SMB à partir d’un
34
Sécurité des communications
Tableau 10. Ports réseau du système de stockage (suite)
Service
Protocole
Port
Description
hôte Linux avec les outils emcgetsd ou
emcsetsd.
PAX (Portable Archive Interchange)
(services de sauvegarde)
TCP
4658
● PAX est un protocole d'archivage de
système de stockage qui utilise les
formats de bande UNIX standard.
● Ce service doit établir une liaison
avec plusieurs interfaces réseau
internes. Par conséquent, il se
connecte également à l'interface
externe. Les demandes entrantes
émanant du réseau externe sont
cependant rejetées.
● Les informations générales sur PAX
figurent dans la documentation
EMC correspondante relative aux
sauvegardes. Cette rubrique contient
plusieurs modules techniques qui
présentent différents outils de
sauvegarde.
Services de réplication
TCP
5080
Associé aux services de réplication.
Services de réplication
TCP
5085
Associé aux services de réplication.
KMIP (Key Management Interoperability
Protocol)
TCP
5696
Pour KMIP, prend en charge la gestion
des clés externes à l'aide de KMIP. En
cas de fermeture, les services KMIP ne
sont pas disponibles.
SMI-S
TCP
5989
Dans le cas de SMI-S, il sert à la
gestion de la baie. Le client SMI-S
se connecte à la baie via le port
HTTPS SMI-S TCP 5989. Le Guide
de programmation du fournisseur SMIS fournit plus d'informations sur la
configuration de ce service.
VASA
TCP
8443
Fournisseur VASA pour VASA 2.0.
VASA
TCP
8444
Fournisseur VASA pour VASA 1.0.
RCP (services de réplication)
TCP
8888
Utilisé par le réplicateur (sur le côté
secondaire). Le réplicateur le laisse
ouvert dès lors que certaines données
doivent être répliquées. Une fois
démarré, ce service ne peut pas être
arrêté.
NDMP
TCP
10 000
● Vous permet de contrôler la
restauration et la sauvegarde d'un
serveur Network Data Management
Protocol (NDMP) via une application
de sauvegarde réseau, sans
nécessiter l'installation d'un logiciel
tiers sur le serveur. Dans un
système de stockage, le serveur NAS
fonctionne comme un serveur NDMP.
● Le service NDMP peut être désactivé
si la sauvegarde sur bande NDMP
n'est pas utilisée.
● Le service NDMP est authentifié
à l'aide d'un nom d'utilisateur
Sécurité des communications
35
Tableau 10. Ports réseau du système de stockage (suite)
Service
Protocole
Port
Description
et d'un mot de passe. Le nom
d'utilisateur peut être configuré.
La documentation NDMP décrit
comment configurer le mot de passe
pour différents environnements.
NDMP
TCP
10500:10531
Pour les sessions de sauvegarde/
restauration tridirectionnelle, les
serveurs NAS utilisent les ports 10500 à
10531.
IWD
Interne
60260
Processus de configuration initiale IWD.
S'il est fermé, l'initialisation de la baie
n'est pas disponible via le réseau.
Ports que le système de stockage peut contacter
Le système de stockage fonctionne comme un client réseau dans de nombreuses situations, par exemple lorsqu'il communique
avec un serveur LDAP. Dans ces cas, le système de stockage initie la communication et l'infrastructure réseau doit prendre en
charge ces connexions. Connexions réseau pouvant être initiées par le système de stockage , page 36 décrit les ports auxquels
un système de stockage doit avoir accès pour que le service correspondant fonctionne correctement. Cela inclut l'interface de
ligne de commande Unisphere.
Tableau 11. Connexions réseau pouvant être initiées par le système de stockage
Service
Protocole
Port
Description
FTP
TCP
20
Port utilisé pour les transferts de données FTP. Ce port peut
être ouvert par l'activation de FTP, comme décrit à la ligne
suivante. L'authentification est effectuée sur le port 21 et
définie par le protocole FTP.
FTP/SFTP
TCP
21
Autorise les notifications d'alertes via SFTP (FTP sur SSH).
SFTP est un protocole client/serveur. Les utilisateurs peuvent
effectuer des transferts de fichiers sur un système de
stockage situé sur le sous-réseau local, via SFTP. Permet
également la connexion de contrôle FTP en sortie. S'il est
fermé, FTP n'est pas disponible.
SSH/SSHD, VSI
TCP
22
Autorise l'accès SSH (s'il est activé). Également utilisé pour le
plug-in VSI. S'il est fermé, les connexions de gestion utilisant
SSH et le plug-in VSI ne sont pas disponibles.
SMTP
TCP
25
Permet au système d'envoyer des e-mails. S'il est fermé, les
notifications par e-mail ne sont pas disponibles.
DNS
TCP/UDP
53
Requêtes DNS. S'il est fermé, la résolution de noms DNS ne
fonctionne pas.
DHCP
UDP
67-68
Permet au système de stockage de faire office de client
DHCP. S'il est fermé, les adresses IP dynamiques ne sont pas
attribuées à l'aide de DHCP.
HTTP
TCP
80
Redirection du trafic HTTP vers Unisphere et la CLI
Unisphere. S'il est fermé, le trafic de gestion vers le port
HTTP par défaut n'est pas disponible.
Kerberos
TCP/UDP
88
Fournit un ticket Kerberos en sortie. S'il est fermé,
l'authentification Kerberos et tous les protocoles qui l'utilisent,
par exemple SMB, LDAP, GPO, secNFS, etc., ne sont pas
disponibles.
36
Sécurité des communications
Tableau 11. Connexions réseau pouvant être initiées par le système de stockage (suite)
Service
Protocole
Port
Description
Portmapper,
rpcbind
(infrastructure
réseau)
TCP/UDP
111
Ouvert par le service portmapper ou rpcbind standard, il
s'agit d'un service réseau du système de stockage auxiliaire.
Il ne peut pas être arrêté. Par définition, si un système
client dispose d'une connectivité réseau vers le port, il peut
l'interroger. Aucune authentification n'est effectuée.
NTP
UDP
123
Synchronisation de l'heure NTP. S'il est fermé, l'heure n'est
pas synchronisée entre les baies.
Service de noms
NETBIOS (SMB)
TCP/UDP
137
Le service de noms NETBIOS est associé aux services de
partage de fichiers SMB du système de stockage et constitue
l'un des principaux composants de cette fonction (Wins). S'il
est désactivé, ce port désactive tous les services associés à
SMB.
Service de
datagrammes
NETBIOS (SMB)
UDP
138
Le service de datagrammes NETBIOS est associé aux services
de partage de fichiers SMB du système de stockage et
constitue l'un des principaux composants de cette fonction.
Seul le service de navigation est utilisé. S'il est désactivé, ce
port désactive la fonctionnalité de navigation.
Service de session
NETBIOS (SMB)
TCP/UDP
139
Le service de session NETBIOS est associé aux services de
partage de fichiers SMB du système de stockage et constitue
l'un des principaux composants de cette fonction. Si les
services SMB sont activés, ce port est ouvert. Cela est
particulièrement nécessaire pour les versions antérieures du
système d'exploitation Windows (avant Windows 2000). Les
clients autorisés à accéder aux services SMB du système de
stockage doivent disposer d'une connectivité réseau vers le
port pour assurer la continuité des opérations.
LDAP
TCP/UDP
389 a
Requêtes LDAP non sécurisées. S’il est fermé, les requêtes
d’authentification LDAP non sécurisées ne sont pas
disponibles. La configuration du service LDAP sécurisé est une
solution alternative.
Protocole SLP
(Service Location
Protocol)
TCP/UDP
427
Permet aux hôtes (ou autres ressources) de découvrir les
services disponibles fournis par un système de stockage.
HTTPS
TCP
443
Trafic HTTPS vers Unisphere et l'interface de ligne de
commande Unisphere, et pour les services sécurisés à
distance si la fonction ESRS est activée et Integrated ESRS
est configurée sur le système de stockage. S'il est fermé, la
communication avec la baie n'est pas possible.
Kerberos
TCP/UDP
464
Permet la modification et la définition du mot de passe
Kerberos. S'il est fermé, SMB est affecté.
Syslog distant
UDP
514 a
Syslog - Consigner des messages du système sur un hôte
distant. Vous pouvez configurer le port hôte utilisé par le
système.
LDAPS
TCP/UDP
636 a
Requêtes LDAP sécurisées. S’il est fermé, l’authentification
LDAP sécurisée n’est pas disponible.
VMware
TCP
843
VMawareness - Permet la communication du SDK VMware
avec vSphere. S'il est fermé, la découverte VCenter/ESX
n'est pas disponible.
FTP
TCP
1024:65535
Fournit la connexion de contrôle FTP en sortie. S'il est fermé,
FTP n'est pas disponible.
SOCKS
TCP
1080
Le port 1080 est le port utilisé par défaut lorsqu'aucun port
n'est spécifié et que la fonction ESRS est activée et que
les services ESRS intégrés sont configurés sur le système de
Sécurité des communications
37
Tableau 11. Connexions réseau pouvant être initiées par le système de stockage (suite)
Service
Protocole
Port
Description
stockage. De plus, un pare-feu est utilisé entre le système de
stockage et un serveur proxy. Si le port par défaut ou spécifié
par l'utilisateur est fermé, la communication avec la baie via le
port sera impossible.
mountd (NFS)
TCP/UDP
1234
Utilisé pour le service mount, qui est un composant principal
du service NFS (versions 2, 3 et 4) et un composant
important de l'interaction entre le SP et le serveur NAS.
NFS
TCP/UDP
2049
Utilisé pour fournir des services NFS.
HTTP
TCP
3128
Le port 3128 est le port utilisé par défaut lorsqu'aucun port
n'est spécifié et que la fonction ESRS est activée et que
les services ESRS intégrés sont configurés sur le système de
stockage. De plus, un pare-feu est utilisé entre le système de
stockage et un serveur proxy. Si le port par défaut ou spécifié
par l'utilisateur est fermé, la communication avec la baie via le
port sera impossible.
iSNS
TCP
3205
Utilisé pour envoyer les enregistrements iSNS (Internet
storage naming service) au serveur iSNS.
iSCSI
TCP
3260
Permet l'accès aux services iSCSI. S'il est fermé, les services
iSCSI en mode fichier ne sont pas disponibles.
LDAP
TCP
3268
Les requêtes LDAP non sécurisées sur le catalogue global,
utilisées pour l’authentification au niveau Forest. S’il est
fermé, l’authentification au niveau Forest non sécurisée n’est
pas disponible. La configuration du service LDAP sécurisé sur
le catalogue global est une solution alternative.
LDAPS
TCP
3269
Les requêtes LDAP sécurisées sur le catalogue global,
utilisées pour l’authentification au niveau Forest. S’il est
fermé, l’authentification au niveau Forest sécurisée n’est pas
disponible.
NFS
TCP/UDP
4 000
Utilisé pour fournir des services NFS statd. statd surveille
l’état de verrouillage des fichiers NFS. Il fonctionne
conjointement avec le service lockd afin d’offrir des fonctions
de restauration après sinistre pour NFS.
NFS
TCP/UDP
4001
Utilisé pour fournir des services lockd NFS. lockd est le
processus de verrouillage de fichiers NFS. Il traite les
demandes de verrouillage émanant des clients NFS et
fonctionne conjointement avec le processus statd.
NFS
TCP/UDP
4002
Utilisé pour fournir des services NFS rquotad. Le processus
rquotad fournit des informations de quota aux clients NFS qui
ont monté un système de fichiers.
VASA
TCP
5080
Ce port est utilisé par le protocole VASA.
KMIP
TCP
5696
Pour KMIP, prend en charge la gestion des clés externes à
l'aide de KMIP. En cas de fermeture, les services KMIP ne
sont pas disponibles.
HTTPS
TCP
8443
Trafic HTTPS pour le support sécurisé à distance si la fonction
ESRS est activée et Integrated ESRS est configurée sur le
système de stockage. S'il est fermé, il y aura une diminution
considérable des performances du support à distance, ce
qui aura un impact direct sur le temps de résolution des
problèmes sur le système de stockage Unity.
REST
TCP
9443
Utilisé pour envoyer des notifications de service vers un
serveur de passerelle ESRS lorsque ESRS est activée et
Centralized ESRS est configurée sur le système de stockage.
38
Sécurité des communications
Tableau 11. Connexions réseau pouvant être initiées par le système de stockage (suite)
Service
Protocole
Port
Description
Common AntiVirus
Agent (CAVA)
TCP
12288 b
Utilisé pour fournir une solution de protection antivirus CAVA
aux clients utilisant un serveur NAS. En cas de fermeture, la
solution antivirus CAVA ne sera pas disponible.
IWD
Interne
60260
Processus de configuration initiale IWD. S'il est fermé,
l'initialisation de la baie n'est pas disponible via le réseau.
a.
b.
Les numéros de port LDAP et LDAPS peuvent être remplacés à partir de Unisphere lors de la configuration des services
d'annuaire. Le numéro de port par défaut s'affiche dans une zone de saisie et peut être remplacé par l'utilisateur. De
même, le numéro de port Syslog distant peut être remplacé à partir de Unisphere.
12288 est le numéro de port par défaut dans le fichier viruschecker.cfg, qui est téléchargé sur le système de stockage. Si
un numéro de port différent a été configuré pour CAVA, ce port doit être ouvert pour CAVA au lieu du port 12288. Pour
plus d’informations sur CAVA, consultez la page à l’adresse dell.com/support.
Certificat du système de stockage
Le système de stockage génère automatiquement un certificat auto-signé lors de sa première initialisation. Ce certificat est
conservé à la fois en NVRAM et sur la LUN back-end. Il est ensuite présenté aux clients qui essaient de se connecter au système
de stockage par l'intermédiaire du port de gestion.
Le certificat est configuré pour expirer après 3 ans. Toutefois, le système de stockage le régénère un mois avant sa
date d'expiration. Vous pouvez par ailleurs télécharger un nouveau certificat à l'aide de la commande de maintenance
svc_custom_cert. Cette commande installe le certificat SSL spécifié au format PEM en vue de son utilisation avec l’interface
de gestion Unisphere. Pour plus d'informations sur cette commande de maintenance, consultez le document Notes techniques
sur les commandes de maintenance. Vous ne pouvez pas afficher le certificat via Unisphere ou la CLI Unisphere. Il est
cependant possible de le visualiser au moyen d'un client de type navigateur ou d'un outil Web qui tente de se connecter au port
de gestion.
REMARQUE : Si la baie est en mode FIPS et qu'un certificat est généré hors baie, outre le codage PEM du certificat, la clé
privée doit être au format PKCS#1. Vous pouvez utiliser la commande openssl pour effectuer cette conversion. Une fois les
fichiers .cer et .pk générés, cette étape supplémentaire est obligatoire si le certificat est utilisé sur une baie en mode FIPS.
Pour renforcer la sécurité, certaines entreprises utilisent le chaînage de certificats d'AC. Une chaîne de certificats relie entre eux
plusieurs certificats d'AC. Le certificat d'AC principal correspond au certificat racine qui figure à la fin de la chaîne de certificats
d'AC. Dans la mesure où le système a besoin de la chaîne de certificats complète pour vérifier l'authenticité d'un certificat reçu,
demandez à l'administrateur du serveur d'annuaire si la méthode de chaînage de certificats est utilisée. Si tel est le cas, vous
devez concaténer tous les certificats appropriés dans un seul fichier et télécharger cette version. Le certificat doit être codé au
format PEM/Base64 et utiliser le suffixe .cer.
Remplacement d’un certificat auto-signé du système de stockage
avec des certificats signés provenant d’une autorité de
certification locale
Avant de pouvoir télécharger de nouveaux certificats pour le système de stockage à partir d’une autorité de certification locale
afin de remplacer les certificats SSL auto-signés Unisphere existants, vous devez procéder comme suit :
1. Créez une clé privée sur le processeur de stockage (SP).
REMARQUE : Par exemple :
22:59:02 service@unknown spa:~/openssl> openssl genrsa -des3 -out unitycert.key
-passout pass:emcemc
Generating RSA private key, 2048 bit long modulus
............................+++
..............................................................................+++
e is 65537 (0x10001)
Sécurité des communications
39
2. Supprimez la phrase de passe de la clé sur le SP. Par exemple :
22:59:08 service@unknown spa:~/openssl> openssl rsa -in <keywithpass.key> -passin
pass:emcemc -out <newkeywithnopass.pk>
REMARQUE : Cette étape est très importante. Si la phrase secrète n’est pas retirée de la clé, le message d’erreur
suivant s’affiche :
Could not process private key encrypted with passphrase. Please strip passphrase
from the private key or re-generate cert without passphrase.
3. Demandez une CSR sur le SP.
REMARQUE : Par exemple :
22:59:12 service@unknown spa:~/openssl> openssl req -new -sha256 -key unitycert.pk
-out unitycert.csr -days 1825
-subj '/C=US/ST=MA/L=Sarasota/O=MyCust/CN=10.0.0.1'
Ici, -subj ’/C=US/ST=MA/L=Sarasota/O=MyCust/CN=10.0.0.1’ est un exemple, vous devez le modifier pour
qu’il corresponde à votre environnement.
4. Obtenez la CSR signée par votre CA (serveur Windows CA, serveur Openssl CA ou autre serveur CA). Voici des exemples
d’envoi d’une CSR à un serveur CA pour signature, par les moyens suivants :
● Imprimez la CSR à l’aide de la commande cat, copiez-la ou collez-la dans votre bloc-notes local et nommez-la
unitycert.csr.
23:00:01 service@unknown spa:~/openssl> cat unitycert.csr
-----BEGIN CERTIFICATE REQUEST----MIICljCCAX4CAQAwUTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1BMREwDwYDVQQH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-----END CERTIFICATE REQUEST----● Téléchargez la CSR par protocole SCP (Secure Copy Protocol).
REMARQUE : Pour télécharger les fichiers CSR à l’aide du protocole SCP, utilisez un outil tiers (par exemple,
WinSCP) pour vous connecter à l’interface IP de gestion Unity (nom d’utilisateur : service), puis copiez le fichier
unitycert.csr sur l’ordinateur local.
5. Une fois que vous avez obtenu le certificat signé du serveur CA, téléchargez-le sur le SP, à l’aide d’une application ou
d’une commande, telle que Secure Copy (SCP), et enregistrez son nom sous la forme unitycert.crt (correspondant à
unitycert.pk).
6. Exécutez la commande de maintenance svc_custom_cert pour installer la clé et le certificat.
REMARQUE : Par exemple :
$ svc_custom_cert unitycert
Example:
service@spa spa:~> svc_custom_cert pod6 Successfully installed custom certificate
files. Restarting web server ...
Unsupported
Sun May 22 05:37:48 2016:7645\0x7f44ba3e27c0:32:Module CIC/1.1.10.6 loaded
REMARQUE : Une fois que la commande de maintenance svc_custom_cert s’est exécutée correctement et que vous
avez vérifié qu’elle fonctionne, par exemple, en vous connectant à Unisphere et en vérifiant le certificat associé à la
connexion, vous devez supprimer les fichiers de certificat et la clé privée du système de stockage.
40
Sécurité des communications
Interfaces, services et fonctions du système de
stockage compatibles IPv6
Vous pouvez configurer les interfaces d'un système et attribuer des adresses IPv6 (Internet Protocol version 6) aux différents
services et fonctions. La liste suivante répertorie les fonctions prenant en charge le protocole IPv6 :
●
●
●
●
Interfaces (SF, iSCSI) : allocation statique d'une adresse IPv4 ou IPv6 à une interface.
Hôtes : attribution d'un nom de réseau, d'une adresse IPv4 ou d'une adresse IPv6 à un hôte.
Routes : configuration d'une route pour le protocole IPv4 ou IPv6.
Diagnostics : exécution d'une commande de diagnostic ping depuis la CLI sur une adresse de destination IPv4 ou IPv6.
Dans Unisphere, sélectionnez Paramètres > Accès > Routage > Commande ping/traceroute pour accéder à l'écran de la
commande Ping/traceroute qui prend aussi en charge les adresses de destination IPv6.
Tous les composants du système de stockage prennent en charge IPv4, et la plupart prennent en charge IPv6. Prise en charge
d'IPv6 par type de paramètre et composant , page 41 indique la disponibilité de la prise en charge d'IPv6 par type de paramètre
et composant :
Tableau 12. Prise en charge d'IPv6 par type de paramètre et composant
Type de paramètre
Composant
Prise en charge d'IPv6
Paramètres de gestion Unisphere
Port de gestion
Oui
Serveur DNS (Domain Name System)
Oui
Serveur NTP (Network Time Protocol)
Oui
Serveur de consignation à distance
Oui
Serveur LDAP
No
Microsoft Exchange
Oui
Datastore VMware (NFS)
Oui
Datastore VMware (VMFS)
Oui
Datastore Hyper-V
Oui
Destinations de trap SNMP
Oui
Serveur SMTP
Oui
EMC Secure Remote Services (ESRS)
No
Serveur iSCSI
Oui
Serveur de dossiers partagés
Oui
Serveur NIS (Network Information
Service) (pour serveurs NAS NFS)
Oui
Serveur Active Directory (pour serveurs
NAS SMB)
Oui
Serveur iSNS (Internet Storage Service)
Oui
Destinations PING
Oui
Log distant
Oui
LDAP
Oui
Paramètre de configuration hôte
Unisphere
Paramètre d'alerte Unisphere
Paramètre du serveur de stockage
Autre
Norme d'adressage IPv6
IPv6 (Internet Protocol version 6) est une norme d'adressage IP développée par l’IETF (Internet Engineering Task Force) pour
compléter et, à terme, remplacer la norme d'adressage IPv4 actuellement utilisée par la plupart des services Internet.
Sécurité des communications
41
IPv4 utilise des adresses IP de 32 bits, soit environ 4,3 milliards d'adresses possibles. Avec la recrudescence des internautes
et des périphériques reliés à Internet, l'espace d'adressage IPv4 disponible est devenu insuffisant. Le protocole IPv6 résout le
problème de pénurie d'adresses, car il utilise des adresses sur 128 bits, soit un total d'environ 340 trillions d'adresses. Il remédie
également à d'autres problèmes liés à l'IPv4, comme la mobilité, la configuration automatique et la capacité globale d'extension.
Une adresse IPv6 est une valeur hexadécimale contenant huit champs de 16 bits séparés par le signe deux-points :
hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh
Chaque champ d'une adresse IPv6 est composé de chiffres compris entre 0 et 9, ou de lettres allant de A à F.
Pour en savoir plus, consultez les informations relatives à la norme IPv6 (RFC 2460) sur le site Web de l’IETF (https://
www.ietf.org).
Accès à l'interface de gestion du système de stockage
à partir d'une adresse IPv6
Lorsque vous définissez des connexions de gestion dans le système de stockage, vous pouvez configurer le système pour qu'il
accepte les types d'adresses IP suivants :
● adresses IPv6 (Internet Protocol version 6) statiques, adresses IPv4 obtenues via DHCP et adresses IPv4 statiques ;
● adresses IPv4 uniquement.
Vous pouvez attribuer les adresses IPv6 à l'interface de gestion de manière statique. L'adresse IPv6 de l'interface de gestion
peut être définie sur deux modes : manuelle/statique ou désactivée. La désactivation d'IPv6 ne supprime pas la liaison entre
le protocole et l'interface. La commande de désactivation supprime toute adresse IPv6 monodiffusion attribuée à l'interface de
gestion si bien que le système de stockage ne répond plus aux demandes envoyées sur IPv6. Par défaut, la fonction IPv6 est
désactivée.
Après l'installation, le câblage et la mise sous tension du système, vous devez attribuer une adresse IP à l'interface de gestion
du système de stockage. Si le système de stockage ne fait pas partie d'un réseau dynamique ou si vous préférez lui attribuer
une adresse IP statique de façon manuelle, vous devez télécharger, installer et exécuter le logiciel Connection Utility. Pour plus
d’informations sur Connection Utility, reportez-vous à la section Exécution de Connection Utility , page 43.
Les demandes entrantes adressées au système de stockage sur IPv6 via l'interface de gestion sont prises en charge Vous
pouvez configurer l'interface de gestion d'un système de stockage pour qu'elle fonctionne dans un environnement exclusivement
IPv4 ou IPv6, ou bien mixte. Il est également possible de gérer le système de stockage à l'aide de l'interface utilisateur et de
l'interface de ligne de commande (CLI) Unisphere.
Les services sortants, tels que NTP et DNS, prennent en charge l'adressage IPv6 au moyen d'adresses IPv6 explicites ou bien de
noms DNS. Si un nom DNS est résolu à la fois en adresse IPv6 et IPv4, le système de stockage communique avec le serveur sur
IPv6.
Les commandes CLI set et show de l'interface de réseau de gestion qui sont utilisées pour gérer les interfaces de gestion
comprennent les attributs relatifs à IPv6. Pour plus d'informations sur ces commandes et attributs de l'interface de réseau de
gestion, consultez le Guide d'utilisation de l'interface de ligne de commande Unisphere.
Configuration de l'interface de gestion via DHCP
Après l'installation, le câblage et la mise sous tension du système, vous devez attribuer une adresse IP à l'interface de gestion du
système de stockage. Si le système de stockage fonctionne dans un réseau dynamique comprenant des serveurs DHCP et DNS,
l'adresse IP de gestion peut être attribuée de manière automatique.
REMARQUE : Si vous n'utilisez pas le système de stockage dans un réseau dynamique ou que vous préférez lui attribuer
une adresse IP statique de façon manuelle, vous devez installer et exécuter le logiciel Connection Utility. Pour plus
d'informations sur Connection Utility, reportez-vous à la section Exécution de Connection Utility , page 43.
La procédure de configuration réseau appropriée comprend la définition de la plage d'adresses IP disponibles, des masques de
sous-réseau corrects, ainsi que des adresses de passerelles et de serveurs de noms. Pour plus d'informations sur la configuration
de serveurs DHCP et DNS, consultez votre documentation réseau.
DHCP est un protocole utilisé pour attribuer des adresses IP dynamiques aux périphériques d'un réseau. Il vous permet de gérer
les adresses IP depuis un serveur centralisé et d'attribuer automatiquement une adresse IP unique à chaque nouveau système
de stockage rattaché au réseau de votre entreprise. Ce système d'adressage dynamique simplifie l'administration réseau, car le
logiciel assure le suivi des adresses IP à la place de l'administrateur.
42
Sécurité des communications
Le serveur DNS utilise le protocole IP pour convertir les noms de domaine en adresses IP. Par opposition aux adresses IP
numériques, les noms de domaine sont alphabétiques, ce qui les rend généralement plus faciles à mémoriser. Un réseau IP
reposant sur des adresses IP, chaque fois que vous utilisez un nom de domaine, le serveur DNS le convertit en adresse IP
correspondante. Par exemple, le nom de domaine www.Javanet.com équivaut à l'adresse IP 209.94.128.8.
Aucune information administrative, telle que noms d'utilisateur ou mots de passe, n'est échangée lors de la configuration
DHCP/DNS dynamique. La configuration des éléments IP de gestion (préférence DHCP, serveurs DNS et NTP) est régie par
le framework de sécurité Unisphere existant. Les événements DNS et DHCP, comme l'obtention d'une nouvelle adresse IP à
l'expiration du bail, sont consignés dans des logs d'audit du système de stockage. Si la configuration de l'adresse IP de gestion
du système de stockage n'est pas configurée via DHCP, aucun port réseau supplémentaire n'est ouvert.
Les adresses IP dynamiques (DHCP) ne doivent pas être utilisées pour les composants des serveurs ESRS (Services à distance
sécurisés EMC, Édition virtuelle), des serveurs Policy Manager ou des périphériques gérés.
REMARQUE : Si vous utilisez le protocole DHCP pour attribuer des adresses IP aux composants ESRS (serveurs ESRS VE,
Policy Manager ou périphériques gérés), des adresses IP statiques doivent leur être définies. Les attributions d'adresses IP
utilisées par les périphériques EMC ne doivent pas expirer. EMC vous recommande d'attribuer des adresses IP statiques à
ces périphériques que vous souhaitez faire gérer par ESRS.
Exécution de Connection Utility
REMARQUE : Si le système de stockage fonctionne dans un environnement réseau dynamique comprenant des serveurs
DHCP et DNS, vous n'avez pas besoin d'utiliser le logiciel Connection Utility. Une adresse IP dynamique (IPv4 uniquement)
peut être automatiquement attribuée à l’interface de gestion du système de stockage. Lorsqu’un système de stockage
utilise une adresse IP statique, celle-ci lui est associée manuellement via le logiciel Connection Utility. Le problème, avec les
adresses statiques, est qu'il suffit d'une simple faute d'inattention pour que la même adresse de gestion IP soit attribuée
par erreur à deux systèmes de stockage. Cela crée un conflit susceptible d'entraîner la perte de la connectivité réseau.
L'emploi de DHCP pour attribuer des adresses IP de façon dynamique réduit le risque de conflits. Les systèmes de stockage
configurés pour l'attribution d'adresses IP via DHCP n'ont pas besoin d'adresses IP statiques.
Le logiciel d’installation Connection Utility est disponible sur la page produit de votre système de stockage. Consultez le site
de support (inscription obligatoire) à l’adresse suivante : dell.com/support. Une fois le logiciel téléchargé, installez-le sur un
hôte Windows. Si vous exécutez Connection Utility à partir d'un ordinateur situé sur le même sous-réseau que le système de
stockage, Connection Utility découvre automatiquement tout système de stockage non configuré. Si vous exécutez Connection
Utility sur un autre sous-réseau, vous pouvez enregistrer la configuration sur une clé USB, puis la transférer sur le système de
stockage. Si le système de stockage se trouve sur un sous-réseau différent de celui de l'hôte qui exécute le logiciel Connection
Utility, vous pouvez sélectionner cette option pour configurer et enregistrer manuellement les informations de nom d'hôte et de
réseau IP sur un lecteur USB sous la forme d'un fichier texte. Ensuite, vous pouvez insérer le disque USB dans un SP, ce qui
définira automatiquement les informations de nom d'hôte et de réseau IP.
REMARQUE : Vous ne pouvez pas modifier l'adresse IP de gestion lorsque les deux processeurs de stockage (SP) sont en
Mode maintenance.
Après avoir exécuté Connection Utility et transféré la configuration sur votre système de stockage, vous pouvez vous connecter
à ce dernier via un navigateur Web à partir de l'adresse IP que vous avez attribuée à l'interface de gestion du système de
stockage :
Lorsque vous vous connectez au système de stockage pour la première fois, l'Assistant Configuration initiale démarre.
L'Assistant Configuration initiale vous permet de procéder à la configuration initiale du système de stockage pour créer des
ressources de stockage.
REMARQUE : Pour plus d'informations concernant le logiciel Connection Utility, reportez-vous au Guide d'installation de la
gamme Unity.
Chiffrement et signature du protocole (SMB)
La prise en charge du protocole SMB 3.0 et de Windows 2012 sur le système de stockage permet aux hôtes compatibles
SMB de bénéficier de fonctions de chiffrement SMB. Le chiffrement SMB assure l'accès sécurisé aux données des partages
de fichiers SMB. Il garantit la sécurité des informations sur les réseaux non approuvés grâce à un chiffrement de bout en
bout des données SMB en transit entre la baie et l'hôte. Les données sont protégées des attaques de type écoute électronique/
espionnage sur les réseaux non approuvés.
Sécurité des communications
43
Le chiffrement SMB peut être configuré pour chaque partage. Une fois le chiffrement activé sur un partage, tout client SMB3
doit chiffrer l'ensemble des demandes liées au partage. Sinon, l'accès au partage lui est refusé.
Pour activer le chiffrement SMB, définissez l’option Chiffrement du protocole dans les propriétés du partage SMB avancées
dans Unisphere ou définissez-le via les commandes CLI create et set pour les partages SMB. Aucun paramétrage n'est requis
sur le client SMB.
REMARQUE : Pour plus d'informations sur la définition du chiffrement SMB, consultez l'aide en ligne de Unisphere et le
Guide d'utilisation de l'interface de ligne de commande Unisphere.
SMB permet également la validation de l'intégrité des données (signature). Ce mécanisme permet de s'assurer qu'un paquet n'a
pas été intercepté, modifié ou rediffusé. La signature SMB ajoute une signature à chaque paquet et garantit qu'un tiers n'a pas
changé les paquets.
Pour utiliser la signature SMB, cette fonction doit être activée sur le client et le serveur engagés dans une transaction. Par
défaut, les contrôleurs de domaine Windows Server exigent que les clients utilisent la signature SMB. Pour les domaines
Windows Server (Windows 2000 et versions ultérieures), la signature SMB est définie à l'aide d'une stratégie d'objet de
stratégie de groupe (GPO). Pour Windows XP, les services de GPO pour la signature SMB ne sont pas disponibles. Vous devez
utiliser les paramètres du Registre Windows.
REMARQUE : La configuration de la signature SMB via GPO a une incidence sur tous les clients et les serveurs au sein
du domaine et remplace les paramètres individuels du Registre. Consultez la documentation de sécurité Microsoft pour plus
d'informations sur l'activation et la configuration de la signature SMB.
Dans SMB1, l'activation de la signature réduit considérablement les performances, en particulier lors de l'accès sur un réseau
WAN. La dégradation des performances avec la signature SMB2 et SMB3 est limitée par rapport à SMB1. L'impact sur les
performances de la signature sera supérieur lors de l'utilisation de réseaux plus rapides.
REMARQUE : Si l’ancien protocole SMB1 n’a pas besoin d’être pris en charge dans votre environnement, il peut
être désactivé à l’aide de la commande de maintenance svc_nas. Pour plus d'informations sur cette commande de
maintenance, consultez le document Notes techniques sur les commandes de maintenance.
Configurer la signature SMB avec des GPO
SMB1 signant les GPO , page 44 explique les objets de stratégie de groupe (GPO) disponibles pour la signature SMB1.
REMARQUE : Pour SMB2 et SMB3, chaque version possède un GPO pour chaque côté (côté serveur et côté client)
permettant d'activer l'option des communications signées numériquement (toujours). Ni le côté serveur, ni le côté client ne
disposent d’un GPO pour activer l’option des communications signées numériquement (si le client l’accepte).
Tableau 13. SMB1 signant les GPO
Nom du GPO
Ce qu'il contrôle
Paramètre par défaut
Serveur réseau Microsoft : Signe
numériquement les communications
(toujours)
Indique si le composant SMB côté
serveur requiert la signature
Désactivé
Serveur réseau Microsoft : Signe
Si le composant SMB côté serveur a la
numériquement les communications (si le signature activée
client l’accepte)
Désactivé
Client réseau Microsoft : Signe
numériquement les communications
(toujours)
Désactivé
Indique si le composant SMB côté client
requiert la signature
Client réseau Microsoft : Signe
Si la signature est activée sur le
numériquement les communications (si le composant SMB côté client
serveur l’accepte)
Enabled
Vous pouvez également configurer la signature SMB via le Registre Windows. Si le service GPO n'est pas disponible, comme
dans un environnement Windows NT, les paramètres du Registre sont utilisés.
44
Sécurité des communications
Configurer la signature SMB avec le Registre Windows
Les paramètres du Registre affectent uniquement le serveur ou le client individuel que vous configurez. Les paramètres du
Registre sont configurés sur les stations de travail et les serveurs Windows, et ont une incidence sur les stations de travail et
serveurs individuels Windows.
REMARQUE : Les paramètres du Registre suivants concernent Windows NT avec Service Pack 4 ou version ultérieure. Ces
entrées de Registre existent dans Windows Server, mais elles doivent être définies via les GPO.
Les paramètres côté serveur se trouvent à l'emplacement :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters\
REMARQUE : Pour SMB2 et SMB3, chaque version possède une clé de Registre pour chaque côté (côté serveur et
côté client) permettant d'activer l'option requiresecuritysignature. Ni le côté serveur, ni le côté client possède une clé de
Registre pour activer l’option enablesecuritysignature.
Tableau 14. SMB1 côté serveur signant les entrées de Registre
Entrées de registre
Valeurs
Objectif
enablesecuritysignature
● 0 désactivé (par défaut)
● 1 activé
Détermine si la signature SMB est
activée.
requiresecuritysignature
● 0 désactivé (par défaut)
● 1 activé
Détermine si la signature SMB est
obligatoire.
Les paramètres côté client se trouvent dans :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanworkstation\parameters\
Tableau 15. SMB1 côté client signant les entrées de Registre
Entrées de registre
Valeurs
Objectif
enablesecuritysignature
● 0 désactivé
● 1 activé (par défaut)
Détermine si la signature SMB est
activée.
requiresecuritysignature
● 0 désactivé (par défaut)
● 1 activé
Détermine si la signature SMB est
obligatoire.
Réflexion de paquets IP
La réflexion de paquets IP fournit à votre réseau un niveau de sécurité supplémentaire. Étant donné que la majorité du trafic
réseau sur un serveur NAS (y compris toutes les E/S de système de fichiers) est initiée par le client, le serveur NAS utilise la
réflexion de paquets pour répondre aux demandes du client. Grâce à cette fonction, il n'y a pas besoin de déterminer la route
d'acheminement pour envoyer les paquets de réponses. Comme les paquets de réponses sortent toujours par la même interface
que les paquets de demandes, ceux-ci ne peuvent pas être utilisés pour alimenter indirectement d'autres réseaux locaux. S'il
existe deux périphériques réseau, l'un connecté à Internet et l'autre connecté à l'Intranet, les réponses aux demandes Internet
n'apparaissent pas sur l'Intranet. En outre, les réseaux internes utilisés par le système de stockage ne sont pas affectés par les
paquets provenant de réseaux externes.
La réflexion des paquets IP peut être activée pour chaque serveur NAS. Elle est désactivée par défaut pour tous les serveurs
NAS.
Multitenancy des IP
Le multitenancy IP offre la possibilité d'attribuer des partitions de stockage isolées en mode fichier aux serveurs NAS sur un
processeur de stockage. Les tenants permettent la gestion économique des ressources disponibles, tout en garantissant que la
visibilité et la gestion de ce tenant sont uniquement limitées à des ressources attribuées.
REMARQUE : S'il s'agit de la première création d'un tenant dans votre environnement, le système doit générer
automatiquement une valeur UUID (Universal Unique Identifier) pour ce tenant. Pour les tenants existants de votre
environnement dont la valeur UUID est générée par le système, entrez la valeur UUID manuellement.
Sécurité des communications
45
Avec le multitenancy IP, chaque tenant peut avoir ses propres :
●
●
●
●
●
Adresses IP et numéros de port.
Domaine de réseau VLAN.
Table de routage.
Pare-feu IP.
Un serveur DNS ou d'autres serveurs d'administration pour permettre au tenant de disposer de sa propre validation et
authentification de sécurité.
Le multitenancy IP s'implémente en ajoutant un tenant au système de stockage, en associant un ensemble de réseaux VLAN au
tenant, puis en créant un serveur NAS pour chacun des réseaux VLAN du tenant, si besoin. Il est recommandé de créer un pool
séparé pour le tenant et d'associer ce pool à tous les serveurs NAS du tenant.
REMARQUE : Un pool désigne un ensemble de disques fournissant des caractéristiques de stockage spécifiques pour les
ressources qui les utilisent.
Notez les points relatifs à la fonctionnalité multitenancy IP suivants :
● Il existe une relation un-à-plusieurs entre les tenants et les serveurs NAS. Un tenant peut être associé à plusieurs serveurs
NAS, mais un serveur NAS ne peut être associé qu'à un seul tenant.
● Vous pouvez associer un serveur NAS à un tenant lors de la création du serveur NAS. Une fois que vous créez un serveur
NAS associé à un tenant, vous ne pouvez pas en modifier les propriétés.
● Lors de la réplication, les données d'un tenant sont transférées sur le réseau du fournisseur de services plutôt que sur le
réseau du tenant.
● Étant donné que plusieurs tenants peuvent partager le même système de stockage, un pic de trafic d'un tenant peut affecter
négativement le temps de réponse des autres tenants.
À propos des VLAN
Les VLAN sont des réseaux logiques qui fonctionnent indépendamment d'une configuration réseau physique. Par exemple, les
VLAN permettent de placer tous les ordinateurs d'un service sur le même sous-réseau logique, ce qui peut renforcer la sécurité
et réduire le trafic de diffusion du réseau.
Lorsque plusieurs interfaces logiques sont affectées à une carte réseau unique, il est possible d'attribuer un VLAN différent
à chaque interface. Lorsque chaque interface possède un VLAN différent, un paquet n'est accepté que si son adresse IP de
destination est identique à l'adresse IP de l'interface et si sa balise VLAN est identique à l'ID de VLAN (ID VLAN) de l'interface.
Si l'ID VLAN d'une interface est réglé sur 0, les paquets sont envoyés sans balises de VLAN.
Il existe deux manières de travailler avec les VLAN :
● Configurez un port de switch avec un ID VLAN, puis connectez le port du serveur NAS ou une interface iSCSI à ce port de
switch. Le système Unity ignore qu'il fait partie du VLAN, et aucune configuration spéciale du serveur NAS ou de l'interface
iSCSI n'est nécessaire. Dans ce cas, l'ID VLAN est réglé sur 0.
● Mettre en œuvre la multitenancy IP à l'aide de VLAN. Dans ce scénario, chaque tenant est associé à un ensemble d'un ou de
plusieurs VLAN, et le serveur NAS est chargé d'interpréter les balises VLAN et de traiter les paquets de manière appropriée.
Ceci permet au serveur NAS de se connecter à plusieurs VLAN et à leurs sous-réseaux correspondants via une connexion
physique unique. Avec cette méthode, les ports du switch pour les serveurs sont configurés pour inclure des balises VLAN
sur les paquets envoyés au serveur.
REMARQUE : Les configurations Dual-SP Unity VSA utilisent des VLAN privés créés dans vSphere lors de l'installation de
l'appliance. N'utilisez pas ces groupes de ports privés et les ID VLAN privés, ce qui pourrait interférer avec UnityVSA.
Prise en charge de la gestion pour FIPS 140-2
La norme FIPS 140-2 (Federal Information Processing Standard 140-2) décrit les exigences formulées par le gouvernement
fédéral américain auxquelles les produits IT doivent satisfaire pour un usage sensible mais non classifié (SBU). Ladite norme
définit les exigences de sécurité devant être satisfaites par un module cryptographique utilisé dans un système de sécurité qui
protège les informations non classifiées au sein de systèmes IT. Pour plus d'informations sur la norme FIPS 140-2, consultez la
publication correspondante.
Le système de stockage prend en charge le mode FIPS 140-2 pour les modules SSL qui gèrent le trafic de gestion des clients.
Les communications de gestion arrivant et sortant du système sont codées via SSL. Dans le cadre de ce processus, le client et
le logiciel de gestion du stockage négocient une suite de chiffrement à utiliser dans l'échange. L'activation du mode FIPS 140-2
restreint l'ensemble négociable des suites de chiffrement à celles qui sont répertoriées dans la publication des fonctions de
sécurité approuvées FIPS 140-2. Si le mode FIPS 140-2 est activé, certains de vos clients existants risquent de ne plus pouvoir
46
Sécurité des communications
communiquer avec les ports de gestion du système s'ils ne prennent pas en charge les suites de chiffrement approuvées
FIPS 140-2. Le mode FIPS 140-2 ne peut pas être activé sur un système de stockage si des certificats non conformes à la norme
FIPS sont présents dans le magasin de certificats. Avant d'activer le mode FIPS 140-2, vous devez supprimer du système de
stockage tous les certificats non conformes à la norme FIPS.
Gestion du mode FIPS 140-2 sur le système de stockage
Seul l'administrateur ou l'administrateur de la sécurité dispose des privilèges nécessaires pour gérer la configuration du mode
FIPS 140-2. Utilisez la commande CLI suivante pour définir la configuration du mode FIPS 140-2 sur un système de stockage :
uemcli /sys/security set -fips140Enabled yes active le mode FIPS 140-2.
uemcli /sys/security set -fips140Enabled no désactive le mode FIPS 140-2.
Utilisez la commande CLI suivante pour déterminer le mode FIPS 140-2 actif pour le système de stockage :
uemcli /sys/security show
Lorsque vous modifiez la configuration du mode FIPS 140-2 sur un système de stockage, les deux SP sont automatiquement
redémarrés dans l'ordre afin d'appliquer la nouvelle configuration. Lorsque le premier SP a terminé de redémarrer, l'autre SP
redémarre. Le système ne fonctionnera réellement dans le mode FIPS 140-2 configuré qu'à la fin du redémarrage des deux SP.
Prise en charge de la gestion des communications SSL
Les communications de gestion internes et externes au système de stockage sont chiffrées à l'aide du protocole SSL. Dans le
cadre de ce processus, le client et le système de stockage négocient l'utilisation d'un protocole SSL. Par défaut, le système de
stockage prend en charge les protocoles TLS 1.0, TLS 1.1 et TLS 1.2 pour les communications SSL.
Dans l’environnement d’exploitation (OE) version 5.0 et les versions antérieures 4.3, 4.4 et 4.5, le système de stockage
comprend un paramètre d’administration, tls1Enabled, pour désactiver TLS 1.0 du système. La désactivation du protocole
TLS 1.0 dans ces versions d’OE à l’aide de ce paramètre signifie que le système de stockage prend uniquement en charge les
communications SSL via les protocoles TLS 1.1 et TLS 1.2. TLS 1.0 n’est pas considéré comme un protocole valide.
REMARQUE : La désactivation du protocole TLS 1.0 peut avoir un impact sur les applications clientes existantes qui ne
sont pas compatibles avec les protocoles TLS 1.1 ou TLS 1.2. Dans ce cas, le protocole TLS 1.0 doit être activé. Les
fonctionnalités suivantes ne sont pas actives si le protocole TLS 1.0 est désactivé :
● Conseils techniques
● Notifications de mise à jour liées au logiciel, micrologiciel du disque et pack de langues
● Réplication à partir des versions OE antérieures à 4.3 vers les versions OE 4.3
● Pour Unisphere, si un navigateur est limité à l’utilisation de la version TLS 1.0 et que tls1Enabled est défini pour
désactiver TLS 1.1 sur le système, la page de connexion Unisphere ne se chargera pas et une défaillance de sécurité
s’affichera.
Dans OE version 5.1 et les versions ultérieures, le paramètre d’administration du système de stockage, tls1Enabled a été
remplacé par tlsMode qui spécifie la version de protocole TLS la plus faible prise en charge sur le système. Le paramètre par
défaut prend en charge TLS 1.0 et les versions ultérieures pour les communications SSL. En spécifiant le protocole TLS 1.1 à
l’aide de ce paramètre, le système de stockage prendra uniquement en charge les communications SSL via les protocoles TLS 1.1
et TLS 1.2. TLS 1.0 n’est pas considéré comme un protocole valide. En spécifiant le protocole TLS 1.2 à l’aide de ce paramètre, le
système de stockage prend uniquement en charge les communications SSL via les protocoles TLS 1.2 et versions ultérieures et
TLS 1.0 et TLS 1.1 ne sont pas considérés comme des protocoles valides.
REMARQUE : La spécification de la version du protocole TLS 1.1 ou TLS 1.2 peut avoir un impact sur les applications
clientes existantes qui ne sont pas compatibles avec les protocoles respectifs TLS. Les fonctionnalités suivantes ne sont pas
actives si le protocole TLS 1.1 est spécifié :
● La réplication à partir des versions OE antérieures à 4.3 ne sont pas prises en charge.
● Pour Unisphere, si un navigateur est limité à l’utilisation de la version TLS 1.0 et que tlsMode est défini pour prendre
en charge la version TLS 1.1 ou TLS 1.2 sur le système, la page de connexion Unisphere ne se chargera pas et une
défaillance de sécurité s’affichera.
Les fonctionnalités suivantes ne sont pas actives si le protocole TLS 1.2 est spécifié :
● La réplication à partir des versions OE antérieures à 4.3 ne sont pas prises en charge.
Sécurité des communications
47
● Pour Unisphere, si un navigateur est limité à l’utilisation de la version TLS 1.1 et que tlsMode est défini sur la version
TLS 1.2 sur le système, la page de connexion Unisphere ne se chargera pas et une défaillance de sécurité s’affichera.
● Toutes les versions de Unisphere Central (autrement dit, la version UC 4.0.8 et les versions antérieures) ne prennent pas
en charge TLS 1.2. Si vous utilisez Unisphere Central et que vous désactivez TLS 1.1, Unisphere Central ne sera pas en
mesure de se connecter à Unity.
● Toutes les versions du client de l’interface de ligne de commande Unisphere existantes (autrement dit, la version 5.0.2
et les versions antérieures) ne prennent pas en charge TLS 1.2. Si vous utilisez les clients de la CLI Unisphere et que
vous désactivez TLS 1.1, les clients de la CLI Unisphere ne seront pas en mesure de se connecter à Unity. Dans ce cas,
vous devez installer la version 5.0.3 du client de la CLI Unisphere pour vous connecter à Unity.
Gestion de la version du protocole TLS prise en charge sur le système de
stockage
Dans OE version 5.0 et les versions antérieures 4.3, 4.4 et 4.5, seul l’administrateur ou l’administrateur de la sécurité dispose
des privilèges nécessaires à la gestion du paramètre de version du protocole TLS tls1Enabled. Utilisez la commande suivante
pour définir le paramètre d'activation TLS 1.0 sur un système de stockage :
uemcli /sys/security set -tls1Enabled yes permet d'utiliser le protocole TLS 1.0.
emcli /sys/security set -tls1Enabled no ne permet pas d'utiliser le protocole TLS 1.0.
Pour plus d’informations sur la commande security set -tls1Enabled, reportez-vous au Guide de l’utilisateur de
l’interface de ligne de commande Unisphere pour obtenir la version OE respective, 5.0 ou 4.3, 4.4 ou 4.5.
Dans OE version 5.1 et versions ultérieures, seul l’administrateur ou l’administrateur de la sécurité dispose des privilèges
nécessaires à la gestion du paramètre de version du protocole TLS tlsMode. Utilisez la commande suivante pour définir TLS 1.0
comme version la plus basse du protocole TLS que le système prend en charge pour la communication SSL :
uemcli /sys/security set -tlsMode TLSv1.0.
Utilisez la commande suivante pour définir TLS 1.1 comme version la plus basse du protocole TLS que le système prend en
charge pour la communication SSL :
uemcli /sys/security set -tlsMode TLSv1.1.
Utilisez la commande suivante pour définir TLS 1.2 comme version la plus basse du protocole TLS que le système prend en
charge pour la communication SSL :
uemcli /sys/security set -tlsMode TLSv1.2.
REMARQUE : La commande security set -tlsMode ne met pas à jour les versions de protocole TLS prises en charge
pour un serveur NAS. Utilisez le script de maintenance svc_nas pour configurer les versions de protocole TLS prises en
charge pour un serveur NAS. Pour plus d’informations sur ce script de maintenance, consultez les Fiches techniques sur les
commandes de service de la gamme Dell EMC Unity.
Pour plus d’informations sur la commande security set -tlsMode, reportez-vous au Guide de l’utilisateur de l’interface de
ligne de commande Unisphere pour obtenir la version OE 5.1.
Prise en charge de la gestion en mode shell restreint
L’interface de maintenance SSH du système de stockage est consolidée avec le mode shell restreint. Cette fonctionnalité est
activée par défaut pour le compte de maintenance lors de la mise à niveau vers Unity OE version 4.5 ou ultérieure. Bien qu'il soit
possible de désactiver temporairement le mode shell restreint, il n'est pas persistant et il est réactivé automatiquement lorsque
l'une des conditions suivantes est remplie :
● Le processeur de service principal est redémarré.
● 24 heures sont passées depuis la désactivation du mode shell restreint.
Cette fonctionnalité améliore la posture de sécurité du système de stockage Unity en limitant l'accès des utilisateurs du compte
de maintenance de la façon suivante :
● Ils ne peuvent utiliser qu'un ensemble limité de commandes attribuées à un membre doté d'un compte utilisateur Linux non
privilégié en mode shell restreint. Ils ne peuvent pas accéder au fichiers système propriétaires, aux fichiers de configuration
ou aux données utilisateur ou client.
48
Sécurité des communications
● Ils ne peuvent pas exécuter du code non fiable qui peut être éventuellement utilisé pour exploiter les vulnérabilités des
réaffectations de privilèges au niveau local.
Outre les scripts de maintenance, une liste autorisée contient les commandes de base disponibles pour le personnel de
maintenance. Il s’agit des commandes sécurisées ou des commandes avec contrôle de sécurité à partir desquelles les utilisateurs
ne peuvent pas éviter au mode de shell restreint. Ces commandes sont essentielles pour que le personnel de maintenance Dell
EMC soit en mesure de fournir un service de maintenance sans élever le privilège jusqu’à la racine. Pour plus d’informations sur
ces commandes, reportez-vous à l’article 528422 de la base de connaissances.
REMARQUE : Une analyse de vulnérabilité réseau ne peut pas être effectuée avec le mode shell restreint par défaut.
Les utilisateurs administrateurs de Unisphere doivent désactiver le mode shell restreint afin de faciliter une analyse de
sécurité. Pour une sécurité maximale du système, il est vivement recommandé de laisser le mode shell restreint activé de
manière permanente, à moins qu’il ne soit nécessaire d’effectuer une analyse de sécurité. Pour que le système ne soit pas
exposé aux vulnérabilités des réaffectations de privilèges au niveau local, activez le mode shell restreint dès que l'analyse de
sécurité est terminée.
Gestion du mode de shell restreint sur le système de stockage
Seul l’administrateur ou l’administrateur de la sécurité dispose des privilèges nécessaires à la gestion de la configuration du mode
Shell restreint. Utilisez la commande CLI suivante pour définir la configuration du mode de shell restreint sur un système de
stockage :
uemcli /sys/security set -restrictedShellEnabled yes active le mode shell restreint pour le mode d’utilisateur
de maintenance.
uemcli /sys/security set -restrictedShellEnabled no désactive le mode shell restreint.
Utilisez la commande CLI suivante pour déterminer le mode de shell restreint actuel pour le système de stockage :
uemcli /sys/security show
Sécurité des communications
49
5
Paramètres de sécurité des données
Ce chapitre décrit les fonctions de sécurité disponibles sur le système de stockage pour les types de stockages pris en charge.
Sujets :
•
•
À propos de Data at Rest Encryption (déploiements physiques uniquement)
Paramètres de sécurité des données
À propos de Data at Rest Encryption (déploiements
physiques uniquement)
Data at Rest Encryption (D@RE) est fourni via le chiffrement basé sur le contrôleur (CBE) au niveau du disque physique.
L'objectif de cette fonction est de s'assurer que toutes les données du client et les informations d'identification sont chiffrées
à l'aide d'un chiffrement puissant. Si la perte d'un disque se produit, le chiffrement garantit la sécurité. Le chiffrement doit être
destiné à la baie complète. Tous les disques sont chiffrés, ou aucun d'entre eux.
REMARQUE : Pour plus d'informations sur Data at Rest Encryption, reportez-vous au livre blanc Unity : Data at Rest
Encryption .
Chiffrement basé sur le contrôleur
La fonction de chiffrement basé sur le contrôleur (CBE) de Unity est utilisée pour disques sans autochiffrement SAS (SED).
Une clé de chiffrement des données unique (DEK) est générée pour chacun de ces disques. La clé DEK est utilisée pour chiffrer
les données et est envoyée au disque. La clé DEK est utilisée pour chiffrer et déchiffrer les données utilisateur à l'aide d'un
algorithme de chiffrement AES (Advanced Encryption Standard) de 256 bits avec le mode d'opération XTS (XOR Encrypt XOR
Tweakable Block Cipher with Ciphertext Stealing).
La clé de chiffrement de clé KEK BSAFE RSA créée est une clé générée de manière aléatoire de 256 bits. La clé KEK est utilisée
pour encapsuler les clés DEK au moment de la génération de la clé DEK. Les clés DEK sont protégées et sécurisées au fur et à
mesure qu'elles se déplacent dans le système de stockage. L’algorithme utilisé pour encapsuler et désencapsuler les clés DEK à
l’aide de la clé KEK est AES Key Wrap 256 bits, tel que spécifié dans le RFC 3394.
La clé d'encapsulage de clé (KWK) de chiffrement RSA BSAFE est une clé générée de manière aléatoire de 256 bits. La clé KWK
est utilisé pour encapsuler la clé KEK au moment de la génération. La clé KEK est protégée lorsqu'elle transite sur la baie et sur
le contrôleur SAS (Serial Attached SCSI). L’algorithme utilisé pour encapsuler et désencapsuler les clés KEK à l’aide de la clé
KWK est AES Key Wrap 256 bits, tel que spécifié dans le RFC 3394.
Chiffrement de l'espace système
Distinct du chiffrement basé sur le contrôleur, l'espace système sur les processeurs de stockage (SP) est chiffré à l'aide d'une
fonction de chiffrement (dm_crypt) qui est native de la distribution Linux. Les partitions spécifiques sur le disque système
sont chiffrées par défaut, sauf si le chiffrement n'est pas activé sur le système au moment de la fabrication. Pour ces
partitions système qui ne sont pas chiffrées, certaines données non chiffrées, telles que les vidages de diagnostics, peuvent être
présentes. En outre, il se peut qu'il y ait de petites quantités de données utilisateur non chiffrées en raison de l'écriture des
supports de diagnostic sur la partition système. Toutes les données écrites sur la baie à l'aide des protocoles d'E/S standard
(iSCSI, FC) sont chiffrées. Tout ce qui se trouve dans la baie à l’aide de l’interface de gestion Unisphere n’est pas chiffré par
cette solution ; toutefois, les données sensibles sont chiffrées à l’aide d’un autre mécanisme (tel qu’il est utilisé sur les baies non
chiffrées). Par exemple, les mots de passe sont protégés par un hachage salé à l’aide de SHA256.
50
Paramètres de sécurité des données
Key Manager
Un nouveau composant, appelé Key Manager, est chargé de générer, de stocker et de gérer les clés de chiffrement et les clés
d’authentification pour le système. Le magasin de clés, qui est généré pour stocker ces clés, réside sur une LUN gérée dans un
espace privé du système. Les clés sont générées ou supprimées suite aux notifications d'ajout ou de suppression d'un pool de
stockage. Les sauvegardes de clés sont effectuées automatiquement par le système. En outre, les modifications apportées à la
configuration du système, qui entraînent des modifications apportées au magasin de clés, génèrent des alertes d'information qui
recommandent la création de sauvegardes de clés. Lorsqu'une opération entraînant une modification du magasin de certificats
se produit, une alerte s'affiche en permanence.
Audit de chiffrement
Une fonction d'audit distincte est fournie pour les opérations de clés générales qui permettent de suivre l'établissement, la
suppression, la sauvegarde et les modifications de restauration de toutes les clés, ainsi que l'ajout SLIC.
Activation de la fonction
D@RE est une fonctionnalité sous licence La licence doit être installée lors de la configuration initiale de votre système. une fois
activée, l'opération de chiffrement ne peut pas être annulée.
L'opération de chiffrement entraîne la création de clés de chiffrement des données et de clés d'authentification du système. Le
chiffrement de toutes les données utilisateur commence alors. Les clés de chiffrement et les clés d'authentification du système
sont stockées dans un fichier de magasin de clés. Le fichier de magasin de clés qui est généré, réside sur une LUN gérée dans un
espace privé du système.
Il est vivement recommandé de sauvegarder le fichier de magasin de clés généré à un autre emplacement qui est externe au
système et où le magasin de clés peut être conservé en toute sécurité et secrètement. Si le magasin de certificats du système
est corrompu, le système ne fonctionnera pas. Le système passe en mode maintenance. Seul le système d'exploitation est
initialisé. Ainsi les tentatives d'accès au système via Unisphere renverront une erreur indiquant que le magasin de clés est à
l'état inaccessible. Dans ce cas, le fichier de magasin de clés de sauvegarde et un engagement de service sont requis pour la
résolution.
État du chiffrement
L'état suivant de la fonction D@RE peut être affiché via Unisphere ou une commande CLI :
● Mode de chiffrement : type de chiffrement en cours d'utilisation, par exemple le chiffrement basé sur le contrôleur.
● État de chiffrement : basé sur l'état de chiffrement réel :
○ Non pris en charge, le chiffrement de l'espace système sur les processeurs de stockage est désactivé.
○ Sans licence, la licence Data at Rest Encryption pas été installée sur le système.
○ Chiffré, le chiffrement est terminé.
○ Pas de chiffrement, le chiffrement basé sur le contrôleur (CBE) est désactivé.
○ Nettoyage : processus d'écriture de données aléatoires dans l'espace inutilisé des disques ou remise à zéro des disques
non liés pour effacer les données résiduelles de l'utilisation précédente.
REMARQUE : Pour les disques Flash SAS 2, la suppression du mappage est utilisée pour nettoyer les disques
plutôt que la remise à zéro. Pour plus d’informations sur Data at Rest Encryption et le processus de nettoyage,
reportez-vous au livre blanc EMC Unity : Data at Rest Encryption disponible sur le site de support en ligne (https://
support.emc.com).
○ In Progress (en cours), le chiffrement est en cours.
● État KMIP, si KMIP est activé ou désactivé.
Pour afficher l'état de la fonction D@RE dans Unisphere, sélectionnezParamètres > Gestion > Chiffrement. L'état du
chiffrement s'affiche sous Gérer le chiffrement.
REMARQUE : Vous pouvez également utiliser la commande CLI uemcli -u <username> -p <password> /prot/
encrypt show -detail pour consulter l’état des fonctions (Mode de chiffrement, État du chiffrement, Pourcentage
chiffré, État de sauvegarde du magasin de clés et État KMIP). Vous pouvez également utiliser cette commande CLI pour
afficher l'état du magasin de clés et pour déterminer si des interventions de l'utilisateur sont nécessaires. Reportez-vous au
Guide d'utilisation de l'interface de ligne de commande Unisphere pour plus d'informations sur ces commandes CLI.
Paramètres de sécurité des données
51
Gestion des clés externe
La prise en charge de la gestion de clés externe est assurée par l'utilisation du protocole KMIP (Key Management Interoperability
Protocol). KMIP définit la façon dont un client fonctionne avec un gestionnaire de clés externe.
REMARQUE : Chaque fournisseur de serveur du gestionnaire de clés peut avoir des exigences d'authentification
différentes, qui peuvent ou non nécessiter un nom d'utilisateur ou un mot de passe, ou les deux. Exemples :
● Pour Gemalto, le nom d'utilisateur et le mot de passe sont facultatifs. Ils peuvent être requis pour l'authentification du
client.
● Pour Unbound, le nom d'utilisateur et le mot de passe sont facultatifs. Ils peuvent être requis pour l'authentification du
client.
● Pour Thales CipherTrust ou Vormetric, le nom d’utilisateur et le mot de passe ne doivent pas être spécifiés.
L’authentification du client utilise le certificat client du système Unity.
● Pour IBM SKLM, le nom d'utilisateur est l'ID d'appareil KMIP. Ne spécifiez pas de mot de passe.
● Pour CloudLink, le nom d'utilisateur et le mot de passe sont requis.
REMARQUE : OE version 5.1 ou une version supérieure prend en charge KMIP version 1.4. Reportez-vous à la Matrice de
support simplifiée pour le système de stockage sur le site Web de support pour obtenir des informations sur la compatibilité
et l'interopérabilité liées aux serveurs KMIP.
Activation de la prise en charge de KMIP
L'activation et la configuration de la prise en charge de KMIP sur le système de stockage dépend du chiffrement activé sur le
système de stockage. Lorsque le chiffrement est activé et KMIP est activé, la clé de démarrage est migrée à partir du système
de stockage vers un gestionnaire de clés externe et la copie locale est supprimée. En outre, l'ancien emplacement des clés
stockées localement est reprogrammé et ne peut pas être ouvert une fois que les clés ont migré. Il est recommandé de générer
une nouvelle sauvegarde de fichier du magasin de certificats.
Un rôle d'utilisateur d'administrateur ou d’administrateur de sécurité est nécessaire pour configurer la gestion de clés externe.
Pour configurer la gestion de clés externe, sélectionnez Paramètres > Gestion > Chiffrement et, sous Gestion du
chiffrement > Gestion des clés externe, sélectionnez Configurer. Fournissez les informations requises dans la boîte de
dialogue qui s'affiche pour configurer les propriétés du serveur de gestion de clés et pour ajouter le serveur KMIP au cluster de
serveurs KMIP.
REMARQUE : Dans OE version 5.1 ou version ultérieure, vous devez spécifier une adresse IP ou un hostname FQDN pour
l’adresse du serveur KMIP pour la configuration KMIP.
La boîte de dialogue permet également d'importer et de gérer les certificats adéquats de l'autorité de certification (AC) et du
client, et de vérifier la configuration. La configuration requiert deux certificats :
● Le certificat AC au format PEM
● Un fichier PKCS #12 protégé par mot de passe et contenant le certificat client et la clé privée
Une copie de la configuration du serveur KMIP, comprenant les données de configuration du serveur et les certificats, est
stockée en local dans des emplacements sécurisés du système de stockage, ainsi que sur les disques back-end du système pour
assurer la redondance.
Les certificats sont téléchargés sur le processeur de stockage actif. Au moment du démarrage, chaque fois qu'un problème de
certificat est signalé, le système rétablit les certificats à partir de sa copie locale du lockbox et effectue une nouvelle tentative.
Si le test échoue à nouveau, le système passe en mode maintenance. Si une différence est trouvée, le contenu du lockbox sur le
back-end est mis à jour.
REMARQUE : Vous pouvez également utiliser les commandes de l’interface de ligne de commande :
● Pour configurer KMIP, utilisez uemcli -u<username> -p<password> /prot/encrypt/kmip -set
-username <value> {-passwd <value> | -passwdSecure} -port <value> [-timeout <value>]
-addr <value>
● Pour importer le CA et les certificats du client, utilisez uemcli -u<username> -p<password> /sys/cert
[ -type { CA | Server | Client | TrustedPeer } ] [ -service {Mgmt_LDAP | Mgmt_KMIP |
VASA_HTTP } [ -scope <value> ] ] [ -id <value> ]
REMARQUE : Par exemple : uemcli -u admin -p Password123! -d 10.10.10.170 -port 443
-upload -f gem_cacert.pem /sys/cert -type ca -service mgmt_kmip ou uemcli -u admin
52
Paramètres de sécurité des données
-p Password123! -d 10.10.10.170 -port 443 -upload -f gem_client.p12 /sys/cert
-type client -service mgmt_kmip -passphrase cert123!
● Pour vérifier la configuration, utilisez uemcli -u<username> -p<password> /prot/encrypt/kmip -verify
Reportez-vous au Guide d'utilisation de l'interface de ligne de commande Unisphere pour plus d'informations sur ces
commandes CLI.
Résolution des problèmes liés à KMIP
S'il existe un problème ou qu'une modification inattendue de la configuration ou de l'état du protocole KMIP se produit, le
système ne peut pas confirmer que la configuration ou l'état est correct et démarre en mode maintenance. Le système ne peut
pas revenir en mode normal avant la résolution du problème. Utilisez le script de maintenance svc_kmip pour restaurer la
configuration correcte du serveur KMIP et, si nécessaire, les certificats Unity afin que le système puisse revenir en mode normal.
REMARQUE : Le script de maintenance svc_kmip est utilisé uniquement pour la restauration et ne peut pas être
utilisé pour définir la configuration KMIP et l’activer sur un nouveau système. Pour plus d'informations sur ce script de
maintenance, consultez les Notes techniques sur les commandes de maintenance.
La configuration KMIP nécessite le téléchargement d’un fichier de certificat client au format PKCS12. Ce fichier peut être
créé à l’aide d’OpenSSL, qui, par défaut, utilise un algorithme faible, par exemple, 40-bit RC2, pour chiffrer le contenu du
fichier. L’environnement d’exploitation (OE) version 5.1 ne prend pas en charge cet algorithme pour le fichier de certificat client
et l’opération de chargement du fichier de certificat vérifie l’algorithme de chiffrement. Si le fichier est chiffré à l’aide d’un
algorithme faible, l’opération de chargement du certificat échoue avec une erreur de certificat PKCS12 non valide. Dans ce cas,
un autre fichier de certificat client chiffré à l’aide d’un algorithme plus puissant, tel que Triple DES, doit être téléchargé.
Si KMIP est configuré et activé et que le fichier de certificat client est chiffré à l’aide d’un algorithme faible, un bilan de
santé (PUHC) entraînera l’échec de la mise à niveau vers OE version 5.1. Un nouveau fichier de certificat client qui utilise un
algorithme de chiffrement plus puissant doit être téléchargé sur le système pour que la mise à niveau puisse être tentée à
nouveau. Vous pouvez également désactiver KMIP et réessayer la mise à niveau. Dans ce cas, le fichier de certificat client doit
être mis à jour après la mise à niveau, mais avant de réactiver KMIP.
Sauvegarder le fichier de magasin de clés
Les modifications apportées à la configuration du système qui modifient le magasin de clés génèrent des alertes d'information
persistantes qui recommandent de créer des sauvegardes des clés. Une nouvelle alerte est générée uniquement après la
récupération du magasin de clés à partir du système pour la sauvegarde.
REMARQUE : Il est vivement recommandé de sauvegarder le fichier de magasin de clés généré à un autre emplacement
qui est externe au système et où le magasin de clés peut être conservé en toute sécurité et secrètement. Si les fichiers
du magasin de clés résidant sur le système deviennent corrompus et inaccessibles, le système passe en mode maintenance.
Dans ce cas, le fichier de magasin de clés de sauvegarde et un engagement de service sont requis pour la résolution.
Un rôle utilisateur d’administrateur ou d’administrateur de sécurité est nécessaire pour sauvegarder le fichier de magasin de clés.
Pour sauvegarder le fichier de magasin de clés qui est à un emplacement externe au système où le magasin de clés peut être
conservé en toute sécurité et secrètement, sélectionnezParamètres > Gestion > Chiffrement et, sousGérer le chiffrement
> Magasin de clés, sélectionnezSauvegarder le fichier du magasin de clés. La boîte de dialogue qui s'affiche vous dirige
dans la procédure de sauvegarde du fichier de magasin de clés généré.
REMARQUE : Vous pouvez aussi utiliser la commande CLI uemcli -u<username> -p<password> -download
encryption -type backupKeys pour sauvegarder le fichier de magasin de clés à un emplacement externe au système
où le magasin de clés peut être conservé en toute sécurité et secrètement. Reportez-vous au Guide d'utilisation de
l'interface de ligne de commande Unisphere pour plus d'informations sur cette commande CLI.
Consignation de l'audit Data at Rest Encryption
La fonction D@RE fournit une fonction d'audit distincte qui prend en charge la consignation des opérations du magasin de clés
suivantes :
● Activation de la fonction
● Création de clés
● Destruction de clés
Paramètres de sécurité des données
53
● Sauvegarde du magasin de clés
● Chiffrement du disque terminé
● Ajout de SLIC
Le log d'audit pour les opérations de magasin de clés est stocké dans l'espace privé sur le système. Pour télécharger
le log d'audit complet et les informations de checksum ou les informations d'une année ou d'un mois spécifique,
sélectionnezParamètres > Gestion > Chiffrement et, sous Gérer le chiffrement > Log d'audit, sélectionnezTélécharger
l'Audit log et le fichier checksum. Pour télécharger un fichier checksum nouvellement généré pour le fichier log d'audit qui a
été extrait précédemment, sélectionnez Paramètres > Gestion > Chiffrement et, sous Gérer le chiffrement > Audit Log,
sélectionnezTélécharger Chksum. Le nom de fichier que vous indiquez doit correspondre exactement au fichier auditlog qui a
été récupéré précédemment.
REMARQUE : Vous pouvez aussi utiliser la commande CLI uemcli -u<username> -p<password> -download
encryption -type auditLog -entries <all or YYYY-MM> pour télécharger le log d'audit complet et les
informations de checksum, ou bien un log d'audit partiel, respectivement. Reportez-vous au Guide d'utilisation de l'interface
de ligne de commande Unisphere pour plus d'informations sur cette commande CLI.
Opérations de remplacement à chaud
Lorsqu'un système est déjà configuré avec des clés DEK pour tous les disques du système qui appartiennent à des pools
provisionnés, les disques qui ne figurent pas actuellement dans un pool provisionné sont considérés comme des disques non liés.
Le retrait des disques non liés ou des disques non liés devenus défectueux n'affecte pas le magasin de clés et ne nécessite donc
pas de fichier de sauvegarde ou de fichier de clés. De même, le remplacement d'un disque non lié n'affecte pas le magasin de
clés et ne nécessite donc pas de fichier de sauvegarde ou de fichier de clés.
REMARQUE : Les disques non liés sont remplacés par les données par défaut pour supprimer les données préexistantes.
Lorsqu'un système est déjà configuré avec des clés DEK pour tous les disques du système qui appartiennent à des pools
provisionnés, ces disques sont considérés comme des disques non liés. Si un disque lié est retiré ou qu'il est défaillant et qu'un
disque de secours remplace en permanence le disque retiré ou défectueux au bout de cinq minutes, une clé DEK est générée
pour le disque de secours et la reconstruction commence. La clé DEK provenant du disque retiré est supprimée immédiatement
du magasin de clés. L'état de modification du magasin de clés est défini par le gestionnaire de clés à ce stade et déclenche une
alerte pour sauvegarder le magasin de clés, car des clés DEK ont été modifiées dans ce dernier.
Si le disque retiré est réintroduit n'importe où dans le système avant l'expiration de la période de cinq minutes, une
reconstruction n'est pas nécessaire et aucune modification n'est effectuée dans le magasin de clés. La clé DEK reste la même,
car elle n'est pas associée au slot mais au disque. En outre, aucune alerte d'état de modification du magasin de clés n'est
générée.
REMARQUE : Si le nettoyage ou la destruction du disque retiré est nécessaire, l'opération doit être effectuée
indépendamment.
Ajout d'un disque à un système de stockage avec chiffrement
activé
Le fait d’insérer un ou plusieurs nouveaux lecteurs de disques dans le système ne déclenche pas la génération d’une nouvelle clé
DEK pour chaque disque. Cette opération ne se produira pas pour un nouveau disque tant que le disque est provisionné dans
un pool. L'état de modification du magasin de clés est défini par le gestionnaire de clés à ce stade et déclenche une alerte pour
sauvegarder le magasin de clés, car des clés DEK ont été modifiées dans ce dernier.
Lorsque vous ajoutez un nouveau disque à un système de stockage, ce disque est considéré comme non lié. Les disques non
liés sont remplacés par les données par défaut pour supprimer les données préexistantes. Seul l'espace adressable du disque est
remplacé. Toutes les données en texte clair résiduelles qui peuvent être masquées dans des emplacements illisibles du disque ne
sont pas remplacées.
REMARQUE : Si l'accès potentiel aux données qui restent de l'utilisation précédente d'un disque est incompatible avec
votre règle de sécurité, vous devez nettoyer indépendamment ce disque avant de l'insérer dans le système de stockage
avec le chiffrement activé.
54
Paramètres de sécurité des données
Suppression d'un disque à partir d'un système de stockage avec
chiffrement activé
Lorsqu'un système est déjà configuré avec des clés DEK pour tous les disques du système qui appartiennent à des pools
provisionnés, ces disques sont considérés comme des disques non liés. Si un disque lié est retiré et n'est pas remplacé au bout
de cinq minutes, la clé DEK de ce disque n'est pas supprimée du magasin de clés. La clé reste valide jusqu'à ce que le pool
provisionné soit supprimé ou qu'un nouveau disque soit inséré. Si le disque retiré est réintroduit n'importe où dans le système
avant l'expiration de la période de cinq minutes, une reconstruction n'est pas nécessaire, comme dans le cas d'un disque de
remplacement, et aucune modification n'est effectuée dans le magasin de clés. La clé DEK reste la même, car elle n'est pas
associée au slot mais au disque. En outre, aucune alerte d'état de modification du magasin de clés n'est générée.
REMARQUE : Si le nettoyage ou la destruction du disque retiré est nécessaire, l'opération doit être effectuée
indépendamment.
Remplacement d'un châssis et des processeurs de stockage dans
un système de stockage avec chiffrement activé
Un engagement de service est nécessaire pour remplacer un châssis et des processeurs de stockage à partir d'un système de
stockage avec chiffrement activé.
Désactivation d’un système de stockage Unity activé par
chiffrement
Un engagement de service est requis pour la mise hors service d’un système de stockage Unity sur lequel le chiffrement est
activé.
Paramètres de sécurité des données
Fonctions de sécurité , page 55 présente les fonctions de sécurité disponibles pour les types de stockages des systèmes de
stockage pris en charge.
Tableau 16. Fonctions de sécurité
Storage type
Port
Protocole
Paramètres de sécurité
Stockage iSCSI
3260
TCP
● Un contrôle d'accès au niveau de l'hôte iSCSI (initiateur)
est disponible via Unisphere (et permet aux clients
d'accéder au stockage principal, aux snapshots ou aux
deux).
● L'authentification CHAP est prise en charge de sorte
que les serveurs iSCSI (cibles) du système de stockage
puissent authentifier les hôtes iSCSI (initiateurs) qui
tentent d'accéder au stockage iSCSI.
● L'authentification CHAP mutuelle est également prise en
charge pour que les hôtes iSCSI (initiateurs) puissent
authentifier les serveurs iSCSI du système de stockage.
Stockage SMB
445
TCP, UDP
● L'authentification pour les actions de domaine et
d'administration est assurée via les comptes d'utilisateur
et de groupe Active Directory.
● Les contrôles d'accès aux fichiers et aux partages
sont assurés par l'intermédiaire des services d'annuaire
Windows. La liste de contrôle d'accès (ACL) aux partages
SMB peut également être configurée via une interface
SMI-S.
● Les signatures de sécurité sont prises en charge au moyen
de la fonction de signature SMB.
Paramètres de sécurité des données
55
Tableau 16. Fonctions de sécurité (suite)
Storage type
Port
Protocole
Paramètres de sécurité
● Le chiffrement SMB est assuré via SMB 3.0 et
Windows 2012 pour les hôtes compatibles SMB.
● La prise en charge des services de rétention au niveau
des fichiers (en option) est assurée via un module
complémentaire.
Stockage NFS
2049
KDC
88
Sauvegarde et restauration
56
Paramètres de sécurité des données
TCP
● Le contrôle d'accès aux partages s'effectue au moyen de
Unisphere.
● Prise en charge des méthodes de contrôle d'accès et
d'authentification NFS identifiées dans NFS versions 3
et 4.
● La prise en charge des services de rétention au niveau
des fichiers (en option) est assurée via un module
complémentaire.
● Key Distribution Center Serveur Kerberos qui fournit des
tickets Kerberos pour se connecter aux services Kerberos.
● La sécurité NDMP peut être mise en œuvre sur la base de
secrets partagés NDMP.
6
Maintenance de sécurité
Ce chapitre décrit diverses fonctions de maintenance de sécurité accès implémentées sur le système de stockage.
Sujets :
•
•
Maintenance sécurisée
EMC Secure Remote Services pour votre système de stockage
Maintenance sécurisée
Le système de stockage offre les fonctions de sécurité ci-après pour les tâches de maintenance et de mise à jour à distance :
● Activation des licences
● Mise à niveau des logiciels
● Hot fixes de logiciels
Mise à jour des licences
La fonction de mise à jour des licences permet aux utilisateurs d’obtenir et d’installer des licences pour des fonctionnalités
spécifiques du système de stockage. Fonctions de sécurité associées à la mise à jour des licences , page 57 présente les
fonctions de sécurité associées à la fonction de mise à jour des licences.
Tableau 17. Fonctions de sécurité associées à la mise à jour des licences
Processus
Security
Obtention de licences à partir du site Web de support.
Consultez le site de support (inscription obligatoire) à
l’adresse suivante : dell.com/support.
L’acquisition de licences s’effectue dans une session
authentifiée sur le site Web de support.
Réception des fichiers de licences
Les licences sont envoyées à l’adresse e-mail spécifiée dans
une transaction authentifiée sur le site Web de support.
Téléchargement et installation de licences sur le système de
stockage par l'intermédiaire du client Unisphere
● Les téléchargements de fichiers de licences sur le système
de stockage s'effectuent dans les sessions Unisphere
authentifiées par HTTPS.
● Le système de stockage valide les fichiers de licence reçus
au moyen de signatures numériques. Chaque fonction sous
licence est validée par une signature unique dans le fichier
de licences.
Mise à niveau des logiciels
La fonction de mise à jour logicielle du système de stockage permet aux utilisateurs d'obtenir et d'installer des mises à jour/
mises à niveau des logiciels exécutés sur le système de stockage. Fonctions de sécurité associées à la mise à niveau logicielle ,
page 57 présente les fonctions de sécurité associées à la fonction de mise à niveau du logiciel du système de stockage.
Tableau 18. Fonctions de sécurité associées à la mise à niveau logicielle
Processus
Description
Téléchargement de logiciels du système de stockage à partir
du site Web de support. Consultez le site de support
(inscription obligatoire) à l’adresse suivante : dell.com/
support.
L’acquisition de licences s’effectue dans une session
authentifiée sur le site Web de support.
Maintenance de sécurité
57
Tableau 18. Fonctions de sécurité associées à la mise à niveau logicielle (suite)
Processus
Description
Téléchargement des logiciels du système de stockage
Le téléchargement de logiciels sur le système de stockage
s'exécute au sein d'une session Unisphere authentifiée par
HTTPS.
Signature du code
Unity est conçu pour accepter les mises à niveau logicielles des nouvelles versions et des correctifs. Tous les packages logiciels
Unity sont signés à l’aide d’une clé principale GNU Privacy Guard (GPG) contrôlée par Dell EMC. Le processus de mise à niveau
logicielle de Unity vérifie la signature du package logiciel et refuse les signatures non valides qui peuvent indiquer une éventuelle
falsification ou corruption. L’étape de vérification est intégrée au processus de mise à niveau et la signature du package logiciel
est vérifiée automatiquement au cours de la phase de préinstallation.
EMC Secure Remote Services pour votre système de
stockage
La fonctionnalité EMC Secure Remote Services (ESRS) permet à votre fournisseur de services autorisé d'accéder à distance à
votre système de stockage à l'aide d'un tunnel sécurisé et chiffré. Pour l'accès sortant, le réseau IP de gestion du système de
stockage doit autoriser le trafic HTTPS sortant et entrant. Le tunnel sécurisé établi par ESRS entre le périphérique du système
de stockage et les systèmes autorisés sur le réseau du Centre de support peut également permettre de transférer des fichiers
provenant du système de stockage ou de les retransférer vers le réseau du Centre de support.
Deux options de maintenance à distance sont disponibles afin d'envoyer les informations du système de stockage au Centre de
support pour le dépannage à distance :
● Services ESRS centralisés Virtual Edition (VE)
● Integrated ESRS (déploiements physiques uniquement)
Centralized EMC Secure Remote Services
Centralized ESRS s'exécute sur un serveur de passerelle. Lorsque vous sélectionnez cette option, votre système de stockage
est ajouté aux autres systèmes de stockage dans un cluster ESRS. Le cluster se trouve derrière une seule connexion sécurisée
(centralisée) commune entre les serveurs du Centre de support et ESRS Gateway hors baie. ESRS Gateway est le point unique
d'entrée et de sortie pour toutes les activités ESRS basées sur IP pour les systèmes de stockage associés à la passerelle.
ESRS Gateway est une application de solution de support à distance qui est installée sur un ou plusieurs serveurs dédiés fournis
par le client. ESRS Gateway fonctionne comme un courtier en communication entre les systèmes de stockage associés, les
serveurs proxy (facultatifs) et Policy Manager (facultatif), ainsi que le Centre de support. Les connexions à Policy Manager et
aux serveurs proxy associés sont configurées via l'interface ESRS Gateway, avec les fonctions d'état d'ajout (inscription),
de modification, de suppression (annulation de l'inscription) et d'interrogation que les clients ESRS peuvent utiliser pour
s'enregistrer dans ESRS Gateway.
Pour plus d'informations sur ESRS Gateway et Policy Manager, accédez à la page produit EMC Secure Remote Services du
Support en ligne EMC (https://support.emc.com).
Integrated EMC Secure Remote Services (déploiements physiques
uniquement)
REMARQUE : La disponibilité de cette fonction dépend de votre mise en œuvre.
Integrated ESRS s'exécute directement sur votre système de stockage. Lorsque vous sélectionnez cette option, votre système
de stockage configure une connexion sécurisée entre lui-même et les serveurs du Centre de support. L'option de service à
distance intégré peut être configurée comme étant uniquement sortante ou sortante/entrante, ce qui est la valeur par défaut.
La configuration sortante uniquement permet la connectivité du service à distance pour le transfert distant du système de
stockage vers le Centre de support. La configuration sortante/entrante permet la connectivité du service à distance pour le
transfert à distance et le transfert à distance depuis le Centre de support avec le système de stockage. Lorsque l'option de
58
Maintenance de sécurité
configuration sortante/entrante est sélectionnée, la connexion du système de stockage à un Policy Manager facultatif et à tous
les serveurs proxy associés doit être configurée via Unisphere ou l'interface de ligne de commande.
Maintenance de sécurité
59
7
Paramètres d'alerte de sécurité
Ce chapitre décrit les différentes méthodes disponibles pour avertir les administrateurs des alertes survenues sur le système de
stockage.
Sujets :
•
•
Paramètres d'alerte
Configuration des paramètres d'alerte
Paramètres d'alerte
Les alertes du système de stockage signalent aux administrateurs les événements exploitables survenant sur le système de
stockage. Les événements du système de stockage peuvent être signalés par différentes méthodes, décrites dans le Paramètres
d'alerte , page 60.
Tableau 19. Paramètres d'alerte
Type d'alerte
Description
Notification visuelle
Affiche des messages contextuels à caractère informatif dans l'interface et en temps réel pour
indiquer l'existence de conditions d'alerte. Ces messages fournissent des informations de base sur
la condition d'alerte. Vous pouvez obtenir des informations supplémentaires dans Paramètres >
Alertes > Spécifier les alertes par e-mail et la configuration SMTP.
REMARQUE : Les notifications d'alerte visuelles du système de stockage ne sont pas
configurables. En outre, le système de stockage ne dispose pas d'une option d'authentification
sur un serveur de messagerie SMTP. Si votre serveur de messagerie requiert que tous les clients
s’authentifient pour relayer un e-mail, le système de stockage ne peut pas envoyer d’alertes par
e-mail via ce serveur de messagerie.
Notification par e-mail
Permet de spécifier une ou plusieurs adresses e-mail auxquelles envoyer les messages d'alerte. Les
paramètres suivants peuvent être configurés :
● adresses e-mail auxquelles envoyer les alertes du système de stockage ;
● Niveau de gravité (critique, erreur, avertissement, avis ou informations) requis pour la notification
par e-mail.
REMARQUE : Pour que la notification d'alerte par e-mail du système de stockage fonctionne,
vous devez configurer un serveur SMTP cible pour le système de stockage.
Traps SNMP
Transfère les informations d'alerte aux hôtes désignés (destinations de trap) qui jouent le rôle
de référentiels pour les informations d'alerte générées par le système de stockage. Vous pouvez
configurer les traps SNMP à l'aide de Unisphere. Les paramètres sont notamment les suivants :
● Adresse IP d'une destination de trap SNMP réseau
● Paramètres de sécurité facultatifs pour la transmission de données de trap
○ Protocole d’authentification : algorithme de hachage utilisé pour les traps SNMP (SHA ou
MD5)
○ Protocole de protection : algorithme de chiffrement utilisé pour les traps SNMP (DES ou AES)
○ Version : version utilisée pour les traps SNMP (v2c ou v3)
○ Communauté : chaîne de communauté SNMP (applicable uniquement à la destination SNMP
v2c)
L'aide en ligne de Unisphere fournit des informations complémentaires à ce sujet.
EMC Secure Remote
Services (ESRS)
ESRS fournit une connexion IP permettant au Support EMC de recevoir les messages d'alerte et les
fichiers d'erreur en provenance du système de stockage, et de procéder à un dépannage à distance,
garantissant ainsi une résolution rapide et efficace des problèmes.
60
Paramètres d'alerte de sécurité
Tableau 19. Paramètres d'alerte (suite)
Type d'alerte
Description
REMARQUE : Disponible avec l'EE version 4.0 ou supérieure. Pour que le service ESRS
fonctionne, vous devez l'activer sur le système de stockage.
Configuration des paramètres d'alerte
Vous pouvez configurer les paramètres d'alerte utilisés par le système de stockage pour la notification par e-mail et les traps
SNMP.
Configuration des paramètres d'alerte pour les notifications par
e-mail
À propos de cette tâche
Dans Unisphere :
Étapes
1. Sélectionnez Paramètres > Alertes > E-mail et SMTP.
2. Dans la section Spécifier les alertes par e-mail et la configuration SMTP sous Envoyer des alertes par e-mail à la
liste d'adresses e-mail suivante, configurez les adresses e-mail auxquelles envoyer des notifications d'alerte.
3. Sous Niveau de gravité des alertes à envoyer:, choisissez l'une des options suivantes pour définir le niveau de gravité
auquel un événement doit correspondre pour que des e-mails d'alerte soient générés :
●
●
●
●
●
Critique
Alertes d'erreur et au-dessus
Alertes d'avertissement et au-dessus
Alertes de notification et au-dessus
Alertes d’information et au-dessus
REMARQUE : Pour que le mécanisme d'alerte par e-mail du système de stockage fonctionne, un serveur SMTP cible
doit être configuré pour le système de stockage.
4. Sous Définir les paramètres réseau SMTP:, configurez le serveur cible SMTP.
Configuration des paramètres d'alerte pour les traps SNMP
À propos de cette tâche
Dans Unisphere :
Étapes
1. Sélectionnez Paramètres > Alertes > SNMP.
2. Dans la section Gérer les alertes SNMP sous Envoyer des alertes via des traps SNMP à ces destinations:, configurez
les informations suivantes pour les destinations de trap SNMP :
●
●
●
●
●
Nom du réseau ou adresse IP
Protocole d'authentification SNMP à utiliser
Protocole de confidentialité à utiliser
Version SNMP à utiliser
Chaîne de communauté (applicable à la destination SNMP v2c uniquement)
3. Sous Niveau de gravité des alertes à envoyer:, choisissez l'une des options suivantes pour définir le niveau de gravité
auquel un événement doit correspondre pour que des traps SNMP soient générées :
● Critique
Paramètres d'alerte de sécurité
61
●
●
●
●
62
Alertes
Alertes
Alertes
Alertes
d'erreur et au-dessus
d'avertissement et au-dessus
de notification et au-dessus
d'information et au-dessus
Paramètres d'alerte de sécurité
8
Autres paramètres de sécurité
Ce chapitre contient des informations supplémentaires permettant de garantir un fonctionnement sécurisé du système de
stockage.
Sujets :
•
•
•
•
•
•
•
À propos des exigences STIG
Gérer le mode STIG (déploiements physiques uniquement)
Gérer les paramètres de compte utilisateur en mode STIG (déploiements physiques uniquement)
Verrouillage/déverrouillage manuel du compte (déploiements physiques uniquement)
Contrôles de sécurité physique (déploiements physiques uniquement)
Protection antivirus
Malware detection
À propos des exigences STIG
Les exigences STIG (Security Technical Implementation Guide) définissent les normes de configuration et de maintenance dans
le cadre des déploiements informatiques requises par le programme IA (Information Assurance) du Département de la Défense
des États-Unis. Ces directives sont conçues pour améliorer les paramètres de sécurité et les options de configuration avant que
les systèmes ne soient connectés à un réseau. Vous trouverez plus d'informations sur les différentes exigences STIG à l'adresse
suivante https://iase.disa.mil/stigs/index.html.
Certaines étapes de renforcement en vue de répondre aux exigences STIG sont activées en exécutant des scripts de
maintenance. La commande de maintenance svc_stig active ou désactive le mode STIG sur un système Unity (déploiements
physiques uniquement) et indique l’état du mode STIG. Cette commande de maintenance fournit un mécanisme simple et
automatisé pour appliquer ces modifications. Ces modifications peuvent également être annulées, s'il existe une exigence
permettant de le faire à une date ultérieure (par exemple, pour résoudre un problème opérationnel).
REMARQUE : Alors que les modifications apportées par le mode STIG aux options de configuration et de gestion peuvent
être annulées, tous les paramètres associés ne sont pas restaurés à leurs valeurs par défaut. Certains paramètres, tels
que les autorisations et les modifications de privilèges apportées aux systèmes de fichiers au niveau de l'environnement
d'exploitation, sont conservés.
Le système de stockage conservera le mode STIG de manière permanente grâce à la mise à niveau du logiciel.
Gérer le mode STIG (déploiements physiques
uniquement)
Lorsque le mode STIG est activé via la commande de maintenance svc_stig, l’état de chaque mode STIG appliqué (catégorie I
ou Catégorie II ou les deux) s’affiche. Vous pouvez spécifier les catégories applicables, mais si vous utilisez svc_stig -e
sans spécifier d’options spécifiques, les modes STIG CAT I et CAT II sont appliqués par défaut. Lorsque la catégorie CAT II est
activée, l'interface de service SSH du système de stockage et Unisphere affichent une bannière de connexion DoD pour les
sessions interactives.
Pour renforcer votre système de stockage, suivez ces trois étapes dans l'ordre :
REMARQUE : Assurez-vous que le mode FIPS est désactivé avant l’activation du mode STIG.
1. Activez le mode STIG. Ce processus applique les modifications au SP passif et le redémarre. Une fois le redémarrage
complètement terminé, le SP passif devient actif. Les modifications sont ensuite appliquées au précédent SP actif avant de
procéder à son redémarrage.
2. Activez le mode FIPS 140-2. Ce processus entraîne le redémarrage des SP. Pour plus d’informations sur le mode FIPS 140-2,
reportez-vous à la section Prise en charge de la gestion pour FIPS 140-2 , page 46.
Autres paramètres de sécurité
63
3. Activez les paramètres du compte utilisateur STIG. Pour plus d’informations sur les paramètres de compte d’utilisateur STIG,
reportez-vous à la section Gérer les paramètres de compte utilisateur en mode STIG (déploiements physiques uniquement) ,
page 65.
Pour désactiver le renforcement de votre système de stockage, suivez ces trois étapes dans l'ordre :
1. Désactivez les paramètres du compte utilisateur STIG.
2. Désactivez le mode FIPS 140-2.
3. Désactivez le mode STIG.
Exemples d’utilisation
Usage: svc_stig [<qualifiers>] where the qualifiers are:
-h|--help
-d|--disable
-e|--enable
-s|--status
: Display this message
[options] : Disable STIGs
[options] : Enable STIGs
[options] : Get status for STIGs
This script enables, disables, and provides current status for each
catgory of STIGs.
See the help text below for more information on options.
Refer to the system documentation for a complete description of STIGs
supported.
-d|--disable:
Used to Disable all STIGs (no option specified).
Options:
-c|--cat [X]
: disable a specific category of STIGs
-e|--enable:
Used to Enable all STIGs (no option specified).
Options:
-c|--cat [X]
: enable a specific category of STIGs
-s|--status:
Used to show the current status (enabled or disabled) for all STIGs
(no option specified).
Options:
-c|--cat [X]
: show status for a specific Category of STIGs
-b|--boolean-format : show boolean status for a specific Category of STIGs
Activer le mode STIG
12:51:21 service@OB-M1204-spb spb:~> svc_stig -e
###############################################################################
WARNING:
WARNING: This action will cause a reboot of the system!!
WARNING:
###############################################################################
###############################################################################
INFO:
INFO: Both Storage Processors will reboot in sequence, starting with peer SP.
INFO: When primary SP comes back from reboot, the process will automatically
INFO: restart to finish applying. Monitor status with 'svc_stig -s'. If status
INFO: does not change to expected value within 30 minutes, contact service
INFO: provider.
INFO:
###############################################################################
Enter "yes" if want to proceed with this action:
64
Autres paramètres de sécurité
Affiche l'état du mode STIG
13:25:15 service@OB-M1204-spa spa:~> svc_stig -s
STIG CATEGORY 1: ENABLED
STIG CATEGORY 2: ENABLED
Gérer les paramètres de compte utilisateur en mode
STIG (déploiements physiques uniquement)
Un utilisateur disposant d'un rôle d'administrateur ou d'administrateur de la sécurité a la possibilité d'activer, de désactiver,
d'afficher et de configurer les paramètres associés aux comptes utilisateur. Les paramètres s'appliquent à tous les comptes
utilisateur, sauf spécification contraire. Lorsque les paramètres du compte utilisateur sont activés sans spécifier de valeur
particulière pour chaque paramètre, la valeur par défaut STIG est automatiquement appliquée. Lorsque les paramètres du
compte utilisateur sont désactivés, chaque paramètre retrouve sa valeur initiale avant l'activation de la fonctionnalité. Les
fonctionnalités suivantes pour les paramètres de compte utilisateur ne sont applicables qu'aux systèmes sur lesquels le mode
STIG est activé :
●
●
●
●
●
Autres exigences en matière de mot de passe
Exigences inhérentes aux échecs de connexion
Période de blocage
Délai d'inactivité de la session
Activer le blocage administrateur par défaut
Voici un récapitulatif des limites de la fonctionnalité de configuration du compte utilisateur :
● La fonctionnalité est uniquement disponible via les commandes UEMCLI /user/account/settings set et /user/
account/settings show.
● Seul un utilisateur doté du rôle d'administrateur ou d'administrateur de la sécurité peut exécuter cette commande.
● Le mot de passe du compte d'administrateur par défaut n'expire jamais.
● La commande renvoie une erreur si elle est utilisée lorsque le mode STIG n'est pas activé.
● Cette fonctionnalité doit être activée séparément après l'activation du mode STIG.
● Cette fonctionnalité doit être désactivée séparément avant la désactivation du mode STIG.
Autres exigences en matière de mot de passe
D'autres exigences en matière de mot de passe sont ajoutées pour les comptes utilisateur créés ou modifiés après l'activation du
mode STIG :
● Taille minimale de mot de passe
● Nombre de mots de passe
● Période de validité du mot de passe
Le paramètre Taille minimale de mot de passe (-passwdMinSize) désigne la taille minimale que les mots de passe des
comptes d’utilisateur locaux doivent avoir lors de la création d’un compte utilisateur ou lors de la modification d’un mot de passe.
La taille minimale du mot de passe peut être configurée pour être comprise entre 8 et 40 caractères. La valeur par défaut
lorsque les paramètres du compte utilisateur sont activés sans spécifier la taille minimale du mot de passe est de 15 caractères.
Lorsque les paramètres du compte utilisateur sont désactivés, la taille minimale du mot de passe est définie à 8 caractères.
Toute modification apportée à ce paramètre n'affecte pas les comptes utilisateur locaux ayant été créés avant la modification,
sauf si le mot de passe est modifié.
Le paramètre Nombre de mots de passe (-passwdCount) représente le nombre de mots de passe ne pouvant pas être
réutilisés pour les comptes d’utilisateur locaux. Le nombre de mots de passe peut être configuré pour être compris entre 3 et
12 mots de passe. La valeur par défaut lorsque les paramètres du compte utilisateur sont activés sans spécifier le nombre de
mots de passe est de 5 mots de passe. Lorsque les paramètres de compte utilisateur sont désactivés, le nombre de mots de
passe est défini à 3 mots de passe. Ce paramètre a une incidence sur tous les comptes utilisateur locaux existants et nouveaux.
Le paramètre Période de validité du mot de passe (-passwdPeriod) désigne la période en jours avant expiration des comptes
d’utilisateur locaux. La période de validité du mot de passe peut être configurée pour être comprise entre 1 et 180 jours, la
valeur -noPasswdPeriod signifiant qu'un mot de passe n'expirera jamais. La valeur par défaut lorsque les paramètres du compte
utilisateur sont activés sans spécifier de période de validité du mot de passe est de 60 jours. Lorsque les paramètres de compte
utilisateur sont désactivés, le champ de la période de validité du mot de passe est vide. Ce paramètre a une incidence sur
Autres paramètres de sécurité
65
tous les comptes utilisateur locaux existants et nouveaux. Toutefois, ce paramètre ne s'applique pas au compte utilisateur
administrateur par défaut pour lequel le mot de passe n'expire jamais.
État d'expiration du mot de passe
Un utilisateur doté d'un rôle d'administrateur ou d'administrateur de la sécurité peut consulter le paramètre d'expiration du mot
de passe de tous les comptes utilisateur locaux. Ce paramètre ne peut pas être défini. Il peut uniquement être affiché lorsque
l’option -detail est spécifiée dans la commande UEMCLI /user/account/settings show.
L'état d'expiration du mot de passe pour un compte utilisateur apparaît sous l'une des valeurs suivantes :
● N/A : s’affiche lorsqu’un mot de passe est défini pour ne jamais expirer, lorsque le compte d’utilisateur est de type LDAP ou
lorsque les paramètres de compte d’utilisateur sont désactivés.
● # jours restants : s’affiche lorsque les paramètres du compte d’utilisateur sont activés et que la période de validité du mot de
passe est configurée sur une valeur supérieure à 0.
● expiré : s’affiche lorsque le mot de passe du compte d’utilisateur a expiré.
Exigences inhérentes aux échecs de connexion
Les exigences inhérentes aux échecs de connexion suivantes sont ajoutées aux comptes utilisateur locaux après l'activation du
mode STIG :
● Nombre maximal de connexions ayant échoué
● Échec de la période de connexion
Le nombre maximal autorisé d'échecs de connexion consécutifs pour les comptes utilisateur locaux peut être configuré pour
être compris entre 1 et 10 échecs de connexion consécutifs. La valeur par défaut lorsque les paramètres du compte utilisateur
sont activés sans spécifier le nombre maximal d'échecs de connexion est de 3 échecs de connexion consécutifs. Lorsque les
paramètres de compte utilisateur sont désactivés, aucune valeur n'est définie pour le nombre maximal d'échecs de connexion
consécutifs.
REMARQUE : Les paramètres de la période d’échec de connexion (-failedLoginPeriod) et de la période de blocage
(-lockoutPeriod) doivent être spécifiés par une valeur lorsque le paramètre du nombre maximal d’échecs de connexion
(-maxFailedLogins) est spécifié. La valeur -noMaxFailedLogins signifie qu’il n’y a pas de nombre maximum
autorisé d’échecs de connexions consécutifs. En outre, -noFailedLoginPeriod et -noLockoutPeriod doivent être
spécifiés lorsque -noMaxFailedLogins est défini. Pour en savoir plus sur ces paramètres, reportez-vous à la rubrique
Désactivation/réactivation du nombre d'échecs de connexion , page 67.
Le paramètre de période d'échec de connexion représente la période en secondes pendant laquelle le nombre d'échecs de
connexion fait l'objet d'un suivi pour les comptes utilisateur locaux. La période peut être configurée pour être comprise entre
1 et 3 600 secondes. La valeur par défaut lorsque les paramètres de compte utilisateur sont activés sans spécifier la période
d'échec de connexion est de 900 secondes. Lorsque les paramètres de compte utilisateur sont désactivés, le champ de la
période d'échec de connexion est vide.
REMARQUE : Les paramètres de la période d’échec de connexion (-maxFailedLogins) et de la période de
blocage (-lockoutPeriod) doivent être spécifiés par une valeur lorsque le paramètre de la période d’échec de
connexion (-failedLoginPeriod) est spécifié. La valeur -noFailedLoginPeriod signifie que le nombre d’échecs
de connexion consécutifs ne fait pas l’objet d’un suivi au cours d’une période donnée. En outre, -noMaxFailedLogins
et -noLockoutPeriod doivent être spécifiés lorsque -noFailedLoginPeriod est défini. Pour en savoir plus sur ces
paramètres, reportez-vous à la rubrique Désactivation/réactivation du nombre d'échecs de connexion , page 67.
Période de blocage
Le paramètre de période de blocage représente la période en secondes pendant laquelle le compte utilisateur local est bloqué
lorsque le nombre maximal d'échecs de connexion consécutifs a été atteint durant la période d'échec de connexion. La période
peut être configurée pour être comprise entre 1 et 86 400 secondes. La valeur par défaut lorsque les paramètres du compte
d’utilisateur sont activés sans spécifier la période de blocage est Manual unlock ; le compte d’utilisateur doit alors être
déverrouillé par un administrateur. Lorsque les paramètres de compte utilisateur sont désactivés, le champ de la période de
blocage est vide.
66
Autres paramètres de sécurité
REMARQUE : Les paramètres du nombre maximum d’échecs de connexion (-maxFailedLogins) et de la période
d’échec de connexion (-failedLoginPeriod) doivent être spécifiés par une valeur lorsque le paramètre de la période
de blocage (-lockoutPeriod) est spécifié. La valeur -noLockoutPeriod signifie que le compte ne sera pas bloqué
parce qu’il a atteint la limite maximale d’échecs de connexion durant la période d’échec de connexion. En outre,
-noMaxFailedLogins et -noFailedLoginPeriod doivent être spécifiés lorsque -noLockoutPeriod est défini.
Pour en savoir plus sur ces paramètres, reportez-vous à la rubrique Désactivation/réactivation du nombre d'échecs de
connexion , page 67.
Désactivation/réactivation du nombre d'échecs de connexion
Un utilisateur doté du rôle d’administrateur ou d’administrateur de la sécurité peut choisir de désactiver toutes les
restrictions de connexion en définissant simultanément les paramètres -noMaxFailedLogins, -noFailedLoginPeriod
et -noLockoutPeriod en une seule commande, par exemple :
uemcli -d 10.0.0.1 -u Local/admin -p MyPassword456! /user/account/settings set
-noMaxFailedLogins -noFailedLoginPeriod -noLockoutPeriod
PRÉCAUTION : Il n’est pas recommandé d’exécuter cette commande en mode STIG. Tant que ce paramètre est
activé, une attaque du mot de passe par force brute peut se produire car aucune vérification n’est effectuée.
Pour réactiver toutes les restrictions de connexion, définissez simultanément des valeurs aux paramètres -maxFailedLogins,
-failedLoginPeriod et -lockoutPeriod en une seule commande, par exemple :
uemcli -d 10.0.0.1 -u Local/admin -p MyPassword456! /user/account/settings set
-maxFailedLogins 3 -failedLoginPeriod 900 -lockoutPeriod 3600
Délai d'inactivité de la session
Le paramètre Délai d'inactivité de la session représente la période en secondes pendant laquelle la session d'un utilisateur
peut être inactive avant la fin automatique de la session. La période peut être configurée pour être comprise entre 1 et
3 600 secondes. La valeur par défaut lorsque les paramètres du compte utilisateur sont activés sans spécifier de délai
d'inactivité de la session est de 600 secondes. Lorsque les paramètres de compte utilisateur sont désactivés, le champ du
délai d'inactivité de la session est vide. Ce paramètre s'applique aux comptes utilisateur locaux et LDAP.
REMARQUE : La valeur -noSessionIdleTimeout signifie que la session ne va pas expirer en raison de l’inactivité.
Activer le blocage administrateur par défaut
Le paramètre Activer le blocage administrateur par défaut indique si les fonctionnalités de verrouillage de compte manuel et
automatique s'appliqueront au compte d'administrateur par défaut local. Ce paramètre peut être configuré sur yes ou no. La
valeur par défaut est no lorsque les paramètres de compte d’utilisateur sont activés sans spécifier ce paramètre. La valeur no
signifie que les fonctionnalités de verrouillage manuel et automatique du compte ne s’appliquent pas au compte d’utilisateur
administrateur local par défaut.
Verrouillage/déverrouillage manuel du compte
(déploiements physiques uniquement)
Un utilisateur doté du rôle d'administrateur a la possibilité de verrouiller/déverrouiller manuellement les comptes utilisateur.
Une fois qu'un compte utilisateur est verrouillé manuellement, l'utilisateur ne peut pas s'authentifier même si les informations
d'identification sont valides. En outre, le compte utilisateur reste verrouillé jusqu'à ce qu'un administrateur le déverrouille
manuellement.
Voici un récapitulatif des limites de la fonctionnalité de verrouillage/déverrouillage manuel :
● La fonctionnalité est uniquement disponible via l'interface UEMCLI, /user/account/ -id <administrator_id>
set -locked {yes|no}.
● Seul un utilisateur doté du rôle d'administrateur peut exécuter cette commande.
● Le compte administrateur par défaut ne peut pas être verrouillé/déverrouillé.
Autres paramètres de sécurité
67
● Un utilisateur ne peut pas verrouiller/déverrouiller ses propres comptes.
● La commande renvoie une erreur si elle est utilisée lorsque le mode STIG n'est pas activé.
Contrôles de sécurité physique (déploiements
physiques uniquement)
Le lieu d'installation du système de stockage doit être choisi et, si nécessaire, adapté de sorte que sa sécurité physique soit
garantie. Il convient notamment de veiller à ce que les portes et verrous soient en nombre suffisant, à limiter l'accès physique
au système aux seules personnes autorisées et à contrôler cet accès, à doter le système d'une source d'alimentation fiable, et à
respecter les meilleures pratiques en matière de câblage.
En outre, les éléments et composants suivants du système de stockage nécessitent une vigilance particulière :
● Bouton de réinitialisation des mots de passe : réinitialise temporairement les mots de passe par défaut du compte de
maintenance et du compte administrateur par défaut du système de stockage jusqu'à ce qu'un administrateur réinitialise les
mots de passe.
● Connecteur de port de service Ethernet du SP : permet l'accès authentifié via une connexion par port de service Ethernet du
SP.
Protection antivirus
Le système de stockage prend en charge CAVA (Common AntiVirus Agent). CAVA, composant de Common Event Enabler
(CEE), offre une solution antivirus aux clients utilisant un système de stockage. Il emploie un protocole SMB standard dans
un environnement Microsoft Windows Server. CAVA utilise un logiciel antivirus tiers pour identifier et éliminer les virus connus
avant qu'ils infectent les fichiers du système de stockage. Le programme d'installation CEE (qui contient celui de CAVA) et les
notes de mise à jour CEE sont disponibles via le Support en ligne sous Support par produit pour la gamme Unity, Unity VSA,
Unity hybride ou Unity 100 % Flash dans Téléchargements > Version complète.
Malware detection
Malware detection is performed during Unity engineering cycle. Dell EMC ensures that Unity systems are free of malware
before the product ships. Because the Unity system is an appliance, additional software cannot be installed; therefore, malware
detection is not provided or needed in deployed Unity systems.
68
Autres paramètres de sécurité
A
Suites de chiffrement TLS
Cette annexe répertorie les suites de chiffrement TSL prises en charge par le système de stockage.
Sujets :
•
Suites de chiffrement TLS pris en charge
Suites de chiffrement TLS pris en charge
Une suite de chiffrement définit un ensemble de technologies permettant de sécuriser vos communications TLS :
● Algorithme d'échange de clé (comment la clé secrète utilisée pour chiffrer les données est communiquée entre le client et le
serveur). Exemples : clé RSA ou Diffie-Hellman (DH)
● Méthode d'authentification (comment les hôtes peuvent authentifier l'identité des hôtes distants). Exemples : certificat RSA,
certificat DSS ou aucune authentification
● Méthode de chiffrement (comment chiffrer les données). Exemples : AES (256 ou 128 bits)
● Algorithme de hachage (assurer les données en fournissant un moyen de déterminer si les données ont été modifiées).
Exemples : SHA-2 ou SHA-1
Les suites de chiffrement prises en charge combinent tous ces éléments.
La liste suivante affiche les noms OpenSSL des suites de chiffrement TLS pour le système de stockage et les ports associés.
Tableau 20. Suites de chiffrement TSL par défaut/prises en charge sur le système de stockage
Suites de chiffrement
Protocoles
Ports
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS 1.0, TLS 1.1, TLS 1.2
443, 8443, 8444
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS 1.0, TLS 1.1, TLS 1.2
443, 8443, 8444
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS 1.2
443, 8443, 8444
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS 1.2
443, 8443, 8444
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS 1.2
443, 8443, 8444
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS 1.2
443, 8443, 8444
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS 1.0, TLS 1.1, TLS 1.2
443, 8443, 8444
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS 1.0, TLS 1.1, TLS 1.2
443, 8443, 8444
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS 1.2
443, 8443, 8444
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS 1.2
443, 8443, 8444
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS 1.2
443, 8443, 8444
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS 1.2
443, 8443, 8444
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS 1.0, TLS 1.1, TLS 1.2
5989
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS 1.2
5989
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS 1.2
5989
TLS_RSA_WITH_AES_128_CBC_SHA
TLS 1.0, TLS 1.1, TLS 1.2
5989
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS 1.2
5989
TLS_RSA_WITH_AES_256_CBC_SHA
TLS 1.0, TLS 1.1, TLS 1.2
5989
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS 1.2
5989
Suites de chiffrement TLS
69
B
Configuration LDAP
Cette annexe décrit comment configurer le système Unity pour qu'il se connecte à un serveur LDAP pour l'authentification et
comment attribuer des rôles aux utilisateurs et groupes LDAP.
Sujets :
•
•
•
•
À propos de la configuration LDAP
Configurer le serveur DNS
Configurer un serveur LDAP
Configurer un utilisateur LDAP
À propos de la configuration LDAP
Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole d'application pour l'interrogation et la modification
de services d'annuaire s'exécutant sur des réseaux TCP/IP. Il aide à centraliser la gestion des opérations d'autorisation et
d'authentification réseau. L'intégration des utilisateurs de Unisphere à un environnement LDAP existant offre un moyen de
contrôler l'accès de gestion en fonction de comptes utilisateur et de groupes définis à l'aide de l'annuaire LDAP.
Avant de configurer LDAP, vous devez configurer le système Unity pour qu'il se connecte à un serveur DNS. Cette action est
requise pour résoudre l'adresse IP et le nom d'hôte complet pour chaque serveur LDAP configuré.
Les entités en réseau qui échangent des données s'authentifient les unes les autres à l'aide de certificats. Pour que des
communications sécurisées aient lieu entre deux entités en réseau, une entité doit accorder sa confiance au certificat de l'autre
entité (acceptation). Unisphere utilise le protocole SSL/TLS et la norme de certificat X.509 pour sécuriser les communications
entre les clients (systèmes de stockage) et les serveurs (LDAP). Le système Unity nécessite le téléchargement du fichier de
chaîne de certificats, afin de vérifier correctement le certificat de serveur reçu du serveur LDAP lors de l’établissement de la
session TLS.
Une fois les paramètres LDAP du système configurés pour le système Unity, vous pouvez exécuter des fonctions de gestion
utilisateur, telles que l'attribution d'autorisations d'accès à Unisphere sur la base d'utilisateurs et de groupes existants, dans le
contexte d'une structure d'annuaire LDAP déterminée.
Suivez cette séquence d'étapes pour configurer LDAP sur un système Unity :
1. Configurer le serveur DNS
REMARQUE : Requis uniquement lorsque les noms d'hôte sont utilisés pour les adresses IP LDAP ou lorsque la
fonctionnalité LDAP dynamique est utilisée. Dans le cas contraire, cette étape est facultative.
2. Configurer le serveur LDAP.
3. Vérifiez la connexion du serveur LDAP.
4. Configurez LDAPS pour le serveur LDAP.
5. Vérifiez la connexion au serveur LDAP à l’aide du protocole LDAPS.
6. Configurez les utilisateurs et les groupes LDAP
REMARQUE : L'Aide en ligne Unisphere fournit plus d'informations sur LDAP et DNS et les étapes pour configurer le
système Unity afin de se connecter à un serveur LDAP et un serveur DNS, et comment assigner des rôles et gérer des
utilisateurs et groupes LDAP.
Configurer le serveur DNS
À propos de cette tâche
Le DNS doit être configuré avant de configurer le serveur LDAP pour résoudre les adresses du serveur LDAP. Cela est
nécessaire pour résoudre l'adresse IP et le nom d'hôte complet pour que chaque serveur LDAP soit résolu.
Pour configurer le DNS, procédez ainsi :
70
Configuration LDAP
Étapes
1. Dans Unisphere, cliquez sur l’icône en forme d’engrenage pour afficher la page Paramètres.
2. Dans le panneau de gauche, sous Gestion, cliquez sur Serveur DNS.
La page Gérer les serveurs du nom de domaine apparaît.
3. En fonction de votre configuration de site, procédez de l'une des façons suivantes :
● Si le système est configuré pour récupérer les adresses du serveur DNS à partir d'une source distante, sélectionnez
Obtenir automatiquement une adresse de serveur DNS.
● Sélectionnez Configurer manuellement une adresse de serveur DNS et entrez au moins une adresse IP pour un
serveur DNS sur lequel le serveur LDAP est configuré. Si les serveurs LDAP sont configurés manuellement à l'aide
d'adresses IP, les serveurs LDAP doivent se trouver à la fois dans des zones de recherche directe et inversée sur le
serveur DNS.
4. Une fois que les adresses du serveur DNS sont configurées, cliquez sur Appliquer pour enregistrer la configuration du
serveur DNS.
Configurer un serveur LDAP
À propos de cette tâche
La configuration du serveur LDAP consiste à spécifier les informations de configuration nécessaires pour se connecter au
serveur LDAP.
Pour configurer LDAP, procédez ainsi :
Étapes
1. Dans Unisphere, cliquez sur l’icône en forme d’engrenage pour afficher la page Paramètres.
2. Dans le panneau de gauche, sous Utilisateurs et groupes, cliquez sur Services d’annuaire.
La page Configurer les informations d’identification du serveur LDAP s'affiche.
3. Pour le Nom du domaine, tapez le nom de domaine du serveur d'authentification LDAP.
Le nom de domaine doit être renseigné lorsque la configuration du serveur LDAP est créée. Après cela, il est grisé parce qu'il
ne peut pas être modifié sans supprimer et recréer la configuration du serveur LDAP.
4. Pour le Nom unique, saisissez le nom unique de l’utilisateur LDAP disposant de privilèges d'administrateur.
Le
●
●
●
nom unique doit être spécifié dans l'un des formats suivants :
Format de notation LDAP (par exemple cn=Administrator,cn=Users,dc=mycompany,dc=com)
<user>@<domain> format (par exemple, Administrator@mycompany.com)
<domain>/<user> format (par exemple, mycompany.com/Administrator)
5. Pour le Mot de passe, tapez le mot de passe de l'utilisateur spécifié dans Nom unique.
6. Si le serveur LDAP utilise un port différent pour LDAP par rapport au numéro de port par défaut 389, remplacez le port par le
numéro de port requis.
Par exemple, spécifiez le port 3268 pour LDAP avec l'authentification au niveau de la forêt. (En utilisant LDAP avec
nsroot.net au lieu de nam.nsroot.net, les clients peuvent interroger l’ensemble de la forêt Active Directory (AD,
port 3268) au lieu du seul domaine AD (port TCP 389). Par ailleurs, l’association de rôles AD est basée sur les champs
d’application de groupe des groupes locaux de domaine et des groupes universels. Ainsi, les utilisateurs finaux peuvent
rechercher l’annuaire AD sur un champ d’application approprié aux besoins et éviter les recherches de groupes inutiles.) Il est
vivement recommandé de configurer et de vérifier LDAP avant de configurer Secure LDAP (LDAPS). Ceci réduit au minimum
tout dépannage qui peut être nécessaire lors de l'activation de LDAPS.
7. Dans Adresse du serveur, exécutez l'une des opérations suivantes :
● Pour ajouter manuellement une adresse de serveur, cliquez sur Ajouter pour afficher la boîte de dialogue Serveur LDAP,
entrez l'adresse IP ou le nom d'hôte complet, puis cliquez sur OK. Pour supprimer une adresse de serveur, sélectionnez
l'adresse dans la zone de texte et cliquez sur Supprimer.
● Pour récupérer automatiquement les adresses du serveur DNS, cliquez sur Découverte automatique.
8. Si le serveur LDAP dispose d’un chemin de recherche différent de la valeur par défaut cn=Users,dc= pour l'utilisateur ou
le groupe, ou les deux, cliquez sur Avancé.
La boîte de dialogue Avancé s'affiche.
9. Dans la fenêtre Avancé, mettez à jour les chemins de recherche ou d'autres champs si nécessaire, puis cliquez sur OK pour
enregistrer les modifications de configuration avancées.
Configuration LDAP
71
Par exemple, si vous configurez l'authentification au niveau de la forêt, sélectionnez Avancé pour accéder à la fenêtre
Avancé et spécifiez userPrincipalName dans le champ Attribut ID utilisateur. Si le serveur LDAP a un chemin de
recherche autre que celui par défaut (cn=Users,dc= ) pour les utilisateurs, les groupes ou les deux, accédez à la fenêtre
Paramètres avancés pour mettre à jour les chemins de recherche ou d'autres propriétés si nécessaire.
10. Une fois que toutes les informations de configuration LDAP sont spécifiées, cliquez sur Appliquer pour enregistrer la
configuration.
Si Découverte automatique a été sélectionnée pour récupérer automatiquement les adresses du serveur DNS, les adresses
de serveur obtenues à partir de DNS sont affichées en grisé dans Adresse du serveur.
Étapes suivantes
Une fois la configuration du serveur LDAP enregistrée et pour éviter tout risque d’indisponibilité des données, la configuration
doit être vérifiée pour confirmer que les connexions au serveur LDAP seront réussies.
Vérifier la configuration LDAP
À propos de cette tâche
REMARQUE : Pour éviter tout risque d’indisponibilité des données, vous devez vérifier la connexion LDAP après chaque
modification de la configuration LDAP.
Pour vérifier la réussite de la connexion au serveur LDAP, procédez comme suit :
Étapes
1. Cliquez sur Vérifier la connexion sur la page Configurer les informations d'identification du serveur LDAP.
Si la configuration est valide, une connexion sera établie avec le serveur LDAP et une coche verte apparaîtra avec le texte
Connexion vérifiée.
2. Si la vérification échoue, les étapes suivantes sont recommandées pour résoudre le problème d’échec :
a. Vérifiez les informations de configuration Configurer les informations d’identification du serveur LDAP, en
particulier le Nom unique (nom d'utilisateur), le Mot de passe et l'Adresse du serveur (adresse IP ou nom d’hôte).
b. Vérifiez que le serveur LDAP est en ligne.
c. Vérifiez qu'il n'y a pas de problème de réseau, comme des règles de pare-feu qui pourraient bloquer l'accès au port LDAP,
la configuration du routeur réseau qui empêcherait la connexion, etc.
Configurer LDAP sécurisé
À propos de cette tâche
La configuration de LDAP sécurisé (LDAPS) requiert les éléments suivants :
● Configurer le protocole LDAPS et le port
● Configurer la chaîne de certificats
Lorsque LDAPS est configuré, le système Unity se connecte au serveur LDAP à l'aide de TLS. Le système Unity nécessite le
téléchargement du fichier de chaîne de certificats, afin de vérifier correctement le certificat de serveur reçu du serveur LDAP
lors de l’établissement de la session TLS.
Le format du fichier de certificat à télécharger est le suivant :
● Le fichier de certificat doit se terminer par une extension de fichier cer. Exemple : LdapServerChain.cer
● Tous les certificats du fichier de certificat à télécharger doivent être au format PEM. Les certificats formatés PEM sont des
textes ASCII qui commencent par -----BEGIN CERTIFICATE----- et finissent par -----END CERTIFICATE-----.
● Le certificat du serveur LDAP doit avoir le Nom du serveur, tel qu'il est spécifié dans la configuration LDAP, dans le champ
Objet ou Nom alternatif de l’objet du certificat. Ceci est nécessaire pour vérifier que le certificat provient du serveur LDAP
désiré.
● Si le certificat du serveur LDAP est auto-signé, seul le certificat du serveur est requis.
● Si le certificat du serveur LDAP est signé par une autorité de certification, la chaîne de certificats, jusqu'à l'autorité de
certification racine, doit figurer dans le fichier de certificat à télécharger dans l'ordre suivant :
1. Certificat de l'autorité de certification intermédiaire (le cas échéant).
72
Configuration LDAP
2. ...
3. Certificat de l’autorité de certification racine.
4. S'il y a plusieurs certificats dans le fichier à télécharger, il doit y avoir une nouvelle ligne entre chaque certificat.
Pour configurer LDAPS, procédez ainsi :
Étapes
1. Cochez la case Utiliser le protocole LDAPS à la page Configurer les informations d’identification du serveur LDAP.
Le port passe automatiquement à 636, qui est le numéro de port LDAPS par défaut. Si le serveur LDAP utilise un port
différent pour LDAPS, remplacez le port par le numéro de port requis. Par exemple, spécifiez le port 3269 pour LDAPS
avec l'authentification au niveau de la forêt. (En utilisant LDAPS avec nsroot.net au lieu de nam.nsroot.net, les
clients peuvent interroger l’ensemble de la forêt AD (port 3269) au lieu du seul domaine AD (port TCP 636). Par ailleurs,
l’association de rôles AD est basée sur les champs d’application de groupe des groupes locaux de domaine et des groupes
universels. Ainsi, les utilisateurs finaux peuvent rechercher l’annuaire AD sur un champ d’application approprié aux besoins
et éviter les recherches de groupes inutiles.) En outre, Télécharger le certificat devient actif lorsque la case Utiliser le
protocole LDAPS est cochée.
2. Cliquez sur Télécharger le certificat.
La boîte de dialogue Télécharger le fichier s'affiche.
3. Cliquez sur Choisir un fichier.
4. Naviguez jusqu’au fichier de certificat souhaité, sélectionnez le fichier et cliquez sur Démarrer le téléchargement.
5. Une fois le chargement du fichier terminé, cliquez sur Appliquer pour enregistrer les modifications de configuration.
Étapes suivantes
Vous devez vérifier la configuration après avoir configuré LDAP et téléchargé le fichier de certificat du serveur.
Vérifier la configuration LDAPS
À propos de cette tâche
REMARQUE : Pour éviter tout risque d’indisponibilité des données, vous devez vérifier la connexion LDAP après chaque
modification de la configuration LDAP.
Pour vérifier la configuration LDAPS, exécutez la commande suivante :
Étapes
1. Cliquez sur Vérifier la connexion sur la page Configurer les informations d'identification du serveur LDAP.
Si la configuration est valide, une connexion sera établie avec le serveur LDAP et une coche verte apparaîtra avec le texte
Connexion vérifiée.
2. Si la vérification échoue, les étapes suivantes sont recommandées pour résoudre le problème d’échec :
a. Vérifiez les informations de configuration Configurer les informations d’identification du serveur LDAP, en
particulier le numéro de port.
b. Vérifiez que le serveur LDAP est en ligne et configuré pour LDAPS.
c. Vérifiez que les certificats du fichier de certificat téléchargé sont valides, par exemple, qu’ils n’ont pas expiré et se
trouvent dans le bon ordre.
d. Vérifiez que le Nom du serveur configuré se trouve dans le champ Objet ou Nom alternatif de l’objet du certificat du
serveur LDAP.
e. Vérifiez qu'il n'y a pas de problème de réseau, comme des règles de pare-feu qui pourraient bloquer l'accès au port
LDAPS, etc.
Étapes suivantes
Lorsque le serveur LDAP est configuré, un ou plusieurs utilisateurs ou groupes LDAP doivent être ajoutés au système Unity pour
mapper les utilisateurs (ou groupes) aux rôles. Sinon, l'authentification LDAP réussira lors de la connexion, mais la connexion
échouera car aucun rôle ne pourra être assigné à l'utilisateur.
Configuration LDAP
73
Configurer un utilisateur LDAP
À propos de cette tâche
La procédure de création d'un groupe LDAP sur le système Unity est la même que la création d'un utilisateur LDAP, sauf que le
groupe LDAP doit également être créé sur le serveur LDAP, et les utilisateurs LDAP ajoutés en tant que membres de ce groupe.
La création d'un groupe LDAP présente l'avantage d'un groupe LDAP configuré sur le système Unity, puis attribué à plusieurs
utilisateurs LDAP.
Pour créer un utilisateur ou un groupe LDAP, procédez comme suit :
REMARQUE : Le serveur LDAP doit être configuré avant qu'un utilisateur ou un groupe LDAP puisse être créé.
Étapes
1. Dans Unisphere, cliquez sur l’icône en forme d’engrenage pour afficher la page Paramètres.
2. Dans le panneau de gauche, sous Utilisateurs et groupes, cliquez sur Gestion des utilisateurs.
La page Gérer les utilisateurs et les groupes s'affiche.
3. Cliquez sur l'icône Ajouter (signe plus).
L’assistant Créer un utilisateur ou un groupe s’affiche.
4. Exécutez l’une des opérations suivantes :
● Cliquez Utilisateur LDAP.
● Cliquez sur Groupe LDAP.
5. Cliquez sur Next.
La page Informations LDAP s’affiche avec l’autorité LDAP affichée sur la page.
6. Pour l’utilisateur LDAP, saisissez le nom d’utilisateur répertorié dans le serveur LDAP.
REMARQUE : Les noms d’utilisateur et de groupe LDAP sont sensibles à la casse. Le nom d’utilisateur ou de groupe
LDAP spécifié doit correspondre exactement au nom du serveur LDAP.
7. Cliquez sur Next.
La page Rôle s'affiche.
8. Cliquez sur le bouton radio du rôle à assigner.
9. Cliquez sur Next.
La page Résumé apparaît.
10. Après avoir vérifié que le nom d'utilisateur ou de groupe LDAP et le rôle sont corrects, cliquez sur Terminer pour terminer la
transaction ou sur Précédent pour modifier la configuration de l'utilisateur.
Lorsque la création de l'utilisateur ou du groupe a réussi, la page Résultats s'affiche.
11. Cliquez sur Fermer pour fermer l'assistant Créer un utilisateur ou un groupe.
L’utilisateur ou le groupe LDAP qui a été ajouté apparaîtra dans la liste d’utilisateurs de la page Gérer des utilisateurs et
des groupes.
74
Configuration LDAP
">