安全服务¶
为了客户端的身份验证和授权,共享文件系统存储服务可以选择性地配置不同的网络身份验证协议。支持的身份验证协议包括 LDAP、Kerberos 和 Microsoft Active Directory 身份验证服务。
安全服务简介¶
创建共享并获取其导出位置后,用户没有权限挂载它并操作文件。共享文件系统服务需要显式授予对新共享的访问权限。
用于身份验证和授权 (AuthN/AuthZ) 的客户端配置数据可以由 security services 存储。如果使用的驱动程序和后端支持,共享文件系统服务可以使用 LDAP、Kerberos 或 Microsoft Active Directory。身份验证服务也可以在不使用共享文件系统服务的情况下进行配置。
注意
在某些情况下,需要显式指定其中一项安全服务,例如,NetApp、EMC 和 Windows 驱动程序需要 Active Directory 才能使用 CIFS 协议创建共享。
安全服务管理¶
安全服务是共享文件系统服务 (manila) 实体,它抽象了一组定义特定共享文件系统协议的安全域的选项,例如 Active Directory 域或 Kerberos 域。安全服务包含共享文件系统创建加入给定域的服务器所需的所有信息。
使用 API,用户可以创建、更新、查看和删除安全服务。安全服务的设计基于以下假设
租户提供安全服务的详细信息。
管理员关心安全服务:他们配置这些安全服务的服务器端。
在共享文件系统 API 内部,
security_service与share_networks相关联。共享驱动程序使用安全服务中的数据来配置新创建的共享服务器。
创建安全服务时,可以选择以下其中一种身份验证服务
身份验证服务 |
描述 |
|---|---|
LDAP |
轻量级目录访问协议。一种用于通过 IP 网络访问和维护分布式目录信息服务的应用程序协议。 |
Kerberos |
一种网络身份验证协议,它基于票证,允许通过非安全网络进行通信的节点以安全的方式相互证明其身份。 |
Active Directory |
Microsoft 为 Windows 域网络开发的目录服务。使用 LDAP、Microsoft 版本的 Kerberos 和 DNS。 |
共享文件系统服务允许您使用以下选项配置安全服务
在租户网络内部使用的 DNS IP 地址。
安全服务的 IP 地址或主机名。
安全服务的域。
租户使用的用户名或组名。
如果指定了用户名,则用户的密码。
现有的安全服务实体可以与共享网络实体关联,从而告知共享文件系统服务有关一组共享的安全和网络配置。您还可以查看指定共享网络的所有安全服务的列表,并将其从共享网络中分离。
有关通过 API 管理安全服务的详细信息,请参阅 安全服务 API。您还可以通过 python-manilaclient 管理安全服务,请参阅 安全服务 CLI 管理。
管理员和作为共享所有者用户可以通过创建使用 IP 地址、用户、组或 TLS 证书进行身份验证的访问规则来管理 对共享的访问。身份验证方法取决于您配置和使用的共享驱动程序和安全服务。
因此,作为管理员,您可以配置后端以通过网络使用特定的身份验证服务,它将存储用户。身份验证服务可以在没有共享文件系统和身份服务的情况下与客户端一起工作。
注意
不同的共享驱动程序支持不同的身份验证服务。有关不同驱动程序对功能的支持的详细信息,请参阅 Manila 共享功能支持映射。驱动程序对特定身份验证服务支持并不意味着它可以与任何共享文件系统协议进行配置。支持的共享文件系统协议包括 NFS、CIFS、GlusterFS 和 HDFS。有关特定驱动程序及其安全服务配置的信息,请参阅驱动程序供应商的文档。
一些驱动程序支持安全服务,而其他驱动程序不支持上述任何安全服务。例如,使用 NFS 或 CIFS 共享文件系统协议的通用驱动程序仅支持通过 IP 地址进行身份验证方法。
提示
那些支持 CIFS 共享文件系统协议的驱动程序在大多数情况下可以配置为使用 Active Directory 并通过用户身份验证管理访问。
支持 GlusterFS 协议的驱动程序可以与通过 TLS 证书进行身份验证一起使用。
对于支持 NFS 协议的驱动程序,通过 IP 地址进行身份验证是唯一支持的选项。
由于 HDFS 共享文件系统协议使用 NFS 访问,因此也可以配置为通过 IP 地址进行身份验证。
但是,请注意,通过 IP 地址进行身份验证是最不安全的身份验证类型。
共享文件服务实际使用的推荐配置是使用 CIFS 共享协议创建一个共享,并将 Microsoft Active Directory 目录服务添加到其中。在此配置中,您将获得集中式数据库以及将 Kerberos 和 LDAP 方法结合在一起的服务。这是方便生产共享文件系统的实际用例。
