显示SUCCESS了就说明激活ZONESET并保存配置成功了。
三.如何做好ZONE
做一个ZONE很简单,但是如何做好ZONE,却要考虑到方方面面的问题。 1. 推荐使用WWN ZONE(客户有特殊要求或FICON环境除外),原因如下:
1) PORT ZONE只能通过物理隔离来保证ZONE安全,而WWN ZONE能限制只有指定设备才能访问ZONE。
2) NPIV和AG环境中,只能使用WWN ZONE来划分ZONE给CLUSTER上的主机或虚机。
3) IVR/FCR和磁带加速技术只能使用WWN ZONE。
2. LUN MASKING和ZONE同时使用
ZONE和LUN MASKING都可以隔离主机和存储之间的通信,但是这两者作用在不同的层面。ZONE在交换机上面生效,LUN MASKING在存储端口生效,两者无法做相互取代。
3. ALIAS命名应该清晰易懂,确保不会混淆。
4. 博科交换机尽量避免使用混合ZONE模式。博科交换机在6.4.3之前有一个BUG,会导致在混合ZONE里的主机自动登出存储。
5. 思科交换机使用ENHANCED ZONING,防止多个用户同时更改ZONE配置导致配置丢失。
6. 关闭DEFAULT ZONE,避免未经验证的设备登入网
CIFS安全协议之KERBEROS
大家都知道对于NAS的CIFS 来说,NTLM和KERBEROS是两个比较重要的验证方式。今天我们来讨论一下作为CIFS安全认证之一的KERBEROS协议。
KERBEROS 是一种依赖于验证技术共享密钥的协议,其基本概念很简单,如果一个秘密只有两个人知道,任何一个人都可以通过他们之间共享的秘密来确定对方的身份。用技术的语言来讲,就是对称加密,互相确认。
说到这里,可能有人会问,NTLM也是CIFS的安全认证啊,为什么KERBEROS会用的更广泛呢?他的优点又在哪呢?相信大家了解了KERBEROS的工作原理之后就会清楚了。
KERBEROS认证和我们看电影的过程差不多,主要分三个步骤: 第一步咨询:用户登陆DOMAIN 第二步买票:用户获得SERVICE票据 第三步来访:使用服务票据访问某服务
?
用户登陆DOMAIN (LOGGING INTO THE DOMAIN)
1. AUTHENTICATION SERVER REQUEST AS_REQ,即上图步骤(1)
一个用户在一台CLIENT机上第一次登陆时,会有弾框提示输入用户名和密码。这时用户密码信息会通过HASH算法产生一个用户的LONG TERM KEY(LTK),再和用户登陆CLIENT端时的时间戳一起进行加密,然后这个用户验证请求被发送给KERBEROS DATA CENTER(KDC),并要求KDC返回一个相应的TICKET GRANTING TICKET(TGT)。
2. AUTHENTICATION SERVER RESPONSE
AS_REP,即上图步骤(2)
KDC在数据库中先找到该用户的密码,并用同样的HASH算法生成一个LTK。 然后KDC通过LTK从预认证信息PREAUTH包KRB_AR_REQ中解密出用户信息和时间戳, 如果用户信息无误,并且时间戳和目前信息相差在5分钟之内,KDC会认为该用户验证通过。KDC将生成一个TGT,并准备把TGT返回给CLIENT。
在生成TGT的同时,KDC生成一组随机数作为LOGON SESSION KEY,并让他和客户端传来的LTK再次进行加密,产生一个名叫ENC-PART的信息放在该KRB_AS_REP包中,KDC还会用生成的TGT与能被所有KDC识别的LTK进行加密,再次产生一个ENC-PART放在TGT的头中,这样就得到了一个只有KDC能解开的TGT,最后把这个TGT加入KRB_AS_REP包中并发送至CLIENT端。
3. TICKET CACHE
CLIENT端收到KRB_AS_REP后会用自己的LTK来解密KRB_AS_REP中的ENC-PART,这里我们默认会得到KDC选用的随机数LOGON SESSION KEY。这时候CLIENT端将会把得到的LOGON SESSION KEY和KRB_AS_REP中带有原始时间戳的TGT一起存入票据内存中准备给下面过程使用。
PS:这时候KDC为了减少自身负担,并没有吧LOGON SESSION KEY保存在自己这边,所有只有这个用户在CLIENT端的票据内存里面才有该记录了。
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库【存储入门必读】存储基础知识(8)在线全文阅读。
相关推荐: