Dell PowerStore 9000X storage spécification

Dell EMC PowerStore
Guide de configuration de la sécurité
1.x
July 2020
Rév. A02
Remarques, précautions et avertissements
REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre produit.
PRÉCAUTION : Une PRÉCAUTION indique un risque d'endommagement du matériel ou de perte de données et vous
indique comment éviter le problème.
AVERTISSEMENT : Un AVERTISSEMENT indique un risque d'endommagement du matériel, de blessures corporelles ou
même de mort.
© 2020 Dell Inc. ou ses filiales. Tous droits réservés. Dell, EMC et les autres marques commerciales mentionnées sont des marques de Dell Inc. ou de
ses filiales. Les autres marques peuvent être des marques commerciales de leurs propriétaires respectifs.
Table des matières
Ressources supplémentaires............................................................................................................5
Chapitre 1: Authentification et accès................................................................................................ 6
Authentification et gestion des comptes d’utilisateur, des rôles et des privilèges........................................................6
Gestion par défaut des paramètres d’usine..................................................................................................................6
Règles des sessions......................................................................................................................................................... 7
Utilisation du nom d’utilisateur et du mot de passe..................................................................................................... 7
Mots de passe ESXi.........................................................................................................................................................7
Rôles et privilèges............................................................................................................................................................ 8
Gestion du compte d’utilisateur en fonction des privilèges du rôle.......................................................................... 11
Réinitialiser les mots de passe des comptes d’administrateur et de maintenance................................................. 11
Certificats..............................................................................................................................................................................13
Affichage des certificats................................................................................................................................................14
Communication sécurisée entre des appliances PowerStore au sein d’un cluster...................................................... 14
Communication sécurisée pour la réplication et l’importation de données................................................................... 14
Prise en charge de vSphere Storage API for Storage Awareness................................................................................ 15
authentification CHAP.........................................................................................................................................................16
Configuration du protocole CHAP..................................................................................................................................... 16
Accès SSH externe.............................................................................................................................................................. 17
Configuration de l’accès SSH externe............................................................................................................................... 17
Sessions SSH.................................................................................................................................................................. 18
Mot de passe du compte de maintenance..................................................................................................................18
Processus d’autorisation SSH.......................................................................................................................................18
Scripts de maintenance des appliances.......................................................................................................................18
Port de maintenance Ethernet des nœuds d’appliance et IPMItool........................................................................ 18
NFS sécurisé.........................................................................................................................................................................19
Sécurité sur les objets du système de fichiers.................................................................................................................20
Accès aux systèmes de fichiers dans un environnement multiprotocole.....................................................................20
Mappage utilisateur........................................................................................................................................................21
Stratégies d'accès pour NFS, SMB et FTP................................................................................................................26
Informations d'identification de la sécurité en mode fichier.....................................................................................26
Description de Common Antivirus Agent (CAVA).......................................................................................................... 28
Signature du code............................................................................................................................................................... 28
Chapitre 2: Paramètres de sécurité de communication..................................................................... 29
Utilisation des ports.............................................................................................................................................................29
Ports réseau de l’appliance...........................................................................................................................................29
Ports réseau de l’appliance liés au fichier.................................................................................................................... 31
Ports réseau associés aux appliances du modèle PowerStore X............................................................................ 34
Chapitre 3: Audit...........................................................................................................................36
Audit...................................................................................................................................................................................... 36
Chapitre 4: Paramètres de sécurité des données..............................................................................37
Table des matières
3
Data at Rest Encryption......................................................................................................................................................37
Activation du chiffrement...................................................................................................................................................37
État du chiffrement............................................................................................................................................................. 37
Gestion des clés...................................................................................................................................................................38
Fichier de sauvegarde du magasin de clés....................................................................................................................... 38
Réutilisation d’un disque dans une appliance avec chiffrement activé.........................................................................39
Remplacement d’un boîtier de base et de nœuds dans un système ayant le chiffrement activé............................ 39
Réinitialisation d’une appliance aux paramètres d’usine................................................................................................. 39
Chapitre 5: Paramètres de maintenance sécurisés........................................................................... 40
Description du fonctionnement de SupportAssist™........................................................................................................40
Options SupportAssist.........................................................................................................................................................41
Options de SupportAssist Gateway Connect.................................................................................................................. 42
Options de SupportAssist Direct Connect....................................................................................................................... 42
Conditions requises pour SupportAssist Gateway Connect.......................................................................................... 43
Conditions requises pour SupportAssist Direct Connect............................................................................................... 43
Configuration de SupportAssist.........................................................................................................................................43
Configurer SupportAssist................................................................................................................................................... 43
Annexe A : Suites de chiffrement TLS............................................................................................. 45
Suites de chiffrement TLS pris en charge........................................................................................................................45
4
Table des matières
Préface :
Dans le cadre d’un effort d'amélioration, des révisions régulières des matériels et logiciels sont publiées. Certaines fonctions décrites dans
le présent document ne sont pas prises en charge par l’ensemble des versions des logiciels ou matériels actuellement utilisés. Pour obtenir
les informations les plus récentes sur les fonctionnalités des produits, consultez les notes de mise à jour des produits. Si un produit ne
fonctionne pas correctement ou ne fonctionne pas comme indiqué dans ce document, contactez un professionnel du support technique .
Obtenir de l’aide
Pour plus d’informations sur le support, les produits et les licences, procédez comme suit :
● Informations sur les produits
Pour obtenir de la documentation sur le produit et les fonctionnalités ou les notes de mise à jour, rendez-vous sur la page de
Documentation de PowerStore à l’adresse www.dell.com/powerstoredocs.
● Résolution des problèmes
Pour obtenir des informations relatives aux produits, mises à jour logicielles, licences et services, rendez-vous sur www.dell.com/
support et accédez à la page Support produits.
● Support technique
Pour les demandes d’intervention et de support technique, rendez-vous sur www.dell.com/support et accédez à la page Service
Requests. Pour pouvoir ouvrir une demande de service, vous devez disposer d’un contrat de support valide. Pour savoir comment
obtenir un contrat de support valide ou si vous avez des questions concernant votre compte, contactez un agent commercial.
Ressources supplémentaires
5
1
Authentification et accès
Ce chapitre contient les informations suivantes :
Sujets :
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Authentification et gestion des comptes d’utilisateur, des rôles et des privilèges
Certificats
Communication sécurisée entre des appliances PowerStore au sein d’un cluster
Communication sécurisée pour la réplication et l’importation de données
Prise en charge de vSphere Storage API for Storage Awareness
authentification CHAP
Configuration du protocole CHAP
Accès SSH externe
Configuration de l’accès SSH externe
NFS sécurisé
Sécurité sur les objets du système de fichiers
Accès aux systèmes de fichiers dans un environnement multiprotocole
Description de Common Antivirus Agent (CAVA)
Signature du code
Authentification et gestion des comptes d’utilisateur,
des rôles et des privilèges
L’authentification requise pour accéder au cluster s’effectue sur la base des informations d’identification d’un compte d’utilisateur. Les
comptes d’utilisateur sont créés et gérés par la suite à partir de la page Users, qui est accessible dans PowerStore Manager via Settings
> Users > Users. Les autorisations qui s’appliquent dépendent du rôle associé au compte d’utilisateur. Une fois que l’utilisateur a saisi
l’adresse réseau du cluster sous forme d’URL dans un navigateur Web, une page de connexion s’affiche pour lui permettre de
s’authentifier en tant qu’utilisateur local. Après authentification des informations d’identification fournies par l’utilisateur, une session est
créée sur le système. Par la suite, l’utilisateur peut surveiller et gérer le cluster grâce aux fonctions du rôle qui lui est attribué.
Le cluster authentifie ses utilisateurs en validant les noms d’utilisateur et les mots de passe via une connexion sécurisée avec le serveur de
gestion.
Gestion par défaut des paramètres d’usine
Votre appliance est configurée avec des paramètres de compte d’utilisateur par défaut que vous devez utiliser la première fois que vous
accédez à l’appliance et que vous la configurez.
REMARQUE : Avec les versions 1.0.x, il est préférable de configurer initialement PowerStore à l’aide de l’interface utilisateur de
PowerStore Manager plutôt qu’avec les interfaces d’API, de ligne de commande ou de scripts de maintenance. Cela garantit que tous
les mots de passe par défaut sont modifiés.
Type de compte
Nom d'utilisateur
Mot de passe
Privilèges
Gestion du système
admin
Password123#
Privilèges d’administration pour la réinitialisation des
mots de passe par défaut, la configuration des
paramètres de l’appliance et la gestion des comptes
d’utilisateur.
Service
service
service
Pour la réalisation des opérations de maintenance.
6
Authentification et accès
Type de compte
Nom d'utilisateur
Mot de passe
Privilèges
REMARQUE : L’utilisateur de maintenance
existe pour l’accès à Secure Shell (SSH).
Toutefois, vous ne pouvez pas vous connecter à
PowerStore Manager à l’aide de l’utilisateur de
maintenance.
Règles des sessions
Les sessions exécutées sur le cluster présentent les caractéristiques suivantes :
● Expiration après une heure.
REMARQUE : L’utilisateur est automatiquement déconnecté du cluster après une durée d’inactivité de session d’une heure.
● Délai d’expiration de la session non configurable.
Utilisation du nom d’utilisateur et du mot de passe
Les noms d’utilisateur du compte système doivent respecter les exigences suivantes :
Restriction
Configuration requise pour le nom d’utilisateur
Structure
Doit commencer et se terminer par un caractère alphanumérique.
Cas
Tous les noms d’utilisateurs sont insensibles à la casse.
Nombre minimal de caractères alphanumériques
1
Nombre maximal de caractères alphanumériques
64
Caractères spéciaux pris en charge
. (point)
Les mots de passe du compte système doivent répondre aux exigences suivantes :
Restriction
Critères pour créer un mot de passe
Nombre minimal de caractères
8
Nombre minimal de caractères majuscules
1
Nombre minimal de caractères minuscules
1
Nombre minimal de caractères numériques
1
Nombre minimal de caractères spéciaux
1
● Caractères pris en charge : ! @ # $ % ^ * _ ~ ?
REMARQUE : Le mot de passe ne peut pas contenir les
caractères suivants : guillemets simples ('), esperluettes (&) ou
espaces.
Nombre maximal de caractères
40
REMARQUE : Les cinq derniers mots de passe sont bloqués et ne peuvent pas être réutilisés. Un mot de passe précédent peut être
réutilisé lorsqu’il est situé après la cinquième position.
Mots de passe ESXi
Le mot de passe root par défaut pour ESXi sur une appliance PowerStore X model est au format suivant : <Service_Tag>_123!, où
<Service_Tag> est le numéro de série Dell à sept caractères de l’appliance.
Authentification et accès
7
Ne modifiez pas le mot de passe ESXi par défaut tant que la configuration initiale du cluster n’est pas terminée. Pour plus d’informations
sur la modification d’un mot de passe ESXi, reportez-vous à la documentation de VMware ESXi.
PRÉCAUTION : Il est essentiel que vous ne perdiez pas le mot de passe ESXi. Si ESXi tombe en panne et que vous n’avez
pas de mot de passe, l’appliance doit être réinitialisée. Ce comportement est normal pour ESXi, mais une réinitialisation
pour perte de mot de passe peut entraîner une perte de données.
PRÉCAUTION : Le mot de passe ESXi par défaut est configuré de manière unique pour chaque appliance PowerStore X
model. Le mot de passe est utilisé pour s’authentifier auprès de l’hôte ESXi lorsque les nœuds de l’appliance sont
ajoutés à un cluster vCenter. Si vous modifiez le mot de passe par défaut avant la configuration complète du cluster,
vous devrez réinitialiser l’appliance.
Rôles et privilèges
Les contrôles d’accès basés sur les rôles permettent aux utilisateurs de disposer de privilèges différents. Cela fournit un moyen de séparer
les rôles d’administration pour mieux s’aligner sur les compétences et les responsabilités.
Le système prend en charge les rôles et privilèges suivants :
REMARQUE : Une case cochée (
) indique un privilège pris en charge pour le rôle concerné tandis qu’une case vide correspond à
un privilège non pris en charge pour ce rôle.
Tâche
Opérateur
Administrateur
VM
Administrateur
de sécurité
Administrateur
du stockage
Administrateur
Modifier le mot de passe local du
système
Afficher les informations sur les
paramètres, l’état et les
performances du système
Modifier les paramètres système
Créer, modifier, supprimer des
ressources et des règles de
protection, et activer/désactiver
SSH
Se connecter à vCenter
Afficher la liste des comptes locaux
Ajouter, supprimer ou modifier un
compte local
Afficher les informations de
stockage du système au moyen
d’un vCenter Server connecté au
prestataire VASA du système et
enregistrer/enregistrer à nouveau
le certificat de l’autorité de
certification VMware (VMCA)/CA
Rôles et privilèges associés au fichier
Le système prend en charge les rôles et privilèges suivants relatifs au fichier :
REMARQUE : Une case cochée (
) indique un privilège pris en charge pour le rôle concerné tandis qu’une case vide correspond à
un privilège non pris en charge pour ce rôle.
8
Authentification et accès
Tâche
Opérateur
Administrateur
VM
Administrateur
de sécurité
Administrateur
du stockage
Administrateur
Afficher les éléments suivants :
●
●
●
●
●
●
●
●
Alertes de systèmes de fichiers
Liste des serveurs NAS
Liste des systèmes de fichiers
Liste des quotas d’utilisateurs
de fichiers
Liste des routes d’interfaces de
fichiers
Liste des interfaces de fichiers
Liste des partages SMB
Liste des exportations NFS
Afficher les éléments suivants :
● Liste des serveurs de fichiers
DNS ou un serveur DNS
spécifié
● Liste des serveurs de fichiers
FTP ou un serveur FTP spécifié
● Liste des interfaces de fichiers
ou une interface de fichier
spécifiée
● Liste des routes d’interfaces de
fichiers ou une route d’interface
spécifiée
● Liste des serveurs de fichiers
Kerberos ou un serveur
Kerberos spécifié
● Liste des serveurs de fichiers
LDAP ou un serveur LDAP
spécifié
● Liste des serveurs de fichiers
NDMP ou un serveur NDMP
spécifié
● Liste des serveurs de fichiers
NIS ou un serveur NIS spécifié
● Liste des systèmes de fichiers
ou un système de fichiers
spécifié
● Liste des quotas
d’arborescences de fichiers ou
un quota d’arborescences de
fichiers spécifié
● Liste des quotas d’utilisateurs
de fichiers ou un quota
d’utilisateurs spécifié
● Liste des antivirus de fichiers ou
un antivirus de fichiers spécifié
● Liste des serveurs NAS ou un
serveur NAS spécifié
● Liste des exportations NFS ou
une exportation NFS spécifiée
● Liste des serveurs NFS ou un
serveur NFS spécifié
● Liste des serveurs SMB ou un
serveur SMB spécifié
● Liste des partages SMB ou un
partage SMB spécifié
Authentification et accès
9
Tâche
Opérateur
Ajouter/modifier/supprimer/
pinguer un serveur NAS spécifié, ou
charger des mots de passe, des
hôtes ou des groupes sur un
serveur NAS spécifié
Afficher le mot de passe ou les
hôtes d’un serveur NAS spécifié
Ajouter un système de fichiers ou
modifier/supprimer un système de
fichiers spécifié sur un serveur NAS
existant
Ajouter un clone ou un snapshot à
un système de fichiers spécifié,
actualiser/restaurer un système de
fichiers spécifié, ou actualiser le
quota d’un système de fichiers
spécifié
Ajouter un quota d’arborescences
de fichiers ou modifier/supprimer/
actualiser un quota d’arborescences
de fichiers spécifié
Ajouter un quota d’utilisateurs de
fichiers ou modifier/supprimer/
actualiser un quota d’utilisateurs de
fichiers spécifié
Ajouter un antivirus de fichiers,
modifier/supprimer un antivirus de
fichiers spécifié ou charger une
configuration d’antivirus de fichiers
spécifiée
Télécharger une configuration
d’antivirus de fichiers spécifiée
Ajouter un serveur SMB ou NFS, ou
modifier/supprimer/associer/
dissocier un serveur SMB ou NFS
spécifié
Ajouter un partage SMB ou
modifier/supprimer un partage
SMB spécifié
Ajouter une exportation NFS ou
modifier/supprimer une exportation
NFS spécifiée
Ajouter une interface de fichier ou
modifier/supprimer une interface
de fichier spécifiée
Ajouter une route d’interface de
fichier ou modifier/supprimer une
route d’interface de fichier spécifiée
Ajouter un serveur de fichiers DNS,
FTP, Kerberos, LDAP, NDMP ou
NIS ou modifier/supprimer un
serveur de fichiers DNS, FTP,
10
Authentification et accès
Administrateur
VM
Administrateur
de sécurité
Administrateur
du stockage
Administrateur
Tâche
Opérateur
Administrateur
VM
Administrateur
de sécurité
Administrateur
du stockage
Administrateur
Kerberos, LDAP, NDMP ou NIS
spécifié
Charger un fichier keytab Kerberos
Télécharger un fichier keytab
Kerberos
Charger un fichier de configuration
LDAP ou un certificat LDAP
Télécharger un fichier de certificat
LDAP
Gestion du compte d’utilisateur en fonction des privilèges du rôle
Un utilisateur disposant d’un rôle d’administrateur ou d’administrateur de la sécurité peut réaliser les opérations suivantes concernant la
gestion des comptes d’utilisateur :
● Créez un nouveau compte d’utilisateur.
● Supprimez tous les comptes d’utilisateur, à l’exception du compte administrateur intégré.
REMARQUE : Le compte administrateur intégré ne peut pas être supprimé.
● Modifiez un autre utilisateur en lui attribuant un rôle quelconque.
● Réinitialiser le mot de passe d’un autre utilisateur.
● Verrouillez ou déverrouillez un autre compte d’utilisateur.
REMARQUE : Les utilisateurs connectés disposant d’un rôle d’administrateur ou d’administrateur de la sécurité ne peuvent pas
verrouiller leur propre compte.
Les utilisateurs connectés ne peuvent pas supprimer leur propre compte d’utilisateur. En outre, à l’exception des utilisateurs disposant du
rôle d’administrateur ou d’administrateur de la sécurité, les utilisateurs connectés peuvent uniquement modifier leur propre mot de passe.
Les utilisateurs doivent fournir leur ancien mot de passe pour modifier leur mot de passe. Les utilisateurs connectés ne peuvent pas
réinitialiser leur propre mot de passe ni modifier leur rôle. Ils ne sont pas non plus autorisés à verrouiller ni à déverrouiller leurs comptes.
Le profil de compte d’administrateur intégré (doté du rôle d’administrateur) ne peut pas être modifié ni verrouillé.
Lorsque l’état de verrouillage ou le rôle d’un utilisateur est modifié, ce dernier est supprimé, ou son mot de passe est modifié par
l’administrateur de la sécurité ou par un autre administrateur. Toutes les sessions associées à cet utilisateur sont annulées.
REMARQUE : Si un utilisateur met à jour ses propres mots de passe au cours d’une session, celle-ci reste active.
Réinitialiser les mots de passe des comptes d’administrateur et de
maintenance
L’appliance est fournie avec un compte d’administrateur par défaut qui permet de procéder à la configuration initiale. Il est également
fourni avec un compte utilisateur de maintenance par défaut qui vous permet d'effectuer des fonctions de maintenance spécialisées. Il est
préférable de configurer initialement PowerStore avec l’interface utilisateur de PowerStore Manager plutôt qu’avec une autre méthode
telle que l’API REST ou l’interface de ligne de commande. L’emploi de l’interface utilisateur de PowerStore Manager garantit que tous les
mots de passe par défaut sont modifiés. Si vous oubliez les nouveaux mots de passe, vous pouvez réinitialiser les mots de passe à leurs
valeurs par défaut :
La méthode de réinitialisation de ces mots de passe varie selon que vous utilisez une appliance PowerStore T model ou PowerStore X
model. Utilisez la méthode correspondant à votre appliance pour réinitialiser les mots de passe d’administrateur et/ou de maintenance.
Réinitialiser les mots de passe des comptes d’administrateur et de maintenance
à leur valeur par défaut dans une appliance PowerStore T model
Authentification et accès
11
À propos de cette tâche
Dans le cas d’une appliance PowerStore T model, la méthode principale de réinitialisation des mots de passe d’administrateur ou de
maintenance consiste à utiliser un lecteur USB. Les systèmes de fichiers pris en charge sont les suivants : FAT32 et ISO 9660.
REMARQUE : Pour réinitialiser le mot de passe lorsque l’appliance est en mode maintenance, suivez la procédure ci-dessous, à cette
différence près : appliquez le processus de réinitialisation du disque USB à chaque nœud. Cette action garantit que vous serez invité à
saisir un nouveau mot de passe pour l’administrateur et l’utilisateur de maintenance lorsque le système repassera en mode normal et
lors de la connexion à PowerStore Manager.
Étapes
1. Si le disque USB est formaté, passez à l’étape suivante. Dans le cas contraire, utilisez une invite de commande telle que format
<d:> /FS:FAT32 pour formater le disque.
Où d: est la lettre du lecteur USB que vous avez inséré sur votre ordinateur portable ou de bureau.
2. Définissez l’étiquette avec la commande :
label d:
RSTPWD
REMARQUE : L’appliance ne monte pas le disque USB sans l’étiquette RSTPWD. Une fois le disque USB labellisé, insérez un
fichier vide pour les mots de passe du compte que vous souhaitez réinitialiser. Vous pouvez réinitialiser le mot de passe du compte
d’administrateur et/ou de maintenance.
3. Pour créer un fichier vide sur le lecteur, utilisez l’une des commandes suivantes ou les deux, selon vos besoins :
copy NUL d:\admin
copy NUL d:\service
4. Insérez le disque USB dans le port USB de l’un des deux nœuds de l’appliance, attendez 10 secondes, puis supprimez-le.
Le mot de passe de chaque compte que vous réinitialisez est désormais la valeur par défaut.
5. Connectez-vous au cluster au moyen d’un navigateur à l’aide de l’adresse IP du cluster et connectez-vous en tant qu’administrateur
avec le mot de passe initial par défaut, qui est Password123 #.
Une invite vous invitant à réinitialiser le mot de passe d’administrateur ou de maintenance, ou les deux, doit apparaître. Si vous préférez
réinitialiser le mot de passe de maintenance à l’aide de Secure Shell (SSH), le mot de passe par défaut qui a été défini initialement pour
le compte de maintenance est service.
6. Modifiez le mot de passe administrateur par défaut en lui attribuant un mot de passe défini par l’utilisateur.
7. Si vous souhaitez définir le mot de passe du compte de maintenance pour qu’il soit différent du mot de passe administrateur, décochez
la case correspondante.
Résultats
Si vous n’êtes toujours pas invité à réinitialiser le mot de passe lors de la tentative de connexion après l’exécution de cette procédure,
contactez votre prestataire de services.
Réinitialiser les mots de passe des comptes d’administrateur et de maintenance
à leur valeur par défaut dans une appliance PowerStore X model
Prérequis
Identifiez le nom du nœud principal de votre appliance principale (par exemple, PSTX-44W1BW2-A et PowerStore D6013). Si nécessaire,
générez le fichier reset.iso.
À propos de cette tâche
Dans le cas d’une appliance PowerStore X model, utilisez une image ISO et montez-la à partir de vSphere. Les fichiers image
préalablement créés peuvent être téléchargés à partir de l’adresse www.dell.com/support. Vous pouvez également créer votre propre
12
Authentification et accès
image à partir d’un système Linux à l’aide de l’une des commandes tactiles suivantes, ou des deux, en fonction des mots de passe qui
doivent être réinitialisés :
mkdir iso
touch iso/admin
touch iso/service
mkisofs -V RSTPWD -o reset.iso iso
REMARQUE : L’image ISO reset.iso doit se trouver sur un datastore pour pouvoir être montée en tant que CD virtuel à partir de
vSphere.
REMARQUE : Pour réinitialiser le mot de passe lorsque l’appliance est en mode maintenance, suivez la procédure ci-dessous, à cette
différence près : téléchargez d’abord l’image ISO dans le datastore PRIVATE-C9P42W2.A.INTERNAL de la machine virtuelle (VM) du
contrôleur car le datastore public n’est pas disponible. Ensuite, téléchargez le fichier reset.iso, puis appliquez-le aux nœuds A et B
de VM du contrôleur. Cette action garantit que vous serez invité à saisir un nouveau mot de passe pour l’administrateur et l’utilisateur
de maintenance une fois que le système sera de nouveau en mode normal et que l’accès à PowerStore Manager sera disponible.
Étapes
1. Dans vSphere, sous Storage, sélectionnez votre appliance PowerStore X model.
Par exemple, DataCenter-WX-D6013 > PowerStore D6013
2. Sous Files, sélectionnez ISOs.
3. Sélectionnez Upload et téléchargez le fichier reset.iso. Il peut s’agir du fichier image préalablement créé que vous avez téléchargé
à partir de l’adresse www.dell.com/support ou de votre propre fichier image créé sur un système Linux.
Le fichier reset.iso s’affiche dans le dossier ISOs.
4. Dans vSphere, sous Host and Clusters, sélectionnez le nœud principal de l’appliance PowerStore X model principale du cluster.
Par exemple, DataCenter-WX-D6013 > Cluster WX-D6013 > PSTX-44W1BW2-A
5. Sous Summary, cliquez sur CD/DVD drive 1, puis sélectionnez Connect to datastore ISO file.
La fenêtre Choose an ISO image to mount s’affiche.
6. Sous Datastores, cliquez sur l’appliance PowerStore X model principale du cluster, puis sélectionnez le dossier ISOs.
Le fichier reset.iso doit s’afficher sous Contents.
7. Sélectionnez le fichier reset.iso, puis cliquez sur OK.
Sous Summary, CD/DVD drive 1 doit s’afficher avec l’état Connected pendant environ 10 secondes, puis passer à l’état
Disconnected. Les valeurs par défaut du mot de passe de l’administrateur de cluster et/ou du mot de passe de maintenance sont à
présent rétablies.
8. Connectez-vous au cluster au moyen d’un navigateur à l’aide de l’adresse IP du cluster et connectez-vous en tant qu’administrateur
avec le mot de passe initial par défaut, qui est Password123 #.
Une invite vous invitant à réinitialiser le mot de passe d’administrateur ou de maintenance, ou les deux, doit apparaître. Si vous préférez
réinitialiser le mot de passe de maintenance à l’aide de SSH, le mot de passe par défaut qui a été défini initialement pour le compte de
maintenance est service.
9. Modifiez le mot de passe administrateur par défaut en lui attribuant un mot de passe défini par l’utilisateur.
10. Si vous souhaitez définir le mot de passe du compte de maintenance pour qu’il soit différent du mot de passe administrateur, décochez
la case correspondante.
Résultats
Si vous n’êtes toujours pas invité à réinitialiser le mot de passe lors de la tentative de connexion après l’exécution de cette procédure,
contactez votre prestataire de services.
Certificats
Les données du magasin de certificats de PowerStore sont persistantes. Le magasin de certificats stocke les types de certificats suivants :
● Certificats de l'autorité de certification (AC)
● Certificats clients
● Certificats de serveur
Authentification et accès
13
Affichage des certificats
À propos de cette tâche
Les informations suivantes s’affichent dans PowerStore Manager pour chaque certificat stocké sur l’appliance :
●
●
●
●
●
●
●
Service
Type
Scope
Issued by
Valid
Valid to
Issued to
REMARQUE : Utilisez l’API REST ou l’interface de ligne de commande pour afficher des informations supplémentaires sur les
certificats.
Pour afficher les informations du certificat, procédez comme suit :
Étapes
1. Lancez PowerStore Manager.
2. Cliquez sur Settings et sous Security, cliquez sur Certificates.
Des informations sur les certificats stockés sur l’appliance s’affichent.
3. Pour afficher la chaîne de certificats qui compose un certificat et les informations associées à un service, cliquez sur le service
concerné.
View Certificate Chain s’affiche et répertorie les informations relatives à la chaîne de certificats qui constituent le certificat.
Communication sécurisée entre des appliances
PowerStore au sein d’un cluster
Lors de la création d’un cluster, le nœud principal de l’appliance maître du cluster crée un certificat d’autorité de certification (AC). Cette
autorité de certification est également appelée « AC du cluster ». L’appliance maître transmet le certificat de l’AC du cluster aux
appliances qui rejoignent ce dernier.
Chaque appliance PowerStore d’un cluster génère son propre certificat IPSec unique qui est signé par l’AC du cluster. Les données
sensibles que les appliances PowerStore transmettent via le réseau de leur cluster sont protégées par IPSec et TLS afin de préserver la
sécurité et l’intégrité des données.
Communication sécurisée pour la réplication et
l’importation de données
L’infrastructure de certificats et d’informations d’identification de PowerStore permet d’échanger des certificats de serveurs et de clients,
ainsi que des informations d’identification d’utilisateur. Ce processus comprend les éléments suivants :
●
●
●
●
Récupération et validation du certificat de serveur pendant l’établissement d’une liaison TLS
Ajout du certificat d’autorité de certification de confiance du système distant dans le magasin d’informations d’identification
Ajout du certificat de serveur/client de confiance au magasin d’informations d’identification
Assistance à l’établissement de connexions sécurisées une fois la relation de confiance établie
PowerStore prend en charge les fonctions suivantes pour la gestion des certificats :
● Pour la réplication, il s’agit d’un échange de certificat entre deux clusters PowerStore afin d’établir la communication de gestion de
confiance. Pour faciliter la réplication entre les clusters PowerStore, vous devez établir une relation de confiance bidirectionnelle entre
les clusters afin de permettre l’authentification TLS mutuelle lors de la création de demandes de contrôle REST de réplication.
● Pour l’importation de données, un certificat et des informations d’identification échangent avec persistance, afin d’établir une
connexion sécurisée entre un système de stockage Dell EMC (un système VNX, Unity, Storage Center ou un système de stockage
homologue) et un cluster PowerStore.
14
Authentification et accès
Prise en charge de vSphere Storage API for Storage
Awareness
vSphere Storage API for Storage Awareness (VASA) est une API de détection du stockage définie par VMware et indépendante du
fournisseur. Un fournisseur VASA comprend plusieurs composants qui travaillent en coopération pour traiter les demandes entrantes d’API
VASA. La passerelle de l’API VASA, qui reçoit toutes les API VASA entrantes, est déployée sur l’appliance principale (celle qui possède
l’adresse IP de gestion flottante) dans un cluster PowerStore. Les hôtes ESXi et vCenter Server se connectent au fournisseur VASA pour
obtenir des informations sur le stockage (capacités disponibles, état et topologie). Par la suite, vCenter Server fournit des informations aux
clients vSphere. L’interface VASA est plutôt utilisée par les clients VMware que par les clients PowerStore Manager.
L’utilisateur vSphere doit configurer l’instance du fournisseur VASA en tant que fournisseur des informations VASA pour le cluster. En cas
d’arrêt de l’appliance principale, le processus associé ainsi que le fournisseur VASA redémarrent sur l’appliance désignée à son tour comme
principale. L'adresse IP bascule automatiquement. En interne, le protocole détecte une panne lors de l’obtention des événements de
modification de configuration à partir du nouveau fournisseur VASA actif, ce qui entraîne une resynchronisation automatique des objets
VASA sans intervention de l’utilisateur.
PowerStore fournit des interfaces VASA 3.0 pour vSphere 6.5 et 6.7.
VASA 3.0 prennent en charge les volumes virtuels (VVols). VASA 3.0 prend en charge des interfaces pour interroger les abstractions de
stockage telles que les VVols et les conteneurs de stockage. Ces informations facilitent la prise de décision concernant le positionnement
et la conformité des disques virtuels dans le cadre de la gestion basée sur des règles de stockage (SPBM). VASA 3.0 prend également en
charge les interfaces pour provisionner et gérer le cycle de vie des VVols utilisés pour la sauvegarde des disques virtuels. Ces interfaces
sont appelées directement par les hôtes ESXi.
Pour plus d’informations sur VASA, vSphere et les VVols, consultez la documentation VMware et l’aide en ligne PowerStore Manager.
Authentification VASA
Pour établir une connexion entre vCenter et le fournisseur VASA PowerStore Manager, utilisez le client vSphere pour saisir les
informations suivantes :
● URL du fournisseur VASA au format suivant pour VASA 3.0 : https://<adresse IP de gestion>:8443/version.xml.
● Nom d’un utilisateur PowerStore Manager (doté du rôle d’administrateur de VM ou d’administrateur).
REMARQUE : Le rôle d'Administrateur VM est strictement utilisé en vue d'enregistrer les certificats.
● Mot de passe associé à cet utilisateur.
Les informations d’identification PowerStore Manager sont uniquement utilisées lors de cette étape de connexion initiale. Si les
informations d’identification PowerStore Manager sont valides pour le cluster cible, le certificat de vCenter Server est automatiquement
enregistré auprès du cluster. Ce certificat est utilisé pour authentifier les demandes de connexion ultérieures de vCenter. L’installation ou le
téléchargement de ce certificat sur le fournisseur VASA ne requiert aucune intervention manuelle. À l'expiration du certificat, vCenter doit
en enregistrer un autre afin de prendre en charge une nouvelle session. La révocation du certificat par l'utilisateur entraîne l'invalidation de
la session et l'arrêt de la connexion.
Session, connexion sécurisée et informations d'identification vCenter
Pour démarrer une session vCenter, un administrateur vSphere doit fournir l’URL et les informations d’identification de connexion du
fournisseur VASA à vCenter Server via vSphere Client. vCenter Server utilise l’URL, les informations d’identification et le certificat SSL du
fournisseur VASA pour établir une connexion sécurisée avec ce dernier. Une session vCenter est terminée lorsque les événements suivants
se produisent :
● L’administrateur utilise vSphere Client pour supprimer le fournisseur VASA de la configuration vCenter et vCenter Server met fin à la
connexion.
● vCenter Server tombe en panne ou un de ses services échoue, ce qui interrompt la connexion. Si vCenter ou le service vCenter Server
ne parvient pas à rétablir la connexion SSL, il en créera une nouvelle.
● Le fournisseur VASA échoue, ce qui interrompt la connexion. Lorsque le fournisseur VASA démarre, il peut répondre à la
communication à partir de vCenter Server pour rétablir la connexion SSL et la session VASA.
Les sessions vCenter sont basées sur une communication HTTPS sécurisée entre vCenter Server et un fournisseur VASA. Dans VASA 3.0,
vCenter Server agit en tant qu’autorité de certification VMware (VMCA). Une fois la demande autorisée, le fournisseur VASA transmet un
certificat autosigné sur demande. Il ajoute le certificat VMCA à son magasin d’approbations, puis émet une demande de signature de
certificat et remplace son certificat autosigné par le certificat signé VMCA. Les futures connexions seront authentifiées par le fournisseur
VASA à l’aide du certificat client SMS (Storage Monitoring Service) validé par rapport au certificat de signature racine précédemment
Authentification et accès
15
enregistré. Un fournisseur VASA génère des ID uniques pour les objets d’entité de stockage et vCenter Server utilise ces ID pour
demander des données concernant une entité spécifique.
Un fournisseur VASA utilise les certificats SSL et l’ID de session VASA pour valider les sessions VASA. Une fois la session établie, un
fournisseur VASA doit valider à la fois le certificat SSL et l’ID de session VASA associés à chaque appel de fonction émis à partir de
vCenter Server. Le fournisseur VASA utilise le certificat VMCA stocké dans son magasin d’approbations pour valider le certificat associé
aux appels de fonctions en provenance du service vCenter SMS. Une session VASA est conservée sur plusieurs connexions SSL. Si une
connexion SSL est supprimée, vCenter Server établit une liaison SSL avec le fournisseur VASA pour restaurer la connexion SSL dans le
contexte de la même session VASA. Si un certificat SSL expire, l'administrateur vSphere doit générer un nouveau certificat.
vCenter Server établit une nouvelle connexion SSL et enregistre le nouveau certificat auprès du fournisseur VASA.
PRÉCAUTION : SMS n’appelle pas la fonction unregisterVASACertificate pour un fournisseur VASA 3.0. Par
conséquent, même après l’annulation de l’enregistrement, le fournisseur VASA peut continuer à utiliser le certificat
signé VMCA obtenu auprès du service SMS.
authentification CHAP
Le protocole CHAP (Challenge Handshake Authentication Protocol) est une méthode d’authentification des initiateurs iSCSI (hôtes) et
des cibles (volumes et snapshots). CHAP expose le stockage iSCSI et garantit un protocole de stockage à la fois standard et sécurisé.
L’authentification dépend d’un code secret, semblable à un mot de passe, qui est connu de l’authentificateur et de l’homologue. Il existe
deux variantes du protocole CHAP :
● L’authentification CHAP unique permet à la cible iSCSI d’authentifier l’initiateur. Lorsqu’un initiateur tente de se connecter à une cible
(mode normal ou de découverte), il fournit un nom d’utilisateur et un mot de passe à cette dernière.
● L’authentification CHAP mutuelle est appliquée en plus de l’authentification CHAP unique. L’authentification CHAP mutuelle permet à
la cible iSCSI et à l’initiateur de s’authentifier l’un à l’autre. Chaque cible iSCSI présentée par le groupe est authentifiée par l’initiateur
iSCSI. Lorsqu’un initiateur tente de se connecter à une cible, celle-ci fournit un nom d’utilisateur et un mot de passe à l’initiateur.
L’initiateur compare le nom d’utilisateur et le mot de passe fournis aux informations qu’il contient. S’ils correspondent, l’initiateur peut
se connecter à la cible.
REMARQUE : Si le protocole CHAP doit être utilisé dans votre environnement, il est recommandé de configurer et d’activer
l’authentification CHAP avant de préparer les volumes à la réception des données. Si vous préparez des disques pour la réception des
données avant de configurer et d’activer l’authentification CHAP, vous risquez de perdre l’accès aux volumes.
PowerStore ne prend pas en charge le mode de découverte CHAP iSCSI. Le tableau ci-dessous présente les limites imposées par
PowerStore concernant le mode de découverte CHAP iSCSI.
Tableau 1. Limites relatives au mode de découverte CHAP iSCSI
Mode CHAP
Mode simple (initiateur activé)
Mode mutuel (initiateur et cible
activés)
Découverte
PowerStore n’authentifie (ne défie) pas
l’hôte. L’authentification ne peut pas être
utilisée pour empêcher la découverte des
cibles. Cela n’entraîne pas d’accès
involontaire aux données utilisateur.
PowerStore ne répond pas à la demande
d’authentification (chaîne de défi) d’un
hôte. La découverte échoue si l’hôte défie
PowerStore.
Normal
Fonctionne comme prévu. Les informations
d’identification sont testées par
PowerStore.
Fonctionne comme prévu. Les informations
d’identification sont transférées par
PowerStore.
Pour la réplication à distance entre une appliance source et une appliance cible, le processus de vérification et de mise à jour détecte les
modifications apportées aux systèmes locaux et distants et rétablit les connexions de données, tout en prenant en compte les paramètres
CHAP.
Configuration du protocole CHAP
L’authentification CHAP unique (initiateur activé) ou mutuelle (initiateur et cible) peut être activée sur un cluster PowerStore. CHAP peut
être activé pour la mise en œuvre d’un cluster comportant une appliance ou plusieurs appliances et hôtes externes PowerStore.
Lorsque l’authentification unique est activée, vous devez saisir le nom d’utilisateur et le mot de passe de chaque initiateur lors de l’ajout
d’hôtes externes. Lorsque l’authentification mutuelle est activée, vous devez également saisir le nom d’utilisateur et le mot de passe du
cluster. Lors de l’ajout d’un hôte et de l’ajout d’initiateurs pour lesquels CHAP est activé, le mot de passe de l’initiateur doit être unique.
16
Authentification et accès
Vous ne pouvez pas utiliser le même mot de passe pour tous les initiateurs d’un hôte. Des détails spécifiques sur la façon de définir la
configuration CHAP d’un hôte externe varient. Pour utiliser cette fonctionnalité, vous devez vous familiariser avec le système
d’exploitation de l’hôte et la procédure de configuration.
REMARQUE : L’activation du CHAP une fois que les hôtes sont configurés sur le système est une action perturbatrice pour les hôtes
externes. Cela entraîne une interruption des E/S jusqu’à ce que les configurations soient définies sur l’hôte et l’appliance externes. Il
est recommandé, avant d’ajouter des hôtes externes à l’appliance, de décider du type de configuration CHAP que vous souhaitez
implémenter, le cas échéant.
Si vous activez CHAP après l’ajout d’hôtes, mettez à jour les initiateurs de chaque hôte. Si le protocole CHAP est activé, vous ne pouvez
pas ajouter un hôte à un groupe d’hôtes ne disposant pas des informations d’identification CHAP. Lorsque CHAP est activé et que vous
ajoutez un hôte ultérieurement, enregistrez manuellement l’hôte dans PowerStore Manager : sous Compute, sélectionnez Hosts & Host
Groups. Vous devez saisir les informations d’identification au niveau de l’iSCSI à des fins d’authentification. Dans ce cas, copiez l’IQN à
partir de l’hôte, puis ajoutez les informations d’identification CHAP associées à chaque initiateur.
Configurez le protocole CHAP pour un cluster au moyen de l’une des méthodes suivantes :
● CHAP : page des paramètres CHAP accessible à partir de PowerStore Manager. (Cliquez sur Settings, puis sous Security,
sélectionnez CHAP.)
● Serveur d’API REST : interface de l’application qui peut recevoir les demandes des API REST pour configurer les paramètres CHAP.
Pour plus d’informations sur l’API REST, reportez-vous au PowerStore REST API Reference Guide.
Pour déterminer l’état du protocole CHAP, dans PowerStore Manager, cliquez sur Settings, puis sous Security, sélectionnez CHAP.
Accès SSH externe
Chaque appliance peut, si vous le souhaitez, activer l’accès SSH (Secure Shell) externe au port SSH de l’adresse IP de l’appliance, ce qui
l’utilise pour la fonctionnalité de service sur le nœud principal d’une appliance. L’adresse IP de l’appliance flotte entre les deux nœuds de
l’appliance lorsque la désignation principale change. Si le service SSH externe est désactivé, l’accès SSH n’est pas autorisé.
Lorsqu’une appliance s’affiche pour la première fois et n’est pas configurée, SSH est activé par défaut pour qu’elle puisse faire l’objet d’une
opération de maintenance si des problèmes se produisent avant qu’elle ne soit ajoutée à un cluster. Lors de la création d’un cluster ou
d’une opération de jonction de cluster, SSH doit être initialement désactivé sur toutes les appliances.
Configuration de l’accès SSH externe
Configurez l’accès SSH externe aux appliances d’un cluster à l’aide de l’une des méthodes suivantes :
● SSH Management : page des paramètres SSH accessible à partir de PowerStore Manager. (Cliquez sur Settings, puis sous
Security, sélectionnez SSH Management.)
● Serveur d’API REST : interface d’application pouvant recevoir les demandes de configuration des paramètres SSH qui sont envoyées
par l’API REST. Pour plus d’informations sur l’API REST, reportez-vous au PowerStore REST API Reference Guide.
● svc_service_config : commande de maintenance que vous pouvez saisir directement en tant qu’utilisateur de maintenance sur
l’appliance. Pour plus d’informations sur cette commande, reportez-vous au PowerStore Service Scripts Guide.
Pour déterminer l’état de SSH sur les appliances d’un cluster, dans PowerStore Manager, cliquez sur Settings, puis sous Security,
sélectionnez SSH Management. Vous pouvez également activer ou désactiver SSH sur une ou plusieurs appliances que vous
sélectionnez.
Lorsque le service SSH a été activé avec succès, utilisez n’importe quel client SSH pour vous connecter à l’adresse IP de l’appliance.
L’accès à l’appliance requiert les informations d’identification de l’utilisateur de maintenance.
Le compte de maintenance permet aux utilisateurs d'effectuer les tâches suivantes :
● Exécuter des scripts spécialisés de maintenance des appliances pour surveiller les paramètres système et le fonctionnement des
appliances ainsi que pour procéder au dépannage.
● Utiliser un ensemble limité de commandes dont ils disposent en tant que membres dotés d’un compte d’utilisateur Linux non privilégié
en mode shell restreint. Ce compte n’a accès ni aux fichiers système propriétaires, ni aux fichiers de configuration, ni aux données des
utilisateurs ou des clients.
Pour optimiser la sécurité des appliances, il est préférable que l’interface de maintenance SSH externe soit désactivée en permanence, à
moins qu’elle ne soit spécifiquement nécessaire pour effectuer des opérations de maintenance sur les appliances. Après avoir effectué les
opérations de maintenance requises, désactivez l’interface SSH pour vous assurer que l’appliance demeure sécurisée.
Authentification et accès
17
Sessions SSH
Les sessions de l’interface de maintenance SSH PowerStore sont gérées en fonction des paramètres définis par le client SSH. Leurs
caractéristiques sont déterminées par les paramètres de configuration du client SSH.
Mot de passe du compte de maintenance
Le compte de maintenance est un compte que le personnel de maintenance peut utiliser pour exécuter des commandes Linux de base.
Lors de la configuration initiale de l’appliance, vous devez modifier le mot de passe de maintenance par défaut. Les restrictions relatives au
mot de passe de maintenance sont les mêmes que celles qui s’appliquent aux comptes de gestion de système (voir la section Utilisation du
nom d’utilisateur et du mot de passe , page 7).
Processus d’autorisation SSH
Le processus d’autorisation du compte de maintenance est basé sur les éléments suivants :
● Isolation des applications : le logiciel PowerStore utilise une technologie de conteneur qui permet d’isoler les applications. L’accès à la
maintenance de l’appliance est assuré par le conteneur de maintenance. Seuls certains scripts de maintenance et certaines
commandes Linux sont disponibles. Le compte de maintenance ne peut pas accéder aux autres conteneurs qui transmettent les E/S
de système de fichiers et en mode bloc aux utilisateurs.
● Autorisations du système de fichiers Linux : la plupart des utilitaires et outils Linux qui modifient de quelque façon que ce soit le
fonctionnement du système ne sont pas disponibles pour l’utilisateur de maintenance. Ils requièrent les privilèges du compte de superutilisateur. Étant donné que le compte de maintenance ne dispose pas de tels privilèges d'accès, il ne peut pas exécuter ces outils et
utilitaires Linux. Il ne peut pas non plus modifier les fichiers de configuration exigeant un accès racine en lecture et/ou en écriture.
● Contrôles d’accès : outre l’isolation des applications assurée par la technologie de conteneur, le mécanisme des listes de contrôle
d’accès (ACL) de l’appliance utilise une liste de règles très spécifiques pour autoriser ou empêcher explicitement le compte de
maintenance d’accéder aux ressources système. Ces règles déterminent les autorisations dont bénéficie le compte de maintenance sur
d’autres fonctions de l’appliance non couvertes par les autorisations du système de fichiers Linux standard.
Scripts de maintenance des appliances
La version logicielle des appliances intègre divers scripts de diagnostic des problèmes ainsi que de configuration et de restauration du
système. Ces scripts fournissent des informations détaillées et offrent un niveau de contrôle du système inférieur à celui garanti par
PowerStore Manager. Le PowerStore Service Scripts Guide décrit ces scripts et leurs cas d’utilisation les plus courants.
Port de maintenance Ethernet des nœuds d’appliance et IPMItool
Votre appliance permet d’accéder à la console via un port de maintenance Ethernet situé sur chaque nœud. Cet accès requiert l'utilisation
de l'outil IPMItool. Similaire à SSH ou à Telnet, l’outil réseau IPMItool utilise le protocole IPMI pour communiquer avec chaque nœud via
une connexion Ethernet. IPMItool est un utilitaire Windows qui négocie un canal de communication sécurisé afin d’accéder à la console des
nœuds d’une appliance. Cet utilitaire requiert un accès physique pour activer la console.
L’interface du port de maintenance Ethernet des nœuds offre les mêmes fonctionnalités que l’interface SSH de maintenance (interface
LAN de maintenance). Elle est en outre soumise aux mêmes restrictions. Elle diffère néanmoins de celle-ci par le fait que les utilisateurs y
accèdent via une connexion par port Ethernet, et non par le biais d’un client SSH. Cette interface est conçue pour permettre au personnel
de maintenance sur site de se connecter aux appliances sans perturber votre réseau. Il n’est pas nécessaire de disposer d’une console de
gestion dédiée.
Cette interface fournit une connexion directe point à point, non routable. Le personnel de maintenance peut utiliser l’interface LAN de
maintenance pour la sortie de la console ainsi que pour l’accès SSH au conteneur de maintenance PowerStore et à PowerStore Manager,
y compris à l’Assistant ICW (Initial Configuration Wizard). L’accès SSH au conteneur de maintenance via l’interface LAN de maintenance
est toujours activé et ne peut pas être désactivé. Toutefois, vous gérez les informations d’identification du compte de maintenance.
Pour obtenir la liste des scripts de maintenance, reportez-vous au PowerStore Service Scripts Guide.
18
Authentification et accès
NFS sécurisé
NFS sécurisé est l'utilisation de Kerberos pour authentifier les utilisateurs ayant NFSv3 et NFSv4. Kerberos assure l'intégrité (signature) et
la confidentialité (chiffrement). Il n'est pas nécessaire d'activer les options d'intégrité et de confidentialité. Il s'agit d'options d'exportation
NFS.
Sans Kerberos, le serveur s'appuie entièrement sur le client pour authentifier les utilisateurs : le serveur fait confiance au client. Avec
Kerberos, le serveur s'appuie sur le Centre de distribution de clés (KDC). C’est le KDC qui effectue l’authentification, et gère les comptes
(entités de sécurité) et les mots de passe. En outre, aucun mot de passe sous quelque forme que ce soit n’est envoyé sur le réseau.
Sans Kerberos, les informations d'identification de l'utilisateur sont envoyées sur le réseau non chiffrées et peuvent donc être usurpées.
Avec Kerberos, l'identité (l'entité de sécurité) de l'utilisateur est intégrée au ticket Kerberos chiffré, qui ne peut être lu que par le serveur
cible et le KDC. Ils sont les seuls à connaître la clé de chiffrement.
Le chiffrement AES128 et AES256 de Kerberos est pris en charge en même temps que NFS sécurisé. En plus de NFS sécurisé, cela
impacte également SMB et LDAP. Ces chiffrements sont désormais pris en charge par défaut par Windows et Linux. Ces nouveaux
chiffrements sont beaucoup plus sécurisés. Toutefois, le client peut choisir ou non de les utiliser. Le serveur crée les informations
d’identification de l’utilisateur à partir de l’entité de sécurité de ce dernier en interrogeant le service UDS (Unix Directory Service) actif.
Étant donné que NIS n'est pas sécurisé, il n'est pas recommandé de l'utiliser avec NFS sécurisé. Il est recommandé d'utiliser Kerberos avec
LDAP ou LDAPS.
NFS Secure peut être configuré via PowerStore Manager.
Relations de protocole fichier
Avec Kerberos, les éléments suivants sont obligatoires :
● DNS : vous devez utiliser un nom DNS à la place des adresses IP.
● NTP : PowerStore doit disposer d’un serveur NTP configuré.
REMARQUE : Kerberos s'appuie sur la synchronisation de l'heure correcte entre le KDC, serveurs et le client sur le réseau.
● UDS : doit être utilisé pour créer les informations d’identification.
● Nom d’hôte : Kerberos fonctionne avec des noms au lieu d’adresses IP.
En fonction de la valeur du nom d’hôte, NFS sécurisé utilise un ou deux SPN. Si le nom d'hôte est au format FQDN (nom de domaine
complet) hôte.domaine :
● Le SPN court est : nfs/host@REALM
● Le SPN long est : nfs/host.domainFQDN@REALM
Si le nom d'hôte n'est pas au format FQDN, seul le SPN court est utilisé.
Comme avec SMB où un serveur SMB peut être joint à un domaine, un serveur NFS peut être joint à un royaume (le terme Kerberos
équivalent au terme Domaine). Pour cela, deux options sont possibles :
● Utiliser le domaine Windows configuré, le cas échéant
● Configurer entièrement un royaume Kerberos basé sur le KDC UNIX
Si l’administrateur choisit d’utiliser le domaine Windows configuré, aucune autre action n’est nécessaire. Chaque SPN utilisé par le service
NFS est automatiquement ajouté/supprimé dans le KDC lorsque le serveur SMB est associé/dissocié. Notez que le serveur SMB ne peut
pas être détruit si NFS sécurisé est configuré pour utiliser la configuration SMB.
Si l'administrateur choisit d'utiliser un royaume Kerberos basé sur UNIX, une configuration supplémentaire est nécessaire :
● Nom du royaume : nom du royaume Kerberos qui ne contient normalement que des lettres majuscules.
● Configurez entièrement un royaume Kerberos basé sur le KDC UNIX.
Pour garantir qu'un client monte une exportation NFS avec une sécurité spécifique, un paramètre de sécurité, sec, est fourni. Il indique la
sécurité minimale autorisée. Il existe 4 types de sécurité :
● AUTH_SYS: sécurité standard existante qui n’utilise pas Kerberos. Le serveur approuve les informations d'identification fournies par le
client
● KRB5: authentification à l’aide de Kerberos v5
● KRB5i: authentification Kerberos plus intégrité (signature)
● KRB5p: authentification Kerberos plus intégrité, plus confidentialité (chiffrement)
Si un client NFS tente de monter une exportation avec une sécurité inférieure à la sécurité minimale configurée, l'accès est refusé. Par
exemple, si l’accès minimal est KRB5i, tout montage utilisant AUTH_SYS ou KRB5 est refusé.
Authentification et accès
19
Création des informations d'identification
Lorsqu’un utilisateur se connecte au système, il présente uniquement son entité de sécurité, soit user@REALM, qui est extraite du ticket
Kerberos. Contrairement à la sécurité AUTH_SYS, l’entité de sécurité n’est pas incluse dans la demande NFS. La partie utilisateur (avant le
@) est extraite de l'entité de sécurité, puis utilisée pour rechercher L'UID correspondant dans l'UDS. Le système utilise cet UID pour créer
l'entité de sécurité à l'aide de l'UDS actif, selon une procédure similaire à celle de l'activation des informations d'identification NFS
Extended (sauf que, sans Kerberos, l'UID est fourni directement par la demande).
Si l'entité de sécurité n'est pas mappée dans l'UDS, les informations d'identification de l'utilisateur UNIX par défaut qui ont été configurées
sont utilisées à la place. Si l'utilisateur UNIX par défaut n'est pas défini, les informations d'identification utilisées sont nobody.
Sécurité sur les objets du système de fichiers
Dans un environnement multiprotocole, la stratégie de sécurité est définie au niveau du système de fichiers et est indépendante pour
chaque système de fichiers. Chaque système de fichiers utilise sa stratégie d'accès pour déterminer comment rapprocher les différences
entre les sémantiques de contrôle d'accès NFS et SMB. La sélection d'une stratégie d'accès détermine quel mécanisme est utilisé pour
garantir la sécurité des fichiers sur le système de fichiers donné.
REMARQUE : Si l’ancien protocole SMB1 doit être pris en charge dans votre environnement, il peut être activé à l’aide de la
commande de maintenance svc_nas_cifssupport. Pour plus d’informations sur cette commande de maintenance, reportezvous à la section PowerStore Service Scripts Guide.
Modèle de sécurité UNIX
Lorsque la stratégie UNIX est sélectionnée, toute tentative de modification de la sécurité en mode fichier à partir du protocole SMB est
ignorée, comme la modification des listes de contrôle d'accès. Les privilèges d'accès UNIX correspondent aux bits de mode ou à la liste de
contrôle d'accès (ACL) NFSv4 d'un objet du système de fichiers. Les bits de mode sont représentés par une chaîne de bits. Chaque bit
représente un mode d'accès ou un privilège accordé à l'utilisateur auquel appartient le fichier, au groupe associé à l'objet du système de
fichiers et à tous les autres utilisateurs. Les bits de mode UNIX sont représentés sous la forme de trois ensembles de triplets concaténés
rwx (lecture, écriture et exécution) pour chaque catégorie d'utilisateurs (utilisateur, groupe ou autre). Une ACL est une liste d'utilisateurs
et de groupes d'utilisateurs à l'aide de laquelle vous pouvez contrôler ou refuser l'accès aux services.
Modèle de sécurité Windows
Le modèle de sécurité Windows est principalement basé sur des privilèges des objets, impliquant l'utilisation d'un descripteur de sécurité et
de sa liste de contrôle d'accès (ACL). Lorsque la politique SMB est activée, les modifications appliquées aux bits de mode du protocole
NFS sont ignorées.
L'accès à un objet du système de fichiers dépend de la manière dont les autorisations ont été paramétrées sur Autoriser ou Refuser via
l'utilisation d'un descripteur de sécurité. Le SD décrit le propriétaire de l'objet et groupe les SID pour l'objet avec ses ACL. Une ACL fait
partie du descripteur de sécurité pour chaque objet. Chaque ACL contient des entrées de contrôle d'accès (ACE). Chaque ACE à son tour
contient un seul SID qui identifie un utilisateur, un groupe ou un ordinateur et une liste de privilèges qui sont refusés ou autorisés pour ce
SID.
Accès aux systèmes de fichiers dans un environnement
multiprotocole
L'accès aux fichiers est fourni via des serveurs NAS. Un serveur NAS contient un ensemble de systèmes de fichiers où sont stockées des
données. Le serveur NAS permet d'accéder à ces données pour des protocoles de fichiers NFS et SMB en partageant des systèmes de
fichiers via des partages SMB et NFS. Le mode serveur NAS pour le partage multiprotocole permet de partager les mêmes données entre
SMB et NFS. Du fait que le mode de partage multiprotocole offre un accès simultané SMB et NFS à un système de fichiers, le mappage
des utilisateurs Windows sur les utilisateurs UNIX et la définition des stratégies de sécurité à utiliser (bits de mode, ACL et informations
d'identification des utilisateurs) doivent être pris en compte et configurés de manière adéquate pour un partage multiprotocole.
REMARQUE : Pour plus d’informations sur la configuration et la gestion de serveurs NAS concernant le partage multiprotocole, le
mappage utilisateur, les stratégies d’accès et les informations d’identification utilisateur, reportez-vous à l’aide en ligne de PowerStore
Manager.
20
Authentification et accès
Mappage utilisateur
Dans un contexte multiprotocole, un utilisateur Windows doit être mis en correspondance avec un utilisateur UNIX. Toutefois, un utilisateur
UNIX doit être mappé à un utilisateur Windows uniquement lorsque la politique d'accès est Windows. Ce mappage est nécessaire pour que
la sécurité du système de fichiers puisse être exécutée, même si elle n'est pas native dans le protocole. Les composants suivants sont
impliqués dans le mappage utilisateur :
● Services d'annuaire UNIX, fichiers locaux ou les deux
● Programmes de résolution Windows
● Mappage sécurisé (secmap) - cache contenant tous les mappages entre les identifiants SID et UID ou ID de groupe utilisés par un
serveur NAS.
● ntxmap
REMARQUE : Le mappage de l'utilisateur n'affecte pas les utilisateurs ni les groupes locaux sur le serveur SMB.
Services d'annuaire UNIX et fichiers locaux
Les services d'annuaire UNIX (UDS) et les fichiers locaux sont utilisés pour les éléments suivants :
● Retourne le nom du compte UNIX correspondant pour un identifiant utilisateur (UID) particulier.
● Retourne l'UID et l'identifiant de groupe (GID) principal correspondants pour un nom de compte UNIX particulier.
Les services pris en charge sont les suivants :
●
●
●
●
LDAP
NIS
Fichiers locaux
Aucun (l'unique mappage possible s'effectue par le biais de l'utilisateur par défaut)
Il faudrait un UDS activé ou des fichiers locaux activés, ou bien les deux à la fois pour le serveur NAS lorsque le partage multiprotocole est
activé. La propriété de service d'annuaire Unix du serveur NAS détermine qui est utilisé pour le mappage des utilisateurs.
Programmes de résolution Windows
Les programmes de résolution Windows sont utilisés pour effectuer les éléments suivants pour le mappage utilisateur :
● Retourne le nom du compte Windows correspondant pour un identifiant de sécurité particulier (SID)
● Retourne le SID correspondant pour un nom de compte Windows particulier
Les programmes de résolution Windows sont les suivants :
● Le contrôleur de domaine (DC) du domaine.
● La base de données du groupe local (LGDB) du serveur SMB
secmap
La fonction secmap consiste à stocker tous les mappages SID à UID et GID principal et UID à SID afin d'assurer une cohérence entre tous
les systèmes de fichiers du serveur NAS.
ntxmap
ntxmap est utilisé pour associer un compte Windows à un compte UNIX lorsque le nom est différent. Par exemple, si un utilisateur dispose
d'un compte qui est nommé Gerald sous Windows, mais que ce compte est appelé Gerry sous UNIX, ntxmap est utilisé pour établir la
corrélation entre les deux.
Mappages SID à UID, GID principal
La séquence suivante est le processus utilisé pour résoudre un SID pour un UID, mappage GID principal :
1. secmap est recherché dans le SID. Si le SID est trouvé, le mappage UID et GID est résolu.
2. Si le SID est introuvable dans secmap, le nom Windows associé à l'identifiant SID doit être trouvé.
Authentification et accès
21
a. Les bases de données du groupe local des serveurs SMB du NAS sont recherchées pour le SID. Si le SID est trouvé, le nom
Windows associé est le nom d'utilisateur local, ainsi que le nom du serveur SMB.
b. Si le SID est introuvable dans la base de données du groupe local, le contrôleur du domaine est recherché. Si le SID est trouvé, le
nom Windows associé est le nom d'utilisateur. Si le SID ne peut pas être résolu, l’accès est refusé.
3. Le nom de Windows est traduit dans un nom UNIX. ntxmap est utilisé à cette fin.
a. Si le nom Windows se trouve dans ntxmap, l'entrée est utilisée en tant que nom UNIX.
b. Si le nom Windows se trouve dans ntxmap, le nom Windows est utilisé en tant que nom UNIX.
4. L'UDS (serveur NIS, serveur LDAP ou fichiers locaux) est recherché en utilisant le nom UNIX.
a. Si le nom d'utilisateur UNIX est trouvé dans l'UDS, le mappage UID et de l'ID de groupe est résolu.
b. Si le nom UNIX est introuvable, mais que la fonctionnalité de mappage automatique pour les comptes Windows non mappés est
activée, l'UID est automatiquement assigné.
c. Si le nom d'utilisateur UNIX n'est pas trouvé dans l'UDS mais qu'il existe un compte UNIX par défaut, le mappage UID et de l'ID de
groupe est résolu en fonction de celui du compte UNIX par défaut.
d. Si le SID ne peut pas être résolu, l’accès est refusé.
Si le mappage est trouvé, il est ajouté dans la base de données secmap persistante. Si le mappage est introuvable, le mappage en échec
est ajouté dans la base de données secmap persistante.
Le schéma suivant montre le processus permettant de résoudre un mappage SID à UID, GID principal :
22
Authentification et accès
SID
Dans
secmap
secmap ?
Oui
Dans les
fichiers locaux
ou UDS ?
UID et
GID principal
Non
Dans la DB
du groupe
local ?
Non
UID et
GID principal
Oui
UID et
GID principal
Oui
UID et
GID principal
Non
Oui
Nom Windows utilisé
pour l'accès SMB
uniquement
Mappage
automatique ?
Non
Dans le
Contrôleur de
domaine ?
Oui
Non
Oui
Nom
Windows
Dans
ntxmap ?
Oui
Nom UNIX
Non
Compte UNIX
par défaut ?
Non
Nom Windows =
Nom UNIX
SID inconnu
Accès refusé
Échec du mappage
Accès refusé
Figure 1. Processus de résolution d'un mappage SID à UID, GID principal
Authentification et accès
23
Mappage UID à SID
La séquence suivante est le processus utilisé pour résoudre un UID dans un mappage SID :
1. secmap est recherché pour l'UID. Si l'UID est trouvé, le mappage SID est résolu.
2. Si l'UID est introuvable dans secmap, le nom Windows associé à l'identifiant UID doit être trouvé.
a. L'UDS (serveur NIS, serveur LDAP ou fichiers locaux) est recherché en utilisant l'UID. Si l'UID est trouvé, le nom UNIX associé est
le nom d'utilisateur.
b. Si l'UID n'est pas trouvé dans l'UDS, mais qu'il existe un compte Windows par défaut, l’UID est mappé sur le SID du compte
Windows par défaut.
3. Si les informations du compte Windows par défaut ne sont pas utilisées, le nom UNIX est converti en nom Windows. ntxmap est utilisé
à cette fin.
a. Si le nom Windows se trouve dans ntxmap, l'entrée est utilisée en tant que nom Windows.
b. Si le nom UNIX se trouve dans ntxmap, le nom UNIX est utilisé en tant que nom Windows.
4. Le contrôleur de domaine Windows ou la base de données du groupe local est recherché(e) en utilisant le nom Windows.
a. Si le nom Windows est trouvé, le mappage SID est résolu.
b. Si le nom Windows contient un point et que la partie du nom suivant le dernier point (.) correspond à un nom de serveur SMB, la
base de données du groupe local de ce serveur SMB est recherchée pour résoudre le mappage SID.
c. Si le nom Windows n'est pas trouvé mais qu'il existe un compte Windows par défaut, le mappage SID est résolu en fonction de
celui du compte Windows par défaut.
d. Si le SID ne peut pas être résolu, l’accès est refusé.
Si le mappage est trouvé, il est ajouté dans la base de données secmap persistante. Si le mappage est introuvable, le mappage en échec
est ajouté dans la base de données secmap persistante.
Le schéma suivant montre le processus permettant de résoudre un mappage UID à SID :
24
Authentification et accès
UID
Dans
secmap
secmap ?
Oui
Dans le
contrôleur de
domaine ?
SID
Non
SID
Non
Non
Dans les
fichiers locaux
ou UDS ?
Oui
Oui
Nom
UNIX
Dans
ntxmap ?
Non
Oui
Nom
Windows
Nom Windows =
Nom UNIX
Dans la DB
du groupe
local ?
Oui
SID
Non
Compte
Windows par
défaut ?
Oui
SID
Non
UID non résolu
Accès refusé
Figure 2. Processus permettant de résoudre un mappage UID à SID
Authentification et accès
25
Stratégies d'accès pour NFS, SMB et FTP
Dans un environnement multiprotocole, le système de stockage utilise les stratégies d'accès du système de fichiers pour gérer le contrôle
d'accès utilisateur de ses systèmes de fichiers. Il existe deux types de sécurité, UNIX et Windows.
Pour l'authentification de sécurité UNIX, les informations d'identification sont créées à partir des services d'annuaire UNIX (UDS), avec
pour exception les accès NFS non sécurisés, où les informations d'identification sont fournies par le client d'hôte. Les droits des utilisateurs
sont déterminés à partir des bits de mode et de la liste de contrôle d'accès (ACL) NFSv4. Les ID d'utilisateurs et de groupes (UID et GID,
respectivement) sont utilisés pour l'identification. Il n'y a pas de privilèges associés à la sécurité UNIX.
Pour l'authentification de sécurité Windows, les informations d'identification sont générées à partir du contrôleur de domaine Windows
(DC) et de la base de données du groupe local (LGDB) du serveur SMB. Les droits des utilisateurs sont déterminés à partir des ACL SMB.
Les ID de sécurité (SID) sont utilisés pour l'identification. Il existe des privilèges associés à la sécurité Windows, comme TakeOwnership, la
sauvegarde et la restauration qui sont attribués par le LGDB ou l'objet de stratégie de groupe du serveur SMB.
Le tableau ci-dessous décrit les stratégies d’accès qui définissent le mécanisme de sécurité utilisé par tel ou tel protocole.
Stratégie
d’accès
Description
Native (par
défaut)
● Chaque protocole gère l’accès avec sa sécurité native.
● La sécurité des partages NFS utilise les informations d'identification UNIX associées à la demande de vérification
des bits de mode UNIX NFSv3 ou ACL NFSv4. L'accès est alors accordé ou refusé.
● La sécurité des partages SMB utilise les informations d'identification Windows associées à la demande de
vérification de la liste de contrôle d'accès (ACL) SMB. L'accès est alors accordé ou refusé.
● Les bits de mode UNIX NFSv3 et les changements d’autorisation ACL NFSv4 sont synchronisés les uns par
rapport aux autres.
● Il n’y a aucune synchronisation entre les autorisations UNIX et Windows.
Windows
● Sécurise l'accès en mode fichier pour Windows et UNIX à l’aide de la sécurité Windows.
● Utilise les informations d’identification Windows pour vérifier la liste ACL SMB.
● Les autorisations pour les fichiers nouvellement créés sont déterminées par une conversion ACL SMB. Les
changements d’autorisation ACL SMB sont synchronisés sur les bits de mode UNIX NFSv3 ou l’ACL NFSv4.
● Les bits de mode NFSv3 et les changements d’autorisation ACL NFSv4 sont refusés.
UNIX
● Sécurise l'accès en mode fichier pour Windows et UNIX à l’aide de la sécurité UNIX.
● Suite à la demande d’accès SMB, les informations d’identification UNIX générées à partir de fichiers locaux ou UDS
sont utilisées pour vérifier les autorisations des bits de mode NFSv3 ou des ACL NFSv4.
● Les autorisations pour les fichiers nouvellement créés sont déterminées par UMASK.
● Les changements d’autorisation des bits de mode UNIX NFSv3 ou l’ACL NFSv4 sont synchronisés sur l’ACL SMB.
● Les changements d’autorisation de l’ACL SMB sont autorisés afin d’éviter toute interruption, mais ces
autorisations ne sont pas conservées.
Pour le protocole FTP, l'authentification à l'aide de Windows ou UNIX dépend du format du nom de l'utilisateur qui est utilisé lors de
l'authentification sur le serveur NAS. Si l'authentification Windows est utilisée, le contrôle d'accès FTP est similaire à celui de SMB ; dans le
cas contraire, l'authentification est similaire à celle de NFS. Les clients FTP et SFTP sont authentifiés lorsqu'ils se connectent au serveur
NAS. Il peut s’agir d’une authentification SMB (lorsque le format du nom d’utilisateur est domain\user ou user@domain) ou d’une
authentification UNIX (pour les autres formats d’un nom d’utilisateur). L'authentification SMB est assurée par le contrôleur de domaine
Windows du domaine défini dans le serveur NAS. L'authentification UNIX est assurée par le serveur NAS en fonction du mot de passe
chiffré qui est stocké soit dans un serveur LDAP distant, soit dans un serveur NIS distant, soit dans le fichier de mots de passe local du
VDM.
Informations d'identification de la sécurité en mode fichier
Pour appliquer la sécurité en mode fichier, le système de stockage doit générer des informations d'identification qui sont associées à la
demande SMB ou NFS en cours de traitement. Il existe deux types d'informations d'identification : Windows et UNIX. Les informations
d'identification Windows et UNIX sont générées par le serveur NAS pour les cas d'utilisation suivants :
● Pour créer des informations d'identification UNIX avec plus de 16 groupes pour une demande NFS. La propriété des informations
d'identification étendues du serveur NAS doit être définie pour offrir cette possibilité.
● Pour créer des informations d'identification UNIX pour une demande SMB lorsque la stratégie d'accès au système de fichiers est UNIX.
● Pour créer des informations d'identification Windows pour une demande SMB.
26
Authentification et accès
● Pour créer des informations d'identification Windows pour une demande NFS lorsque la stratégie d'accès au système de fichiers est
Windows.
REMARQUE : Pour une demande NFS lorsque la propriété des informations d'identification n'est pas définie, les informations
d'identification UNIX de la demande NFS sont utilisées. Lors de l'utilisation de l'authentification Kerberos pour une demande SMB, les
informations d'identification Windows de l'utilisateur du domaine sont incluses dans le ticket Kerberos de la demande de configuration
de session.
Un cache persistant des informations d'identification est utilisé dans les cas suivants :
● Les informations d'identification Windows créées pour accéder à un système de fichiers ayant une stratégie d'accès Windows.
● Les informations d'identification UNIX pour l'accès via NFS si l'option d'informations d'identification étendue est activée.
Il existe une instance de cache pour chaque serveur NAS.
Autorisation d'accès à des utilisateurs non mappés
Un environnement multiprotocole requiert les éléments suivants :
● Un utilisateur Windows doit être mappé sur un utilisateur UNIX.
● Un utilisateur UNIX doit être mappé sur un utilisateur Windows pour générer les informations d'identification Windows lorsque
l'utilisateur accède à un système de fichiers qui dispose d'une stratégie d'accès Windows.
Deux propriétés sont associées au serveur NAS par rapport aux utilisateurs non mappés :
● L'utilisateur UNIX par défaut.
● L'utilisateur Windows par défaut.
Lorsqu’un utilisateur Windows non mappé tente de se connecter à un système de fichiers multiprotocole et que le compte d’utilisateur
UNIX par défaut est configuré pour le serveur NAS, l’ID de l’utilisateur (UID) et l’ID du groupe principal (GID) de l’utilisateur UNIX par
défaut sont utilisés dans les informations d’identification Windows. De même, lorsqu’un utilisateur UNIX non mappé tente de se connecter
à un système de fichiers multiprotocole et que le compte d’utilisateur Windows par défaut est configuré pour le serveur NAS, les
informations d’identification Windows de l’utilisateur Windows par défaut sont utilisées.
REMARQUE : Si l'utilisateur UNIX par défaut n'est pas défini dans les Services d'annuaire UNIX (UDS), l'accès SMB est refusé pour
les utilisateurs non mappés. Si l’utilisateur Windows par défaut ne se trouve pas dans la LGDB ou le DC Windows, l’accès NFS sur un
système de fichiers qui dispose d’une politique d’accès Windows est refusé pour les utilisateurs non mappés.
REMARQUE : L’utilisateur UNIX par défaut peut être un nom de compte UNIX existant valide ou peut utiliser le nouveau format
@uid=xxxx,gid=yyyy@, où xxxx et yyyy sont, respectivement, les valeurs numériques décimales de l’UID et du GID principal. La
configuration peut être effectuée via PowerStore Manager.
Informations d'identification UNIX pour demandes NFS
Pour gérer les demandes NFS pour un système de fichiers avec protocole NFS uniquement ou multiprotocole avec une stratégie d'accès
UNIX ou une stratégie d'accès native, les informations d'identification UNIX doivent être utilisées. Les informations d'identification UNIX
sont toujours intégrées dans chaque demande ; toutefois, les informations d'identification sont limitées à 16 groupes supplémentaires. La
propriété extendedUnixCredEnabled du serveur NFS permet de générer des informations d’identification avec plus de 16 groupes. Si
cette propriété est définie, l'UDS actif est interrogé avec l'UID pour obtenir le GID principal et tous les GID de groupe auxquels il appartient.
Si l'UID ne se trouve pas dans l'UDS, les informations d'identification UNIX intégrées dans la demande sont utilisées.
REMARQUE : Pour l'accès sécurisé NFS, les informations d'identification sont toujours créées à l'aide de l'UDS.
Informations d'identification UNIX pour demandes SMB
Pour gérer les demandes SMB pour un système de fichiers multiprotocole avec une stratégie d'accès UNIX, les informations
d'identification Windows doivent d'abord être générées pour l'utilisateur SMB lors de la configuration de la session. L'identifiant de session
de l'utilisateur Windows est utilisé pour trouver l'annuaire AD. Ce nom est ensuite utilisé (éventuellement via ntxmap) pour rechercher un
UID et GID Unix à partir de l'UDS ou du fichier local (fichier passwd). L'UID du propriétaire est inclus dans les informations d'identification
Windows. Lors de l'accès à un système de fichiers avec une règle d'accès UNIX, l'UID de l'utilisateur est utilisé pour interroger les UDS afin
de créer les informations d'identification UNIX, de la même façon que lors de la génération d'informations d'identification étendues pour
NFS. L'UID est requis pour la gestion des quotas.
Authentification et accès
27
Informations d'identification Windows pour les demandes SMB
Pour gérer les demandes SMB pour un système de fichiers avec protocole SMB uniquement ou multiprotocole avec une stratégie d'accès
Windows ou une stratégie d'accès native, les informations d'identification Windows doivent être utilisées. Les informations d'identification
Windows pour SMB doivent être générées à une seule reprise, au moment de la demande de configuration de la session lorsque l'utilisateur
se connecte.
Lors de l'utilisation de l'authentification Kerberos, les informations d'identification de l'utilisateur sont incluses dans le ticket Kerberos de la
demande de configuration de session, ce qui n'est pas le cas lors de l'utilisation du NT LAN Manager (NTLM). D'autres informations sont
alors interrogées depuis la LGDB ou le DC Windows. Pour Kerberos, la liste de SID du groupe supplémentaire provient du ticket Kerberos
et de la liste de SID du groupe local supplémentaire. La liste des privilèges est extraite du LGDB. Pour NTLM, la liste de SID du groupe
supplémentaire provient du DC Windows et de la liste de SID du groupe local supplémentaire. La liste des privilèges est extraite du LGDB.
En outre, l'UID correspondant et l'ID de groupe principal sont également récupérés à partir du composant de mappage utilisateur. Étant
donné que le SID du groupe principal n'est pas utilisé pour la vérification d'accès, le GID principal UNIX est utilisé à la place.
REMARQUE : NTLM est une ancienne suite de protocoles de sécurité propriétaires qui fournit l'authentification, l'intégrité et la
confidentialité aux utilisateurs. Kerberos est un protocole standard ouvert qui permet une authentification plus rapide grâce à
l'utilisation d'un système de tickets. Kerberos ajoute une plus grande sécurité que le NTLM aux systèmes sur un réseau.
Informations d'identification Windows pour demandes NFS
Les informations d'identification Windows sont uniquement générées/récupérées lorsqu'un utilisateur tente d'accéder, via une demande
NFS, à un système de fichiers qui dispose d'une stratégie d'accès Windows. L'UID est extrait de la demande NFS. Il existe un cache global
des informations d'identification Windows pour permettre d'éviter de générer des informations d'identification pour chaque demande NFS
avec une durée de conservation associée. Si les informations d'identification Windows sont détectées dans ce cache, aucune autre action
n'est requise. Si les informations d'identification Windows sont introuvables, l'UDS ou le fichier local est interrogé pour trouver le nom de
l'UID. Le nom est ensuite utilisé (éventuellement via ntxmap) pour trouver un utilisateur Windows, et les informations d'identification sont
récupérées à partir du contrôleur de domaine Windows ou LGDB. Si le mappage est introuvable, les informations d'identification Windows
de l'utilisateur Windows par défaut sont utilisées à la place ou l'accès est refusé.
Description de Common Antivirus Agent (CAVA)
Common AntiVirus Agent (CAVA) est une solution antivirus conçue pour les clients qui utilisent un serveur NAS. Il emploie un protocole
SMB standard dans un environnement Microsoft Windows Server. CAVA utilise un logiciel antivirus tiers pour identifier et éliminer les virus
connus avant qu’ils infectent les fichiers du système de stockage.
Pourquoi est-il important d’utiliser une protection antivirus ?
Le système de stockage résiste à l'invasion des virus de par son architecture. Le serveur NAS gère l'accès aux données en temps réel au
moyen d'un système d'exploitation intégré. Il est donc impossible à des tiers d'exécuter des programmes contenant un virus sur ce
système d'exploitation. Toutefois, même si ce dernier offre une grande résistance aux virus, les clients Windows qui accèdent au système
de stockage ont également besoin d'une protection antivirus. La protection antivirus installée sur les clients réduit les risques que ces
derniers stockent un fichier contaminé sur le serveur et les protège s'ils ouvrent un fichier infecté. Cette solution antivirus conjugue le
logiciel du système d'exploitation, l'agent CAVA et un moteur antivirus tiers. Le logiciel CAVA et un moteur antivirus tiers doivent être
installés sur un serveur Windows du domaine.
Pour plus d’informations sur CAVA qui fait partie de CEE (Common Event Enabler), reportez-vous au document Using the Common Event
Enabler on Windows Platforms sur www.dell.com/powerstoredocs.
Signature du code
PowerStore est conçu pour accepter les mises à niveau logicielles des nouvelles versions et des correctifs. Une clé GPG
(GNU Privacy Guard) principale signe tous les packages logiciels PowerStore. Elle est contrôlée par Dell EMC. Le processus de mise à
niveau logicielle de PowerStore vérifie la signature du package logiciel et refuse les signatures non valides qui peuvent indiquer une
éventuelle falsification ou corruption. L’étape de vérification est intégrée au processus de mise à niveau et la signature du package logiciel
est vérifiée automatiquement au cours de la phase de préinstallation.
28
Authentification et accès
2
Paramètres de sécurité de communication
Cette rubrique contient les rubriques suivantes :
Sujets :
•
Utilisation des ports
Utilisation des ports
Le tableau ci-dessous présente les différents ports réseau et les services correspondants qui peuvent être disponibles sur l’appliance.
L’appliance fonctionne comme un client réseau dans de nombreuses situations, par exemple lorsqu’il communique avec un vCenter Server.
Dans ces cas, l’appliance initie la communication et l’infrastructure réseau doit prendre en charge ces connexions.
REMARQUE : Pour plus d’informations sur les ports, consultez l’article de la base de connaissances 542240 PowerStore : Règles de
pare-feu de réseau client - Ports TCP/UDP (en anglais). Allez à la section https://www.dell.com/support/kbdoc/en-us/542240.
L’outil Règles de pare-feu de réseau client vous permet de filtrer et de consulter la liste des règles de pare-feu et les ports qui sont
pertinents pour votre déploiement PowerStore.
Ports réseau de l’appliance
Le tableau suivant présente les différents ports réseau et les services correspondants qui sont disponibles sur l’appliance.
Tableau 2. Ports réseau de l’appliance
Port
Service
Protocole
Direction de
l’accès
Description
22
Client SSH,
SupportAssist Conne
ct Home
TCP
Bidirectionnel
● Autorise l'accès SSH (s'il est activé).
● Requis pour
SupportAssist Connect Home.
S'il est fermé, les connexions de gestion
utilisant SSH ne sont pas disponibles.
25
SMTP
TCP
Sortant
Permet à l’appliance d’envoyer des e-mails.
S'il est fermé, les notifications par e-mail ne
sont pas disponibles.
26
Client SSH
TCP
Bidirectionnel
L’accès SSH au port 22 est redirigé vers ce
port. S'il est fermé, les connexions de gestion
utilisant SSH ne sont pas disponibles.
53
DNS
TCP/UDP
Sortant
Utilisé pour transmettre des requêtes DNS
au serveur DNS. S'il est fermé, la résolution
de noms DNS ne fonctionne pas.
80, 8080, 8128
SupportAssist
TCP
Sortant
Utilisé pour la connexion au proxy
SupportAssist.
123
NTP
TCP/UDP
Sortant
Synchronisation de l'heure NTP. S’il est
fermé, l’heure n’est pas synchronisée entre
les appliances.
443
HTTPS
TCP
Bidirectionnel
Trafic HTTP sécurisé vers PowerStore
Manager. S’il est fermé, la communication
avec l’appliance n’est pas possible.
Paramètres de sécurité de communication
29
Tableau 2. Ports réseau de l’appliance (suite)
Port
Service
Protocole
Direction de
l’accès
Description
500
IPSec (IKEv2)
UDP
Bidirectionnel
Pour faire en sorte qu’IPSec fonctionne avec
vos pare-feu, ouvrez le port UDP 500 et
autorisez les numéros de protocole IP
50 et 51 sur les filtres de pare-feu entrants et
sortants. Le port UDP 500 doit être ouvert
pour permettre au trafic Internet Security
Association and Key Management Protocol
(ISAKMP) d’être transmis via vos pare-feu.
L’ID de protocole IP 50 doit être défini pour
autoriser la transmission du trafic ESP
(Encapsulating Security Protocol) IPSec. L’ID
de protocole IP 51 doit être défini pour
autoriser le trafic de l’en-tête
d’authentification (AH). S’il est fermé, la
connexion IPSec entre les appliances
PowerStore n’est pas disponible.
587
SMTP
TCP
Sortant
Permet à l’appliance d’envoyer des e-mails.
S'il est fermé, les notifications par e-mail ne
sont pas disponibles.
3033
Importation
TCP/UDP
Sortant
Requis pour l’importation du stockage à partir
des systèmes existants
EqualLogic Peer Storage et
Compellent Storage Center.
3260
iSCSI
TCP
● Entrant pour
l’accès hôte
(ESXi et autre)
● Bidirectionnel
pour la réplication
● Sortant pour
l’importation du
stockage
Requis pour fournir les accès suivants aux
services iSCSI :
● Accès iSCSI à l’hôte externe
● Accès iSCSI à l’hôte ESXi intégré à
PowerStore ou externe
● Accès entre clusters pour la réplication
● Accès à l’importation du stockage à partir
des systèmes existants
EqualLogic Peer Storage,
Compellent Storage Center, Unity et
VNX2
Si ce port est fermé, les services iSCSI ne
sont pas disponibles. Utilisé par la
fonctionnalité de mobilité des données pour
offrir des performances de réplication
raisonnables sur les connexions à faible
latence.
3261
Mobilité des données
TCP
Bidirectionnel
Utilisé par la mobilité des données pour
prendre en charge des performances de
réplication raisonnables sur une connexion à
forte latence.
5353
Multicast DNS
(mDNS)
UDP
Bidirectionnel
Requête Multicast DNS. S’il est fermé, la
résolution de nom mDNS ne fonctionne pas.
8443
VASA, SupportAssist
TCP
● Entrant pour
VASA
● Sortant pour
SupportAssist
● Requis pour le fournisseur VASA
(VASA 3.0).
● Requis pour les fonctions
SupportAssist Connect Home connexes.
8443, 50443, 55443
ou 60443
Agent hôte
d’importation
Windows, Linux ou
VMware
TCP
Sortant
L’un de ces ports doit être ouvert lors de
l’importation du stockage de données à partir
des systèmes de stockage existants.
30
Paramètres de sécurité de communication
Tableau 2. Ports réseau de l’appliance (suite)
Port
Service
Protocole
Direction de
l’accès
Description
9443
SupportAssist
TCP
Sortant
Requis pour l’API REST SupportAssist
associée à Connect Home
Ports réseau de l’appliance liés au fichier
Le tableau suivant présente l’ensemble des ports réseau et les services correspondants qui peuvent se trouver sur l’appliance en rapport
avec le fichier.
REMARQUE : Les ports sortants sont éphémères.
Tableau 3. Ports réseau de l’appliance liés au fichier
Port
Service
Protocole
Direction de l’accès Description
20
FTP
TCP
Sortant
Port utilisé pour les transferts de données
FTP. Ce port peut être ouvert en
activant FTP. L'authentification est effectuée
sur le port 21 et définie par le protocole FTP.
21
FTP
TCP
Entrant
Le port 21 est le port de contrôle sur lequel le
service FTP écoute les demandes FTP
entrantes.
22
SFTP
TCP
Entrant
Autorise les notifications d'alertes via SFTP
(FTP sur SSH). SFTP est un protocole
client/serveur. Les utilisateurs peuvent
effectuer des transferts de fichiers sur une
appliance située sur le sous-réseau local, via
SFTP. Permet également la connexion de
contrôle FTP en sortie. S'il est fermé, FTP
n'est pas disponible.
53
DNS
TCP/UDP
Sortant
Utilisé pour transmettre des requêtes DNS au
serveur DNS. S'il est fermé, la résolution de
noms DNS ne fonctionne pas. Requis pour
SMB v1.
88
Kerberos
TCP/UDP
Sortant
Requis pour les services d’authentification
Kerberos.
111
RPC bind (pour les
espaces de
nommage SDNAS ;
sinon, le service de
l’hôte)
TCP/UDP
Bidirectionnel
Ouvert par le service portmapper ou rpcbind
standard. Il s’agit du service réseau d’une
appliance auxiliaire. Il ne peut pas être arrêté.
Par définition, si un système client dispose
d'une connectivité réseau vers le port, il peut
l'interroger. Aucune authentification n'est
effectuée.
123
NTP
UDP
Sortant
Synchronisation de l'heure NTP. S’il est
fermé, l’heure n’est pas synchronisée entre
les appliances.
135
Microsoft RPC
TCP
Entrant
Plusieurs fonctions pour le client Microsoft.
Également utilisé pour NDMP.
137
Microsoft Netbios W UDP, TCP/UDP
INS
Entrant, sortant
Le service de noms NETBIOS est associé aux
services de partage de fichiers SMB de
l’appliance et constitue l’un des principaux
composants de cette fonctionnalité (Wins).
S’il est désactivé, ce port désactive tous les
services associés à SMB.
Paramètres de sécurité de communication
31
Tableau 3. Ports réseau de l’appliance liés au fichier (suite)
Port
Service
Protocole
Direction de l’accès Description
138
Microsoft Netbios
BROWSE
UDP
Sortant
Le service de datagrammes NETBIOS est
associé aux services de partage de fichiers
SMB de l’appliance et constitue l’un des
principaux composants de cette
fonctionnalité. Seul le service de navigation
est utilisé. S'il est désactivé, ce port
désactive la fonctionnalité de navigation.
139
Microsoft CIFS
TCP
Bidirectionnel
Le service de session NETBIOS est associé
aux services de partage de fichiers SMB de
l’appliance et constitue l’un des principaux
composants de cette fonction. Si les services
SMB sont activés, ce port est ouvert. Il est
particulièrement requis pour SMB v1.
389
LDAP
TCP/UDP
Sortant
Requêtes LDAP non sécurisées. S'il est
fermé, les requêtes d'authentification LDAP
non sécurisées ne sont pas disponibles. La
configuration du service LDAP sécurisé est
une solution alternative.
445
Microsoft SMB
TCP
Entrant
SMB (sur le contrôleur de domaine) et port
de connectivité SMB pour clients
Windows 2000 et supérieurs. Les clients
autorisés à accéder aux services SMB de
l’appliance doivent disposer d’une
connectivité réseau vers le port pour assurer
la continuité des opérations. La désactivation
de ce port désactive tous les services
associés à SMB. Si le port 139 est également
désactivé, le partage de fichiers SMB est
désactivé.
464
Kerberos
TCP/UDP
Sortant
Requis pour les services d’authentification
Kerberos et SMB.
500
IPsec (IKEv2)
UDP
Bidirectionnel
Pour faire en sorte qu’IPSec fonctionne avec
vos pare-feu, ouvrez le port UDP 500 et
autorisez les numéros de protocole IP
50 et 51 sur les filtres de pare-feu entrants et
sortants. Le port UDP 500 doit être ouvert
pour permettre au trafic Internet Security
Association and Key Management Protocol
(ISAKMP) d’être transmis via vos pare-feu.
L’ID de protocole IP 50 doit être défini pour
autoriser la transmission du trafic ESP
(Encapsulating Security Protocol) IPSec. L’ID
de protocole IP 51 doit être défini pour
autoriser le trafic de l’en-tête
d’authentification (AH). S’il est fermé, la
connexion IPSec entre les appliances
PowerStore n’est pas disponible.
636
LDAPS
TCP/UDP
Sortant
Requêtes LDAP sécurisées. S'il est fermé,
l'authentification LDAP sécurisée n'est pas
disponible.
1234
NFS mountd
TCP/UDP
Bidirectionnel
Utilisé pour le service mount, l'un des
principaux composants du service NFS
(versions 2, 3 et 4).
2 000
SSHD
TCP
Entrant
SSHD pour faciliter la maintenance
(facultatif).
32
Paramètres de sécurité de communication
Tableau 3. Ports réseau de l’appliance liés au fichier (suite)
Port
Service
Protocole
Direction de l’accès Description
2049
E/S NFS
TCP/UDP
Bidirectionnel
Utilisé pour fournir des services NFS.
3268
LDAP
UDP
Sortant
Requêtes LDAP non sécurisées. S'il est
fermé, les requêtes d'authentification LDAP
non sécurisées ne sont pas disponibles.
4 000
STATD pour NFSv3
TCP/UDP
Bidirectionnel
Utilisé pour fournir des services NFS statd.
statd surveille l’état de verrouillage des
fichiers NFS. Il fonctionne conjointement
avec le service lockd afin d’offrir des
fonctions de restauration après sinistre pour
NFS. S'il est fermé, les services NAS statd ne
sont pas disponibles.
4001
NLMD pour NFSv3
TCP/UDP
Bidirectionnel
Utilisé pour fournir des services NFS lockd.
lockd est le processus de verrouillage de
fichiers NFS. Il traite les demandes de
verrouillage émanant des clients NFS et
fonctionne conjointement avec le processus
statd. S'il est fermé, les services NAS lockd
ne sont pas disponibles.
4002
RQUOTAD pour
NFSv3
TCP/UDP, UDP
Entrant, sortant
Utilisé pour fournir des services NFS rquotad.
Le processus rquotad fournit des
informations de quota aux clients NFS qui ont
monté un système de fichiers. S'il est fermé,
les services NAS rquotad ne sont pas
disponibles.
4003
XATTRPD (attribut
de fichier étendu)
TCP/UDP
Entrant
Requis pour gérer les attributs de fichiers
dans un environnement multiprotocole.
4658
PAX (archive du
serveur NAS)
TCP
Entrant
PAX est un protocole d’archivage d’appliance
qui utilise les formats de bande UNIX
standard.
8888
RCPD (chemin
d’accès des données
de réplication)
TCP
Entrant
Utilisé par le réplicateur (sur le côté
secondaire). Le réplicateur le laisse ouvert
dès lors que certaines données doivent être
répliquées. Une fois démarré, ce service ne
peut pas être arrêté.
10 000
NDMP
TCP
Entrant
● Vous permet de contrôler la sauvegarde
et la restauration d’un serveur
Network Data Management Protocol
(NDMP) via une application de
sauvegarde réseau, sans nécessiter
l’installation d’un logiciel tiers sur le
serveur. Dans une appliance, le serveur
NAS fonctionne comme un serveur
NDMP.
● Le service NDMP peut être désactivé si
la sauvegarde sur bande NDMP n'est pas
utilisée.
● Le service NDMP est authentifié à l'aide
d'un nom d'utilisateur et d'un mot de
passe. Le nom d'utilisateur peut être
configuré. La documentation NDMP
décrit comment configurer le mot de
passe pour différents environnements.
Paramètres de sécurité de communication
33
Tableau 3. Ports réseau de l’appliance liés au fichier (suite)
Port
Service
Protocole
[10500,10531]
Plage réservée
TCP
NDMP pour les ports
dynamiques NDMP
Entrant
Pour les sessions de sauvegarde/restauration
tridirectionnelle, les serveurs NAS utilisent les
ports 10500 à 10531.
12228
Service antivirus
Sortant
Requis pour le service antivirus.
TCP
Direction de l’accès Description
Ports réseau associés aux appliances du modèle PowerStore X
Le tableau suivant présente l’ensemble des ports réseau et les services correspondants qui peuvent se trouver sur les appliances
PowerStore X model.
Tableau 4. Ports réseau liés aux appliances PowerStore X model
Port
Service
Protocole
Direction de
l’accès
Description
22
Serveur SSH
TCP
Entrant
Autorise l'accès SSH (s'il est activé). S'il est
fermé, les connexions de gestion utilisant
SSH ne sont pas disponibles.
80, 9000
vSphere Web Access TCP
Entrant
Accès du plug-in vSphere Update Manager
Web Client pour vSphere Web Client.
427
Protocole SLP
(Service Location
Protocol) CIM
TCP/UDP
Bidirectionnel
Le client CIM utilise SLPv2
(Service Location Protocol version 2) pour
trouver les serveurs CIM.
443
vSphere Web Client
TCP
Entrant
Utilisé pour les connexions client.
902
Network File Copy
(NFC), VMware
vCenter, vSphere
Web Client
TCP
● Bidirectionnel
● NFC fournit un service FTP prenant en
pour NFC
compte les types de fichiers pour les
composants vSphere. ESXi utilise par
● Sortant pour
défaut NFC pour des opérations telles
VMware vCenter
que la copie et le déplacement des
● Entrant pour
données entre les datastores.
vSphere Web Cli
● Agent VMware vCenter
ent
● Pour vSphere Web Client, utilisé pour les
connexions client.
5900, 5901, 5902,
5903, 5904
Protocole RFB
TCP
Entrant
Accès distant aux interfaces graphiques telles
que VNC.
5988
Serveur CIM
(Common Informatio
n Model)
TCP
Entrant
Serveur utilisé pour CIM.
5989
Serveur sécurisé CIM TCP
Entrant
Serveur utilisé pour CIM.
6999
Routeur logique
UDP
distribué virtuel NSX,
rabbitmqproxy
● Bidirectionnel
● Pour le service de routeur distribué virtuel
pour le service de
(VDR, Virtual Distributed Router) NSX, le
routeur distribué
port de pare-feu associé à ce service est
virtuel NSX
ouvert lorsque les VIB NSX sont installés
et que le module VDR est créé. Si aucune
● Sortant pour
instance VDR n’est associée à l’hôte, il
rabbitmqproxy
n’est pas nécessaire que le port soit
ouvert.
● Pour rabbitmqproxy, un proxy s’exécutant
sur l’hôte ESXi. Ce proxy permet aux
applications utilisées sur les machines
virtuelles de communiquer avec les
agents AMQP qui s’exécutent dans le
34
Paramètres de sécurité de communication
Tableau 4. Ports réseau liés aux appliances PowerStore X model (suite)
Port
Service
Protocole
Direction de
l’accès
Description
domaine réseau de vCenter. Il n’est pas
nécessaire que les machines virtuelles se
trouvent sur le réseau. En d’autres
termes, aucune carte NIC n’est requise.
Assurez-vous que les adresses IP des
connexions sortantes incluent au moins
les agents actuels et futurs. Vous pourrez
ajouter des agents ultérieurement pour
augmenter la capacité.
8 000
vMotion
TCP
Bidirectionnel
Requis pour la migration des machines
virtuelles avec vMotion. Les hôtes ESXi
écoutent sur le port 8000 les connexions
TCP des hôtes ESXi distants pour le trafic
vMotion.
8100, 8200, 8300
Fault Tolerance
TCP/UDP
Bidirectionnel
Utilisé pour le trafic entre les hôtes pour
vSphere FT (Fault Tolerance).
8301, 8302
DVSSync
UDP
Bidirectionnel
Les ports DVSSync permettent de
synchroniser les états des ports virtuels
distribués entre les hôtes pour lesquels
l’enregistrement et la lecture VMware FT
sont activés. Ces ports doivent être ouverts
uniquement pour les hôtes exécutant des
machines virtuelles principales ou de secours.
Il n’est pas nécessaire que ces ports soient
ouverts sur les hôtes qui n’utilisent pas la
fonctionnalité VMware FT.
9080
Filtre d’E/S
TCP
Sortant
Utilisé par la fonctionnalité de stockage des
filtres d’E/S.
31031
vSphere Replication,
VMware Site
Recovery Manager
TCP
Sortant
Utilisé par vSphere Replication et
VMware Site Recovery Manager pour le
trafic de réplication en cours.
44046
vSphere Replication,
VMware Site
Recovery Manager
TCP
Sortant
Utilisé par vSphere Replication et
VMware Site Recovery Manager pour le
trafic de réplication en cours.
Paramètres de sécurité de communication
35
3
Audit
Ce chapitre contient les informations suivantes :
Sujets :
•
Audit
Audit
L’audit fournit une vue historique de l’activité des utilisateurs sur le système. Un utilisateur doté du rôle d’administrateur, d’administrateur
de la sécurité ou d’administrateur du stockage peut utiliser l’API REST pour rechercher et afficher des événements de modification de
configuration sur le système. Les audits ne portent pas seulement sur les événements liés à la sécurité. Toutes les opérations de
configuration (à savoir POST/PATCH/DELETE) sont consignées dans le journal d’audit.
D’autres interfaces, telles que l’interface utilisateur PowerStore Manager et l’interface de ligne de commande, peuvent être utilisées pour
rechercher et afficher des événements d’audit.
36
Audit
4
Paramètres de sécurité des données
Cette rubrique contient les rubriques suivantes :
Sujets :
•
•
•
•
•
•
•
•
Data at Rest Encryption
Activation du chiffrement
État du chiffrement
Gestion des clés
Fichier de sauvegarde du magasin de clés
Réutilisation d’un disque dans une appliance avec chiffrement activé
Remplacement d’un boîtier de base et de nœuds dans un système ayant le chiffrement activé
Réinitialisation d’une appliance aux paramètres d’usine
Data at Rest Encryption
La fonctionnalité de chiffrement des données au repos (D@RE, Data at Rest Encryption) de PowerStore utilise des disques à
autochiffrement (SED, Self-Encrypting Drive) certifiés FIPS 140-2 pour le stockage principal (SSD NVMe, SCM NVMe et SSD SAS). Le
périphérique de mise en cache NVRAM est chiffré, mais pas certifié FIPS 140-2 pour le moment.
Le chiffrement est effectué sur chaque disque avant que les données ne soient écrites sur le média. Cela permet de protéger les données
du disque contre le vol ou la perte et de tenter de lire le lecteur directement en déconstruisant physiquement le disque. Le chiffrement
permet également d’effacer rapidement et en toute sécurité les informations d’un lecteur afin de garantir que les informations ne sont pas
récupérables. En plus de la protection contre les menaces liées au retrait physique des médias, vous pouvez aisément réaffecter les médias
en détruisant la clé de chiffrement utilisée pour la sécurisation des données précédemment stockées sur ce média.
Pour que les données chiffrées puissent être lues, le SED doit déverrouiller le disque au moyen de la clé d’authentification. Seuls les SED
authentifiés seront déverrouillés et accessibles. Une fois que les données sont déverrouillées, le SED les déchiffre et rétablit leur état
d’origine.
L’appliance PowerStore doit contenir tous les SED. Si vous tentez d’ajouter un disque à auto-chiffrement à une appliance, celle-ci
déclenche une erreur. En outre, les appliances non chiffrées dans un cluster chiffré ne sont pas prises en charge.
Activation du chiffrement
La fonctionnalité de chiffrement des données au repos (Data at Rest Encryption) sur les appliances PowerStore est définie en usine. Dans
tous les pays qui autorisent l’importation d’une appliance prenant en charge le chiffrement, le chiffrement est activé par défaut. Une fois
activé, le chiffrement ne peut pas être désactivé. Dans tous les pays qui ne permettent pas l’importation d’une appliance prenant en
charge le chiffrement, la fonctionnalité Data at Rest Encryption est désactivée.
REMARQUE : Les appliances qui ne prennent pas en charge le chiffrement des données au repos ne sont pas autorisées pour le
cluster avec les appliances chiffrées.
État du chiffrement
L’état de chiffrement d’une appliance est indiqué aux niveaux suivants :
● Niveau du cluster
● Niveau de l’appliance
● Niveau des lecteurs
L’état du chiffrement au niveau du cluster indique simplement si le chiffrement est activé sur une appliance. Elle n’est pas liée à l’état du
disque.
Paramètres de sécurité des données
37
L’état du chiffrement d’une appliance s’affiche comme suit :
● Encrypted : la fonctionnalité de chiffrement est activée sur l’appliance.
● Unencrypted : la fonctionnalité de chiffrement n’est pas prise en charge sur l’appliance.
● Encrypting : s’affiche pendant le processus d’activation du chiffrement. Une fois le processus de chiffrement terminé, l’état du
chiffrement au niveau du cluster indique « Encrypted ».
L’état du chiffrement au niveau du disque est fourni pour chaque disque dans une appliance et s’affiche comme suit :
● Encrypted : le disque est chiffré. Il s’agit de l’état classique d’un disque dans une appliance prenant en charge le chiffrement.
● Encrypting : l’appliance permet d’activer le chiffrement sur le disque. Cet état est visible lors de l’activation initiale du chiffrement sur
une appliance ou lors de l’ajout de nouveaux disques à une appliance configurée.
● Disabled : le lecteur ne peut pas avoir activé le chiffrement en cas de restrictions d’importation spécifiques au pays. Si un disque
signale cet état, tous les lecteurs du cluster signalent également le même état.
● Unknown : l’appliance n’a pas encore tentée d’activer le chiffrement sur le disque. Cet état est visible lors de l’activation initiale du
chiffrement sur une appliance ou lors de l’ajout de nouveaux disques à une appliance configurée.
● Unsupported : le disque ne prend pas en charge le chiffrement.
● Foreign : le disque est pris en charge, mais il a été verrouillé par une autre appliance. Il doit être désactivé avant d’être utilisé.
Gestion des clés
Un service de gestionnaire de clés intégré (KMS) s’exécute sur le nœud actif de chaque appliance PowerStore. Ce service gère l’espace
de stockage Lockbox du fichier de magasin de clés local pour permettre la sauvegarde automatique des clés de chiffrement sur les disques
système et de démarrage. Il contrôle également le processus de verrouillage et de déverrouillage du disque à auto-chiffrement (SED) sur
l’appliance et il est responsable de la gestion de contenu du magasin de clés local de l’appliance. Le fichier de magasin de clés local est
chiffré à l’aide de l’algorithme AES 256 bits et l’espace de stockage Lockbox du fichier de magasin de clés exploite la technologie BSAFE
de RSA.
La KMS génère automatiquement une clé d’authentification aléatoire pour les SED lors de l’initialisation de l’appliance. Chaque disque
dispose d’une clé d’authentification unique, notamment celles qui sont ajoutées plus tard à l’appliance, qui est utilisée dans les processus de
verrouillage et de déverrouillage SED. Une clé de chiffrement de clé chiffre les clés d’authentification et de chiffrement dans l’espace de
stockage du fichier de magasin de clés et à la volée dans l’appliance. Les clés de chiffrement des supports sont stockées sur le matériel
dédié des SED et ne sont pas accessibles. Lorsque le chiffrement est activé, toutes les clés d’authentification sont stockées dans
l’appliance.
Fichier de sauvegarde du magasin de clés
La KMS prend en charge la création et le téléchargement d’une sauvegarde hors appliance du fichier d’archive du magasin de clés. La
sauvegarde hors appliance réduit les risques d’une perte de clé catastrophique, ce qui rendrait une appliance ou un cluster inutilisable. Si
une appliance spécifique n’est pas disponible lorsqu’une sauvegarde du magasin de clés du cluster est lancée, l’opération globale réussira,
mais un avertissement s’affiche pour indiquer que la sauvegarde ne contient pas de fichiers de magasin de clés pour toutes les appliances
du cluster et que l’opération devra être réessayée lorsque l’appliance hors ligne est disponible.
REMARQUE : L’appliance principale d’un cluster contient un fichier d’archive de magasin de clés du cluster comprenant une copie
des sauvegardes du magasin de clés à partir de chaque appliance qui est détectée dans le cluster, y compris l’appliance principale.
Lorsque des modifications apportées à la configuration d’un système dans le cluster se produisent et entraînent des modifications
apportées au magasin de clés, il est recommandé de générer un nouveau fichier d’archive de magasin de clés à télécharger. Une seule
opération de téléchargement de sauvegarde du fichier d’archive du magasin de clés peut être exécutée à la fois.
REMARQUE : Il vous est vivement recommandé de télécharger le fichier d’archive du magasin de clés qui a été généré vers un
emplacement externe et sécurisé. Si les fichiers du magasin de clés d’un système s’avèrent corrompus et inaccessibles, le système
passe en mode maintenance. Dans ce cas, le fichier d’archive du magasin de clés et un engagement de service sont requis pour la
résolution.
Un rôle utilisateur d’administrateur ou d’administrateur du stockage est nécessaire pour sauvegarder le fichier d’archive du magasin de
clés. Pour sauvegarder le fichier d’archive du magasin de clés, cliquez sur Settings, puis sous Security, sélectionnez Encryption. Sur la
page Encryption, sous Lockbox backup, cliquez sur Download Keystore Backup.
REMARQUE : Pour restaurer la sauvegarde du magasin de clés en cas d’échec, contactez votre prestataire de services.
38
Paramètres de sécurité des données
Réutilisation d’un disque dans une appliance avec
chiffrement activé
À propos de cette tâche
Un disque à auto-chiffrement est verrouillé lors de l’initialisation d’une appliance ou lors de son insertion dans une appliance déjà initialisée.
Le disque ne peut pas être utilisé dans un autre système sans être d’abord déverrouillé. Le disque verrouillé devient inutilisable lorsque
celui-ci est inséré dans une autre appliance et son état de chiffrement apparaît comme Foreign dans la nouvelle appliance. Le disque
peut être réaffecté pour la nouvelle appliance, mais toutes les données existantes sur le disque sont perdues.
Pour réutiliser un disque dont l’état de chiffrement est Foreign sur une appliance, procédez comme suit :
Étapes
1. Notez le PSID (Physical Security ID) qui se trouve sur l’étiquette figurant à l’arrière du disque. Le PSID doit être fourni dans le cadre du
processus de réaffectation.
2. Dans PowerStore Manager, cliquez sur Hardware, sélectionnez l’appliance, puis sélectionnez la carte Hardware.
3. Sélectionnez le disque à réaffecter.
L’état Encryption Status du disque doit être défini sur Foreign.
4. Cliquez sur Repurpose Drive.
La zone Repurpose Drive s’affiche.
5. Saisissez le PSID du disque, puis cliquez sur Apply.
Résultats
Le disque est réaffecté dans l’appliance en tant que nouveau disque et son état de chiffrement devient Encrypted à la fin du processus
de réaffectation.
Remplacement d’un boîtier de base et de nœuds dans
un système ayant le chiffrement activé
Un engagement de service est nécessaire pour remplacer un base enclosure et des nodes à partir d’une appliance avec chiffrement activé.
Réinitialisation d’une appliance aux paramètres d’usine
Le script de maintenance svc_factory_reset rétablit les paramètres d’usine d’un cluster d’appliances et supprime toutes les données
utilisateur ainsi que les configurations persistantes.
Pour les clusters à plusieurs appliances, svc_factory_reset ne peut pas être exécuté sur les appliances secondaires. Le script de
maintenance svc_remove_appliance doit être exécuté à la place. Ce script rétablit les paramètres d’usine d’une appliance secondaire
et supprime toutes les données utilisateur ainsi que les configurations persistantes. Lorsque seule l’appliance principale est conservée dans
le cluster, vous pouvez exécuter svc_factory_reset pour la réinitialiser.
REMARQUE : Il est préférable que ces scripts soient exécutés exclusivement par un prestataire de services qualifié.
Pour plus d’informations sur ces scripts, reportez-vous au PowerStore Service Scripts Guide.
Paramètres de sécurité des données
39
5
Paramètres de maintenance sécurisés
Ce chapitre contient les informations suivantes :
Sujets :
•
•
•
•
•
•
•
•
Description du fonctionnement de SupportAssist
Options SupportAssist
Options de SupportAssist Gateway Connect
Options de SupportAssist Direct Connect
Conditions requises pour SupportAssist Gateway Connect
Conditions requises pour SupportAssist Direct Connect
Configuration de SupportAssist
Configurer SupportAssist
Description du fonctionnement de SupportAssist™
La fonctionnalité SupportAssist fournit une connexion IP permettant au support Dell EMC de recevoir les messages d’alerte et les fichiers
d’erreur en provenance de votre appliance, et de procéder à un dépannage à distance garantissant une résolution rapide et efficace des
problèmes.
REMARQUE : Il est vivement recommandé d’activer la fonctionnalité SupportAssist afin d’accélérer le diagnostic des problèmes,
d’exécuter des tâches de dépannage et de réduire le délai de résolution. Si vous n’activez pas la fonctionnalité SupportAssist, vous
devrez peut-être collecter manuellement les informations de l’appliance pour aider le support Dell EMC à résoudre les problèmes
relatifs à cette dernière et à procéder au dépannage. Par ailleurs, la fonctionnalité SupportAssist doit être activée sur l’appliance pour
que des données puissent être envoyées à CloudIQ. Pour plus d’informations sur CloudIQ, consultez la page à l’adresse
www.dell.com/support. Une fois que vous êtes connecté, recherchez la page CloudIQ Product Support.
SupportAssist et la sécurité
La fonctionnalité SupportAssist utilise plusieurs couches de sécurité à chaque étape du processus de connexion à distance pour que vous
et Dell EMC puissiez utiliser la solution en toute confiance :
● Toutes les notifications envoyées à Dell EMC proviennent de votre site (jamais d’une source extérieure) et sont sécurisées grâce à
l’utilisation du chiffrement AES (Advanced Encryption Standard) 256 bits.
● L'architecture IP s'intègre à votre infrastructure existante et préserve la sécurité de votre environnement.
● Les communications entre votre site et Dell EMC sont bilatéralement authentifiées à l’aide de certificats numériques RSA®.
● Seuls les professionnels du service client Dell EMC, autorisés et authentifiés via une procédure à deux facteurs, sont habilités à
télécharger les certificats numériques requis pour accéder aux notifications provenant de votre site.
● L’application Policy Manager SupportAssist v3 facultative vous permet d’autoriser ou de restreindre l’accès du support Dell EMC en
fonction de vos propres règles et exigences, et inclut un journal d’audit détaillé.
Gestion de SupportAssist
La fonctionnalité SupportAssist peut être gérée à l’aide de PowerStore Manager ou de l’API REST. Vous pouvez activer ou désactiver le
service, et fournir les informations appropriées qui sont requises pour l’option SupportAssist que vous sélectionnez.
REMARQUE : Les options Gateway Connect with remote assist et Gateway Connect without remote assist du service
SupportAssist centralisé ne prennent pas en charge la haute disponibilité (HA). Ces options ne fournissent pas de fonction de
basculement à un cluster SupportAssist HA actif. Lorsqu’une appliance PowerStore est déployée sur un seul serveur de cluster de
passerelle haute disponibilité (la seule option de configuration disponible), il n’existe aucune fonction de basculement sur le serveur de
40
Paramètres de maintenance sécurisés
passerelle resté actif dans le cluster. Si le serveur de passerelle haute disponibilité auquel l’appliance est connectée tombe en panne,
l’appliance s’arrête de transférer au support Dell EMC les fichiers sortants, tels que les fichiers call home et CloudIQ. La connectivité
entrante SupportAssist pour l’accès distant à l’appliance continue de fonctionner à l’aide du serveur de passerelle HA resté actif dans
le cluster. Par ailleurs, les options SupportAssist Gateway Connect with remote assist et Gateway Connect without remote
assist ne doivent être configurées que sur l’appliance désignée comme principale sur votre système.
L’appliance proprement dite n’implémente aucune politique. Si vous souhaitez intensifier le contrôle de l’accès à distance à votre appliance,
vous pouvez utiliser un Policy Manager pour définir des autorisations. Le composant logiciel Policy Manager peut être installé sur un
serveur fourni par le client. Il contrôle l'accès distant à vos périphériques, tient à jour un journal d’audit des connexions distantes et prend
en charge les opérations de transfert de fichiers. Vous pouvez contrôler qui accède à quelle partie de votre appliance et quand. Pour plus
d’informations sur Policy Manager, consultez la page à l’adresse www.dell.com/support. Une fois que vous êtes connecté, recherchez la
page Support by Product appropriée et localisez le lien vers la documentation technique du produit SupportAssist.
Communication SupportAssist
REMARQUE : La fonctionnalité SupportAssist ne peut pas être activée sur les modèles PowerStore configurés avec IPv6 pour le
réseau de gestion. Elle n’est pas prise en charge sur IPv6. En outre, la reconfiguration du réseau de gestion depuis IPv4 vers IPv6
n’est pas autorisée lorsque la fonctionnalité SupportAssist est configurée sur un cluster.
La fonctionnalité SupportAssist requiert l’accès à un serveur DNS.
Le paramètre Connection Status de SupportAssist indique l’état de la connexion entre PowerStore et les services de support backend Dell EMC, de même que la qualité de service de la connexion. L’état de la connexion est déterminé sur une période de 5 minutes tandis
que la qualité de service de la connexion est évaluée sur une période de 24 heures. Le paramètre Connection Status basé sur n’importe
quelle appliance du cluster peut avoir l’une des valeurs suivantes :
● Unavailable : les données de connectivité ne sont pas disponibles. Vous avez peut-être perdu le contact avec une appliance, ou
bien SupportAssist vient d’être activé et les données sont insuffisantes pour déterminer l’état.
● Disabled : la fonctionnalité SupportAssist n’a pas été activée.
● Not connected : la connectivité a été perdue. Cinq échecs consécutifs de conservation de connexion active (keepalive) ont été
détectés.
● Reconnecting – PowerStore tente de se reconnecter après une perte de connectivité. Cinq demandes consécutives de
conservation de connexion active doivent avoir abouti pour que la connexion puisse être rétablie.
Le paramètre Connection Status basé sur la moyenne de toutes les appliances du cluster peut avoir l’une des valeurs suivantes lorsque
PowerStore est connecté aux services de support back-end Dell EMC :
● Evaluating : la qualité de service de la connexion est indéterminée pendant les premières 24 heures qui suivent l’initialisation de
SupportAssist.
● Good : au moins 80 % des demandes consécutives de conservation de connexion active ont abouti.
● Fair : entre 50 et 80 % des demandes consécutives de conservation de connexion active ont abouti.
● Poor : moins de 50 % des demandes consécutives de conservation de connexion active ont abouti.
Options SupportAssist
La fonctionnalité SupportAssist fournit une connexion IP permettant au support Dell EMC de recevoir les messages d’alerte et les fichiers
d’erreur en provenance de votre système, et de procéder à un dépannage à distance garantissant une résolution rapide et efficace des
problèmes.
Les options SupportAssist disponibles pour envoyer les informations de l’appliance au support Dell EMC en vue du dépannage à distance
sont les suivantes :
● Gateway Connect without remote access : option conçue pour le service SupportAssist centralisé. Elle s’exécute sur un serveur de
passerelle fourni par le client avec un transfert de fichiers bidirectionnel et inclut les éléments suivants :
○
○
○
○
Fonctions Call Home
Prise en charge de CloudIQ
Notifications logicielles
Téléchargement de l’environnement d’exploitation ou du firmware sur le cluster depuis le site de support Dell EMC
Le serveur de passerelle SupportAssist est le point unique d’entrée et de sortie pour toutes les activités SupportAssist basées sur IP
des appliances associées à la passerelle.
Paramètres de maintenance sécurisés
41
● Gateway Connect with remote access : option conçue pour le service SupportAssist centralisé. Elle s’exécute sur un serveur de
passerelle fourni par le client avec le même transfert de fichiers bidirectionnel que Gateway Connect without remote access, mais avec
un accès à distance pour le personnel de support Dell EMC.
● Direct Connect without remote access : option conçue pour le service SupportAssist distribué. Elle s’exécute sur des appliances
individuelles avec le même transfert de fichiers bidirectionnel que Gateway Connect without remote access.
● Direct Connect with remote access : option conçue pour le service SupportAssist distribué. Elle s’exécute sur des appliances
individuelles avec le même transfert de fichiers bidirectionnel que Gateway Connect without remote access, mais avec un accès à
distance pour le personnel de support Dell EMC.
Une autre option permettant de désactiver les services est disponible. Elle n’est toutefois pas recommandée. Si vous sélectionnez cette
option, le support Dell EMC ne recevra pas de notifications sur les problèmes avec l’appliance. Vous devrez collecter les informations
système manuellement pour aider les agents du support lors du dépannage et de la résolution des problèmes de l’appliance.
Options de SupportAssist Gateway Connect
SupportAssist Gateway Connect s’exécute sur un serveur de passerelle. Lorsque vous sélectionnez l’option Gateway Connect without
remote access ou Gateway Connect with remote access, votre appliance est ajoutée aux autres appliances d’un cluster
SupportAssist. Le cluster se trouve derrière une connexion sécurisée (centralisée) à la fois unique et commune entre les serveurs Dell EMC
et le serveur de passerelle hors baie. Le serveur de passerelle est le point unique d’entrée et de sortie pour toutes les activités Dell EMC
SupportAssist basées sur IP des appliances associées à la passerelle.
Le serveur de passerelle est une application de solution de support à distance qui est installée sur un ou plusieurs serveurs dédiés fournis
par le client. Le serveur de passerelle fonctionne comme un agent de communication entre les appliances associées et
l’entreprise Dell EMC.
Pour plus d’informations sur SupportAssist Gateway, accédez à la page du produit SupportAssist sur le site Web de support Dell
(www.dell.com/support).
Pour configurer votre appliance afin qu’elle utilise l’option Gateway Connect without remote access ou Gateway Connect with
remote access pour SupportAssist, vous devez indiquer l’adresse IP et le numéro de port (défini par défaut sur 9443) du serveur de
passerelle. En outre, assurez-vous que le port est ouvert entre le serveur de passerelle et l’appliance.
REMARQUE : Le serveur de passerelle doit être opérationnel avant la configuration de votre appliance pour l’utiliser. Les appliances
ne peuvent être qu’ajoutées à la passerelle à partir de PowerStore Manager. Si l’appliance est ajoutée à partir du serveur de
passerelle, il apparaîtra comme connecté mais ne pourra pas envoyer d’informations système.
Options de SupportAssist Direct Connect
SupportAssist Direct Connect s’exécute directement sur le nœud principal de chaque appliance. Dans un cluster, chaque appliance établira
sa propre connexion au support Dell EMC. Le trafic n’est pas acheminé via l’appliance principale dans un cluster. Toutefois, la
fonctionnalité SupportAssist ne peut être gérée qu’au niveau du cluster, ce qui signifie que toutes les modifications s’appliquent à chaque
appliance du cluster.
Activez et configurez SupportAssist Direct Connect à partir de la page Support Assist à laquelle vous pouvez accéder en cliquant sur
Settings. Elle est répertoriée sous Support dans PowerStore Manager. Ces opérations permettent de configurer l’appliance afin qu’une
connexion sécurisée soit utilisée entre elle-même et le support Dell EMC. Vous pouvez sélectionner l’une des options suivantes de
connectivité au service à distance pour SupportAssist Direct Connect :
● Direct Connect without remote access
● Direct Connect with remote access
Lorsque vous sélectionnez l’option Direct Connect without remote access et acceptez le contrat de licence utilisateur final (EULA),
l’appliance configure une connexion sécurisée entre elle-même et le support Dell EMC. Cette option permet une connectivité de transfert
de fichiers bidirectionnelle vers et à partir du support Dell EMC. Le cas échéant, vous pouvez configurer la connexion entre l’appliance et
un serveur proxy associé (facultatif). Si nécessaire, vous pouvez effectuer une mise à niveau ultérieure vers Direct Connect avec accès
distant.
Lorsque vous sélectionnez l’option Direct Connect with Remote Access et acceptez le contrat de licence utilisateur final (EULA),
l’appliance configure une connexion sécurisée entre elle-même et le support Dell EMC. Cette option permet la connectivité du service
d’accès distant avec l’appliance vers et depuis le support Dell EMC, ainsi que le transfert de fichiers bidirectionnel. Le cas échéant, vous
pouvez configurer la connexion entre l’appliance et un Policy Manager (facultatif) et les serveurs proxy associés (facultatif) via
PowerStore Manager.
Lors de l’ajout d’une appliance à un cluster existant, celle-ci va détecter les paramètres SupportAssist du cluster et être automatiquement
configurée en conséquence. Si le service SupportAssist Direct Connect est actuellement activé, il sera automatiquement activé sur la
42
Paramètres de maintenance sécurisés
nouvelle appliance. Aucune action supplémentaire n’est nécessaire. Si le service SupportAssist Direct Connect ne peut pas être activé, il
n’empêchera pas l’ajout de l’appliance.
Conditions requises pour
SupportAssist Gateway Connect
Les conditions requises suivantes s’appliquent à la fois aux implémentations Gateway Connect without remote access et
Gateway Connect with remote access SupportAssist :
● Le trafic réseau (HTTPS) doit être autorisé sur le port 9443 (ou le port spécifié par le client, s’il est différent) entre l’appliance et le
serveur SupportAssist Gateway.
● Vous devez utiliser la version 4.0.5 ou 3.38 de SupportAssist.
REMARQUE : N’ajoutez ou ne supprimez jamais d’appliance manuellement à partir du serveur de passerelle. Pour ajouter ou
supprimer une appliance sur un serveur de passerelle, utilisez uniquement l’Assistant de configuration PowerStore
Manager SupportAssist.
Conditions requises pour SupportAssist Direct Connect
Les conditions requises suivantes s’appliquent à la fois aux implémentations Direct Connect without remote access et
Direct Connect with remote access SupportAssist :
● Le trafic réseau (HTTPS) doit être autorisé sur les ports 443 et 8443 (sortant) vers le support Dell EMC. L'échec de l'ouverture du
port 8443 entraîne des répercussions importantes sur les performances (30 à 45 %). L'échec de l'ouverture des deux ports peut
entraîner un retard dans la résolution des problèmes avec le terminal.
La condition requise suivante s’applique uniquement à l’implémentation Direct Connect with Remote Access SupportAssist :
● Si votre implémentation inclut une instance Policy Manager pour un meilleur contrôle de l’accès distant à l’appliance, vous devez
l’indiquer lors de la configuration de la fonctionnalité SupportAssist.
Configuration de SupportAssist
Configurez SupportAssist pour une appliance à l’aide de l’une des méthodes suivantes :
● Assistant Initial Configuration Wizard : interface utilisateur qui vous guide tout au long de la configuration initiale de PowerStore
Manager et prépare le système en vue de son utilisation.
● SupportAssist : page de paramètres à laquelle vous accédez à partir de PowerStore Manager. (Cliquez sur Settings, puis sous
Support, sélectionnez SupportAssist.)
● Serveur d’API REST : interface d’application pouvant recevoir les demandes de configuration des paramètres SupportAssist qui sont
envoyées par l’API REST. Pour plus d’informations sur l’API REST, reportez-vous au PowerStore REST API Reference Guide.
Pour déterminer l’état de la fonctionnalité SupportAssist, cliquez sur Settings, puis sous Support, sélectionnez SupportAssist dans
PowerStore Manager.
Configurer SupportAssist
À propos de cette tâche
Pour configurer SupportAssist à l’aide de PowerStore Manager, procédez comme suit :
REMARQUE : Le remplacement de l’option Direct Connect with remote access par l’une des options Direct Connect without
remote access ou Gateway Connect nécessite une assistance de la part du personnel de support Dell EMC.
Étapes
1. Cliquez sur Settings, puis sous Support, sélectionnez SupportAssist.
2. Si la fonctionnalité SupportAssist s’affiche comme étant désactivée, cliquez sur l’icône de contrôle SupportAssist pour activer
SupportAssist.
Paramètres de maintenance sécurisés
43
Même si vous pouvez désactiver la fonctionnalité SupportAssist, il n’est pas recommandé de le faire.
Le bouton doit se déplacer vers la droite et indiquer Enabled. Toutefois, le paramètre Connection Status ne change pas tant que
vous ne saisissez pas les informations de configuration requises et que vous ne cliquez pas sur Apply.
3. Sous SupportAssist, la case Connect to CloudIQ est cochée par défaut. Si vous ne souhaitez pas envoyer de fichiers à CloudIQ,
décochez la case. Sinon, laissez-la case cochée.
4. Sélectionnez dans la liste le Type d’option SupportAssist que vous souhaitez utiliser.
5. En fonction du type d’option SupportAssist que vous sélectionnez, effectuez l’une des opérations suivantes :
● Pour l’option Gateway Connect without remote access ou Gateway Connect with remote access :
○ Saisissez l’adresse IP du serveur de passerelle.
REMARQUE : Le serveur de passerelle doit être opérationnel avant la configuration de votre appliance pour l’utiliser.
○ Si le port qui sera utilisé pour se connecter au serveur de passerelle est différent du port par défaut (9443), utilisez les
commandes pour sélectionner le numéro du port qui sera utilisé sur votre réseau.
● Pour l’option Direct Connect without remote access :
○ Si votre connexion réseau utilise un serveur proxy, spécifiez l’adresse IP du serveur proxy.
REMARQUE : Le serveur proxy doit être opérationnel avant la configuration de votre système pour l’utiliser.
○ Utilisez les commandes pour sélectionner le numéro de port qui sera utilisé pour se connecter au serveur proxy de votre réseau.
● Pour l’option Direct Connect with Remote Access :
○ Si votre connexion réseau utilise un serveur proxy, spécifiez l’adresse IP du serveur proxy.
REMARQUE : Le serveur proxy doit être opérationnel avant la configuration de votre appliance pour l’utiliser.
○ Utilisez les commandes pour sélectionner le numéro de port qui sera utilisé pour se connecter au serveur proxy de votre réseau.
○ Si vous avez l’intention d’utiliser Policy Manager pour contrôler l’accès distant à votre système, spécifiez son adresse IP.
REMARQUE : Policy Manager doit être opérationnel avant que vous ne configuriez votre appliance pour l’utiliser.
○ Si le port qui sera employé pour la connexion à Policy Manager est différent du port par défaut (9443), saisissez le numéro du
port qui sera utilisé sur votre réseau.
6. En fonction du type d’option SupportAssist que vous sélectionnez, effectuez l’une des opérations suivantes :
● Pour l’option Direct Connect without remote access ou Direct Connect with Remote Access, passez à l’étape suivante.
● Pour l’option Gateway Connect without remote access ou Gateway Connect with Remote Access, sélectionnez Test
Connection pour vérifier l’état de la connexion avec le serveur de passerelle.
REMARQUE : Si l’état de la connexion est toujours Transitioning et ne change pas après quelques minutes (temps
nécessaire au test de la connectivité), contactez le support en ligne.
7. Sélectionnez Send Test Alert pour envoyer une alerte de test au support Dell EMC afin de garantir une connectivité de bout en bout.
8. Assurez-vous que les informations de contact affichées sont exactes. Corrigez toutes les informations qui semblent incorrectes ou
obsolètes.
Vos coordonnées SupportAssist sont essentielles pour obtenir une réponse rapide aux problèmes de support. Elles doivent donc être
exactes et à jour.
9. Sélectionnez Apply pour enregistrer les informations de configuration SupportAssist.
44
Paramètres de maintenance sécurisés
A
Suites de chiffrement TLS
Cette annexe contient les informations suivantes :
Sujets :
•
Suites de chiffrement TLS pris en charge
Suites de chiffrement TLS pris en charge
Une suite de chiffrement définit un ensemble de technologies permettant de sécuriser vos communications TLS :
● Algorithme d'échange de clé (comment la clé secrète utilisée pour chiffrer les données est communiquée entre le client et le serveur).
Exemples : clé RSA ou Diffie-Hellman (DH)
● Méthode d'authentification (comment les hôtes peuvent authentifier l'identité des hôtes distants). Exemples : certificat RSA, certificat
DSS ou aucune authentification
● Méthode de chiffrement (comment chiffrer les données). Exemples : AES (256 ou 128 bits)
● Algorithme de hachage (assurer les données en fournissant un moyen de déterminer si les données ont été modifiées). Exemples :
SHA-2 ou SHA-1
Les suites de chiffrement prises en charge combinent tous ces éléments.
La liste suivante affiche les noms OpenSSL des suites de chiffrement TLS pour l’appliance et les ports associés.
Tableau 5. Suites de chiffrement TLS par défaut/prises en charge sur l’appliance
Suites de chiffrement
Protocoles
Ports
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLSv1.2
443, 8443
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLSv1.2
443, 8443
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLSv1.2
443, 8443
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLSv1.2
443, 8443
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLSv1.2
443, 8443
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLSv1.2
443, 8443
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLSv1.2
443, 8443
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLSv1.2
443, 8443
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLSv1.2
443, 8443
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLSv1.2
443, 8443
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLSv1.2
443, 8443
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLSv1.2
443, 8443
TLS_RSA_WITH_AES_128_CBC_SHA
TLSv1.2
443, 8443
TLS_RSA_WITH_AES_128_CBC_SHA256
TLSv1.2
443, 8443
TLS_RSA_WITH_AES_128_GCM_SHA256
TLSv1.2
443, 8443
TLS_RSA_WITH_AES_256_CBC_SHA
TLSv1.2
443, 8443
TLS_RSA_WITH_AES_256_CBC_SHA256
TLSv1.2
443, 8443
TLS_RSA_WITH_AES_256_GCM_SHA384
TLSv1.2
443, 8443
Suites de chiffrement TLS
45
">