PowerStore 5000X

Dell PowerStore 5000X Спецификация

  • Привет! Я — чат-помощник, ознакомленный с руководством по настройке системы безопасности Dell EMC PowerStore. Я могу ответить на ваши вопросы о настройке безопасности, аутентификации пользователей, шифровании данных и других важных аспектах. Руководство содержит информацию о разных моделях PowerStore, таких как T и X модели, и о настройке различных протоколов безопасности, таких как SSH, NFS и SMB. Спрашивайте!
  • Как сбросить пароль администратора на PowerStore T model?
    Как сбросить пароль администратора на PowerStore X model?
    Какие роли и привилегии поддерживает система?
    Как обеспечить безопасное соединение между устройствами PowerStore в кластере?
    Что такое VASA и как оно используется в PowerStore?
Dell EMC PowerStore
Руководство по настройке системы
безопасности
1.x
July 2020
Ред. A02
Примечания, предупреждения и предостережения
ПРИМЕЧАНИЕ: Пометка ПРИМЕЧАНИЕ указывает на важную информацию, которая поможет использовать данное
изделие более эффективно.
ОСТОРОЖНО: Указывает на возможность повреждения устройства или потери данных и подсказывает, как
избежать этой проблемы.
ПРЕДУПРЕЖДЕНИЕ: Указывает на риск повреждения оборудования, получения травм или на угрозу для
жизни.
© Корпорация Dell или ее дочерние компании, 2020. Все права защищены. Dell, EMC и другие товарные знаки являются товарными
знаками корпорации Dell Inc. или ее дочерних компаний. Другие товарные знаки могут быть товарными знаками соответствующих
владельцев.
Дополнительные ресурсы............................................................................................................5
Глава 1: Аутентификация и доступ................................................................................................6
Аутентификация и управление учетными записями пользователей, ролями и привилегиями............... 6
Заводские возможности управления, заданные по умолчанию................................................................... 6
Правила сессий.............................................................................................................................................................7
Использование имени пользователя и пароля.................................................................................................. 7
Пароли ESXi....................................................................................................................................................................8
Роли и права..................................................................................................................................................................8
Управление учетными записями пользователей на основе привилегий роли.......................................12
Сброс паролей администратора и сервисной учетной записи....................................................................12
Сертификаты..................................................................................................................................................................... 14
Просмотр сертификатов...........................................................................................................................................15
Безопасное соединение между устройствами PowerStore в кластере........................................................... 15
Безопасное соединение для репликации и импорта данных............................................................................ 15
Поддержка vSphere Storage API for Storage Awareness........................................................................................... 16
Аутентификация CHAP....................................................................................................................................................17
Настройка CHAP................................................................................................................................................................18
Внешний доступ по протоколу SSH.............................................................................................................................18
Настройка внешнего доступа по протоколу SSH....................................................................................................19
Сессии SSH................................................................................................................................................................... 19
Пароль сервисной учетной записи....................................................................................................................... 19
Авторизация по протоколу SSH..............................................................................................................................19
Сервисные скрипты устройства............................................................................................................................20
Сервисный порт Ethernet узла устройства и IPMItool..................................................................................... 20
Безопасность NFS............................................................................................................................................................20
Безопасность объектов файловой системы........................................................................................................... 22
Доступ к файловым системам в среде с несколькими протоколами..............................................................22
Сопоставление пользователей.............................................................................................................................22
Политики доступа для протоколов NFS, SMB и FTP........................................................................................28
Учетные данные для обеспечения безопасности на уровне файлов.......................................................29
Сведения о Common AntiVirus Agent (CAVA)............................................................................................................ 30
Подпись программного кода......................................................................................................................................... 31
Глава 2: Настройки безопасности соединения............................................................................32
Использование портов...................................................................................................................................................32
Сетевые порты устройства.....................................................................................................................................32
Сетевые порты устройства, связанные с файлами........................................................................................34
Сетевые порты, связанные с устройствами модели PowerStore X............................................................ 38
Глава 3: Аудит............................................................................................................................ 40
Контроль.............................................................................................................................................................................40
Глава 4: Параметры безопасности данных..................................................................................41
Содержание
Содержание 3
Шифрование данных в состоянии покоя.................................................................................................................. 41
Активация шифрования................................................................................................................................................. 41
состояние шифрования;.................................................................................................................................................41
Управление ключами......................................................................................................................................................42
Файл резервной копии хранилища ключей............................................................................................................. 42
Изменение назначения диска на устройстве с включенным шифрованием................................................43
Замена базового шасси и узлов в системе с включенным шифрованием................................................... 43
Восстановление заводских настроек устройства..................................................................................................43
Глава 5: Настройки безопасного удобства обслуживания.......................................................... 45
Описание использования SupportAssist
..................................................................................................................45
Варианты SupportAssist...................................................................................................................................................47
Параметры SupportAssist Gateway Connect...............................................................................................................47
Параметры SupportAssist Direct Connect....................................................................................................................47
Требования для SupportAssist Gateway Connect......................................................................................................48
Требования для SupportAssist Direct Connect...........................................................................................................48
Настройка SupportAssist................................................................................................................................................. 48
Настройка SupportAssist................................................................................................................................................. 49
Приложение A: Пакеты шифрования TLS.................................................................................... 51
Поддерживаемые пакеты шифрования TLS............................................................................................................51
4 Содержание
Для улучшения продуктов периодически выпускаются обновленные версии программного обеспечения и оборудования.
Некоторые функции, описанные в этом документе, поддерживаются не всеми версиями программного обеспечения или
оборудования, которые используются на данный момент. Примечания к выпуску продукта содержат последние
обновленные сведения о функциях продукта. Если продукт не работает должным образом либо работает не так, как
описано в этом документе, обратитесь к специалистам службы технической поддержки.
Ресурсы поддержки
Информацию о продуктах, их поддержке и лицензировании можно получить перечисленными ниже способами.
Сведения о продуктах
Для изучения документации по продуктам и функциям, а также примечаний к выпускам, перейдите на PowerStore
Страницу документации по адресу www.dell.com/powerstoredocs.
Поиск и устранение неисправностей
Для получения информации о продуктах, обновлениях ПО, лицензировании и сервисном обслуживании перейдите на
сайт www.dell.com/support и найдите страницу поддержки для соответствующего продукта.
Техническая поддержка
Для получения технической поддержки и оформления сервисных заявок перейдите на www.dell.com/support страницу
Сервисные заявки. Чтобы подать сервисную заявку, необходимо иметь действующее соглашение о поддержке. Для
получения сведений о порядке заключения соглашения о поддержке, а также по любым вопросам, связанным с вашей
учетной записью, обращайтесь к менеджеру по продажам.
Предисловие
Дополнительные ресурсы 5
Аутентификация и доступ
В этой главе содержится следующая информация:
Темы:
Аутентификация и управление учетными записями пользователей, ролями и привилегиями
Сертификаты
Безопасное соединение между устройствами PowerStore в кластере
Безопасное соединение для репликации и импорта данных
Поддержка vSphere Storage API for Storage Awareness
Аутентификация CHAP
Настройка CHAP
Внешний доступ по протоколу SSH
Настройка внешнего доступа по протоколу SSH
Безопасность NFS
Безопасность объектов файловой системы
Доступ к файловым системам в среде с несколькими протоколами
Сведения о Common AntiVirus Agent (CAVA)
Подпись программного кода
Аутентификация и управление учетными записями
пользователей, ролями и привилегиями
Аутентификация для предоставления доступа к кластеру выполняется по учетным данным учетной записи пользователя.
Для создания учетных записей пользователей и управления ими используется страница Users, для доступа к которой в
PowerStore Manager необходимо выбрать Settings > Users > Users. Разрешения зависят от роли, связанной с учетной
записью пользователя. Когда пользователь указывает в веб-браузере сетевой адрес кластера в виде URL-адреса,
открывается страница входа, которая позволяет пользователю пройти аутентификацию в качестве локального
пользователя. Введенные пользователем учетные данные пройдут аутентификацию, после чего в системе будет создана
сессия. В дальнейшем пользователь может осуществлять мониторинг кластера и управлять им в рамках назначенной
пользователю роли.
Кластер аутентифицирует своих пользователей, проверяя их имена и пароли с помощью безопасного соединения с
сервером управления.
Заводские возможности управления, заданные по умолчанию
Устройство поставляется с заводскими параметрами учетных записей пользователей по умолчанию, которые
предназначены для первого входа в систему на устройстве и его начальной настройки.
ПРИМЕЧАНИЕ: Начальную настройку PowerStore выпусков 1.0.x рекомендуется производить с помощью
пользовательского интерфейса PowerStore Manager. Программный интерфейс API, интерфейс командной строки или
интерфейс сервисных скриптов использовать не рекомендуется. В этом случае все пароли по умолчанию будут
гарантированно изменены.
Тип учетной записи Имя
пользователя
Пароль Права
Управление системой admin Password123# Привилегии администратора для сброса
паролей по умолчанию, настройки параметров
1
6 Аутентификация и доступ
Тип учетной записи Имя
пользователя
Пароль Права
устройства и управления учетными записями
пользователей.
Обслуживание service service Для выполнения сервисных операций.
ПРИМЕЧАНИЕ: Сервисный пользователь
существует для доступа с помощью
протокола безопасной оболочки (SSH).
Однако нельзя войти в PowerStore Manager,
используя учетную запись сервисного
пользователя.
Правила сессий
Сессии в кластере обладают следующими характеристиками:
срок их действия истекает через один час;
ПРИМЕЧАНИЕ: Пользователь автоматически выходит из кластера, если сессия была неактивной в течение одного
часа.
настройка времени ожидания сессии не предусмотрена;
Использование имени пользователя и пароля
Имена пользователей системных учетных записей должны соответствовать следующим требованиям:
Ограничение Требования к имени пользователя
Структура Должно начинаться и заканчиваться буквенно-цифровым
символом.
Регистр Регистр символов в именах пользователей не учитывается.
Минимальное количество буквенно-цифровых символов 1
Максимальное количество буквенно-цифровых символов 64
Поддерживаемые специальные символы . (точка)
Пароли системных учетных записей должны соответствовать следующим требованиям:
Ограничение Требования к паролю
Минимальное количество символов 8
Минимальное количество символов верхнего регистра 1
Минимальное количество символов нижнего регистра 1
Минимальное количество цифровых символов: 1
Минимальное количество специальных символов
Поддерживаемые символы: ! @ # $ % ^ * _ ~ ?
ПРИМЕЧАНИЕ: Пароль не может содержать одинарные
кавычки ('), амперсанд (&) и пробел.
1
Максимальное количество символов 40
ПРИМЕЧАНИЕ: Последние пять паролей блокируются, чтобы их нельзя было использовать повторно. Предыдущим
паролем можно воспользоваться повторно после пяти последовательных смен паролей.
Аутентификация и доступ 7
Пароли ESXi
Используемый по умолчанию пароль учетной записи root для ESXi на устройстве PowerStore X model имеет следующий
формат: <Service_Tag>_123!, где <Service_Tag>это семизначный сервисный код Dell для данного устройства.
Не изменяйте пароль ESXi по умолчанию до завершения первоначальной настройки кластера. Дополнительные сведения
об изменении пароля ESXi см. в документации по VMware ESXi.
ОСТОРОЖНО: Очень важно не потерять пароль ESXi. Если у вас не будет пароля, когда ESXi выйдет из строя,
устройство придется инициализировать повторно. Это нормальная ситуация для ESXi, однако повторная
инициализация из-за потери пароля может привести к потере данных.
ОСТОРОЖНО: Пароль ESXi по умолчанию имеет уникальную конфигурацию для каждого устройства
PowerStore X model. Пароль используется для аутентификации на хосте ESXi при добавлении узлов
устройства в кластер vCenter. Если вы измените пароль по умолчанию до полной настройки кластера, вам
потребуется повторно инициализировать устройство.
Роли и права
Контроль доступа на основе ролей позволяет пользователям иметь разные привилегии. В результате этого появляется
способ разделения ролей администрирования для обеспечения оптимального соответствия между имеющейся
квалификацией и назначаемыми обязанностями.
Система поддерживает следующие роли и привилегии.
ПРИМЕЧАНИЕ: Символ в ячейке таблицы обозначает поддерживаемую привилегию для этой роли, а пустая
ячейка указывает на то, что привилегия для этой роли не поддерживается.
Задача Оператор Администрато
р виртуальной
машины
Администратор
безопасности
Администратор
хранилища
Администратор
Изменение локального пароля
системы
Просмотр сведений о
настройках, состоянии и
производительности системы
Изменение параметров
системы
Создание, изменение и
удаление ресурсов и политик
защиты, а также активация/
отключение SSH
Подключение к vCenter
Просмотр списка локальных
учетных записей
Добавление, удаление или
изменение локальной учетной
записи
Просмотр сведений о
системном хранилище с
помощью сервера vCenter,
подключенного к поставщику
VASA системы, регистрация и
повторная регистрация
сертификата источника
сертификатов (CA) или
8 Аутентификация и доступ
Задача Оператор Администрато
р виртуальной
машины
Администратор
безопасности
Администратор
хранилища
Администратор
источника сертификатов
VMware (VMCA)
Роли и привилегии, связанные с файлами
Система поддерживает следующие роли и привилегии, связанные с файлами.
ПРИМЕЧАНИЕ: Символ в ячейке таблицы обозначает поддерживаемую привилегию для этой роли, а пустая
ячейка указывает на то, что привилегия не поддерживается для этой роли.
Задача Оператор Администрато
р виртуальной
машины
Администратор
безопасности
Администратор
хранилища
Администратор
Просмотрите следующее:
оповещения файловой
системы;
список серверов сетевой
системы хранения данных
(NAS);
список файловых систем;
список пользовательских
квот для файлов;
список маршрутов
интерфейсов для файлов;
список интерфейсов для
файлов;
список сетевых папок SMB;
список операций экспорта
NFS.
Просмотрите следующее:
список DNS-серверов для
файлов или указанный DNS-
сервер;
список FTP-серверов для
файлов или указанный FTP-
сервер;
список интерфейсов для
файлов или указанный
интерфейс для файлов;
список маршрутов
интерфейсов для файлов
или указанный маршрут
интерфейса;
список серверов Kerberos
для файлов или указанный
сервер Kerberos;
список серверов LDAP для
файлов или указанный
сервер LDAP;
список серверов NDMP для
файлов или указанный
сервер NDMP;
Аутентификация и доступ 9
Задача Оператор Администрато
р виртуальной
машины
Администратор
безопасности
Администратор
хранилища
Администратор
список серверов NIS для
файлов или указанный
сервер NIS;
список файловых систем
или указанная файловая
система;
список квот деревьев для
файлов или указанная квота
деревьев для файлов;
список квот пользователей
для файлов или указанная
квота пользователей;
список средств
антивирусной проверки для
файлов или указанное
средство антивирусной
проверки для файлов;
список серверов NAS или
указанный сервер NAS;
список операций экспорта
NFS или указанная операция
экспорта NFS;
список серверов NFS или
указанный сервер NFS;
список серверов SMB или
указанный сервер SMB;
список сетевых папок SMB
или указанная сетевая
папка SMB.
Добавление, изменение,
удаление или пингование
указанного сервера NAS либо
отправка пароля, хостов или
групп на указанный сервер NAS
Просмотр пароля или хостов
указанного сервера NAS
Добавление файловой
системы, а также изменение
или удаление указанной
файловой системы на
существующем сервере NAS
Добавление клона или
моментального снимка в
указанную файловую систему,
обновление или
восстановление указанной
файловой системы либо
обновление квоты указанной
файловой системы
Добавление квоты деревьев
для файлов, а также
изменение, удаление или
обновление указанной квоты
деревьев для файлов
10 Аутентификация и доступ
Задача Оператор Администрато
р виртуальной
машины
Администратор
безопасности
Администратор
хранилища
Администратор
Добавление квоты
пользователей для файлов, а
также изменение, удаление или
обновление указанной квоты
пользователей для файлов
Добавление средства
антивирусной проверки для
файлов, изменение или
удаление указанного средства
антивирусной проверки для
файлов либо отправка
указанной конфигурации
средства антивирусной
проверки для файлов
Загрузка указанной
конфигурации средства
антивирусной проверки для
файлов
Добавление сервера SMB или
NFS, а также изменение,
удаление, присоединение или
отсоединение указанного
сервера SMB или NFS
Добавление сетевой папки
SMB, а также изменение или
удаление указанной сетевой
папки SMB
Добавление операции экспорта
NFS, а также изменение или
удаление указанной операции
экспорта NFS
Добавление интерфейса для
файлов, а также изменение или
удаление указанного
интерфейса для файлов
Добавление маршрута
интерфейса для файлов, а
также изменение или удаление
указанного маршрута
интерфейса для файлов
Добавление сервера DNS для
файлов, сервера FTP для
файлов, сервера Kerberos для
файлов, сервера LDAP для
файлов, сервера NDMP для
файлов или сервера NIS для
файлов, а также изменение или
удаление указанного сервера
DNS для файлов, сервера FTP
для файлов, сервера Kerberos
для файлов, сервера LDAP для
файлов, сервера NDMP для
файлов или сервера NIS для
файлов
Аутентификация и доступ 11
Задача Оператор Администрато
р виртуальной
машины
Администратор
безопасности
Администратор
хранилища
Администратор
Отправка keytab Kerberos для
файлов
Загрузка keytab Kerberos для
файлов
Отправка конфигурации LDAP
или сертификата LDAP для
файлов
Загрузка сертификата LDAP для
файлов
Управление учетными записями пользователей на основе
привилегий роли
Пользователь с ролью администратора или администратора безопасности может выполнять следующие действия по
управлению учетными записями пользователей:
создавать новые учетные записи пользователей;
удалять любые учетные записи пользователей, кроме встроенной учетной записи администратора;
ПРИМЕЧАНИЕ: Встроенную учетную запись администратора удалить невозможно.
изменять роль другого пользователя на любую другую;
сбрасывать пароли других пользователей;
выполнять блокировку и разблокировку других учетных записей пользователей.
ПРИМЕЧАНИЕ: Вошедшие в систему пользователи с ролью администратора или администратора безопасности не
могут заблокировать свою учетную запись.
Вошедшие в систему пользователи не могут удалять собственные учетные записи. Кроме того, за исключением
пользователей с ролью администратора или администратора безопасности, вошедшие в систему пользователи могут
изменять только свои собственные пароли. Для изменения пароля пользователю необходимо ввести свой старый пароль.
Вошедшие в систему пользователи не могут сбрасывать собственные пароли, изменять собственные роли, а также
блокировать или разблокировать собственные учетные записи.
Встроенный профиль учетной записи администратора (с ролью администратора) невозможно редактировать и нельзя
заблокировать.
Если роль пользователя или состояние блокировки будут изменены, либо пользователь будет удален, либо пароль
пользователя будет изменен администратором или администратором безопасности, все сессии, привязанные к этому
пользователю, станут недействительными.
ПРИМЕЧАНИЕ: Если пользователи изменяют собственные пароли в ходе сессии, сессия остается активной.
Сброс паролей администратора и сервисной учетной записи
Устройство поставляется с используемой по умолчанию учетной записью пользователя-администратора, позволяющей
выполнить начальную настройку. Также в состав системы входит используемая по умолчанию служебная учетная запись
пользователя, позволяющая выполнять специальные функции обслуживания. Для начальной настройки PowerStore
рекомендуется использовать пользовательский интерфейс PowerStore Manager, а не какой-либо другой способ, например
программный интерфейс REST API или интерфейс командной строки. При использовании пользовательского интерфейса
PowerStore Manager все пароли по умолчанию будут гарантированно изменены. Если вы забыли новые пароли, можно
восстановить значения паролей по умолчанию.
Метод восстановления этих паролей зависит от того, какое устройство вы используете: PowerStore T model или PowerStore X
model. Используйте метод, соответствующий типу вашего устройства, чтобы сбросить пароль администратора, пароль
сервисной учетной записи или оба пароля сразу.
12 Аутентификация и доступ
Восстановление паролей администратора и сервисной учетной записи по
умолчанию на устройстве PowerStore T model
Об этой задаче
Для устройства PowerStore T model в качестве основного метода восстановления пароля учетной записи администратора и
сервисной учетной записи является использование USB-накопителя. Поддерживаются файловые системы FAT32 и ISO
9660.
ПРИМЕЧАНИЕ: Чтобы восстановить пароль, когда устройство находится в режиме обслуживания, выполните
следующие действия с одним отличием. Примените для каждого узла процесс перезапуска по USB. Это действие
гарантирует, что после возврата системы в нормальный режим и после входа в PowerStore Manager будет
отображаться запрос на ввод нового пароля как для пользователей-администраторов, так и для сервисных
пользователей.
Действия
1. Если USB-накопитель отформатирован, перейдите к следующему шагу. Если нет, воспользуйтесь командой в
командной строке (например, format <d:> /FS:FAT32), чтобы отформатировать накопитель.
Где d:имя диска для USB-накопителя, вставленного в ноутбук или компьютер.
2. Присвойте метку с помощью команды:
label d:
RSTPWD
ПРИМЕЧАНИЕ: Устройство не будет подключать USB-накопитель без метки RSTPWD. После присвоения метки USB-
накопителю вставьте пустой файл для паролей учетных записей, которые требуется восстановить. Можно сбросить
пароль учетной записи администратора, пароль сервисной учетной записи или оба пароля одновременно.
3. Чтобы создать пустой файл на накопителе, воспользуйтесь одной или двумя следующими командами по мере
необходимости:
copy NUL d:\admin
copy NUL d:\service
4. Вставьте USB-накопитель в USB-порт любого узла устройства, подождите 10 секунд, а затем извлеките его.
Теперь пароль для каждой учетной записи, который вы восстанавливаете, имеет значение по умолчанию.
5. Подключитесь к кластеру с помощью браузера, используя IP-адрес кластера, и войдите в качестве администратора с
первоначальным паролем по умолчаниюPassword123#.
Отобразится запрос на сброс пароля администратора, пароля сервисной учетной записи или обоих паролей. Чтобы
сбросить пароль сервисной учетной записи с помощью протокола безопасной оболочки (SSH), используйте
первоначальное значение пароля сервисной учетной записи по умолчаниюservice.
6. Измените значение пароля администратора по умолчанию на пользовательское.
7. Чтобы пароль сервисной учетной записи отличался от пароля администратора, снимите соответствующий флажок.
Результат
Если после выполнения этой процедуры запрос на сброс пароля так и не отобразится при попытке входа в систему,
обратитесь к поставщику услуг.
Восстановление паролей администратора и сервисной учетной записи по
умолчанию на устройстве PowerStore X model
Предварительные условия
Необходимо знать имя первичного узла главного устройства (например, PSTX-44W1BW2-A и PowerStore D6013). Если
требуется, создайте файл reset.iso.
Аутентификация и доступ 13
Об этой задаче
Для устройства PowerStore X model воспользуйтесь образом ISO, подключив его из vSphere. Предварительно созданные
файлы образа можно скачать на странице www.dell.com/support. Можно также создать собственный образ в системе Linux,
выполнив одну или обе сенсорные команды в зависимости от того, какие пароли следует восстановить.
mkdir iso
touch iso/admin
touch iso/service
mkisofs -V RSTPWD -o reset.iso iso
ПРИМЕЧАНИЕ: Образ ISO, reset.iso, необходимо поместить в хранилище данных, прежде чем его можно будет
подключить как виртуальный компакт-диск из vSphere.
ПРИМЕЧАНИЕ: Чтобы восстановить пароль, когда устройство находится в режиме обслуживания, выполните
следующие действия с двумя отличиями. Во-первых, необходимо загрузить образ ISO в хранилище данных PRIVATE-
C9P42W2.A.INTERNAL самой виртуальной машины (VM) контроллера, поскольку общедоступное хранилище данных
недоступно. Во-вторых, загрузите файл reset.iso на узлы A и B виртуальной машины контроллера и примените его
на этих узлах. Это действие гарантирует, что после возврата системы в нормальный режим и появления возможности
доступа в PowerStore Manager будет отображаться запрос на ввод нового пароля как для пользователей-
администраторов, так и для сервисных пользователей.
Действия
1. В vSphere в разделе Storage выберите свое устройство PowerStore X model.
Например, DataCenter-WX-D6013 > PowerStore D6013
2. В разделе Files выберите ISOs.
3. Выберите Upload и загрузите файл reset.iso: предварительно созданный файл образа из www.dell.com/support или
свой собственный файл образа, созданный в системе Linux.
Файл reset.iso появится в папке ISOs.
4. В vSphere в разделе Host and Clusters выберите первичный узел главного устройства PowerStore X model в кластере.
Например, DataCenter-WX-D6013 > Cluster WX-D6013 > PSTX-44W1BW2-A
5. В разделе Summary нажмите CD/DVD drive 1 и выберите Connect to datastore ISO file.
Откроется окно Choose an ISO image to mount.
6. В разделе Datastores нажмите главное устройство PowerStore X model в кластере и выберите папку ISOs.
Файл reset.iso должен отобразиться в разделе Contents.
7. Выберите файл reset.iso и нажмите OK.
В разделе Summary для CD/DVD drive 1 около 10 секунд должно отображаться значение Connected, а затем
поменяться на Disconnected. Пароль администратора кластера и (или) сервисный пароль будут сброшены к значениям
по умолчанию.
8. Подключитесь к кластеру с помощью браузера, используя IP-адрес кластера, и войдите в качестве администратора с
первоначальным паролем по умолчаниюPassword123#.
Отобразится запрос на сброс пароля администратора, пароля сервисной учетной записи или обоих паролей. Чтобы
сбросить пароль сервисной учетной записи с помощью протокола SSH, используйте первоначальное значение пароля
сервисной учетной записи по умолчаниюservice.
9. Измените значение пароля администратора по умолчанию на пользовательское.
10. Чтобы пароль сервисной учетной записи отличался от пароля администратора, снимите соответствующий флажок.
Результат
Если после выполнения этой процедуры запрос на сброс пароля так и не отобразится при попытке входа в систему,
обратитесь к поставщику услуг.
Сертификаты
Данные в хранилище сертификатов PowerStore хранятся постоянно. В хранилище сертификатов хранятся сертификаты
следующих типов:
14 Аутентификация и доступ
сертификаты источника сертификатов (CA);
сертификаты клиентов;
сертификаты серверов.
Просмотр сертификатов
Об этой задаче
Для каждого сертификата, хранящегося в устройстве, в PowerStore Manager отображается следующая информация:
Service
Type
Scope
Issued by
Valid
Valid to
Issued to
ПРИМЕЧАНИЕ: Для просмотра дополнительной информации о сертификатах используйте программный интерфейс
REST API или интерфейс командной строки.
Чтобы просмотреть сведения о сертификате, выполните следующие действия:
Действия
1. Запустите PowerStore Manager.
2. Щелкните Settings и в разделе Security щелкните Certificates.
Отобразятся сведения о сертификатах, хранящихся на устройстве.
3. Чтобы просмотреть цепочку сертификатов, включающую сертификат, и связанную с этим информацию для некоторого
сервиса, нажмите этот сервис.
Отобразится окно View Certificate Chain с информацией о цепочке сертификатов, включающей сертификат.
Безопасное соединение между устройствами
PowerStore в кластере
При создании кластера первичный узел главного устройства кластера создает сертификат источника сертификатов (CA),
также называемого источником сертификатов кластера. Главное устройство передает сертификат источника сертификатов
кластера устройствам, присоединяющимся к кластеру.
Каждое устройство PowerStore в кластере создает собственный уникальный сертификат IPsec, который подписывается
сертификатом источника сертификатов кластера. Для защиты конфиденциальных данных, которые устройства PowerStore
передают по своей сети кластера, используются протоколы IPsec и TLS, благодаря чему обеспечиваются безопасность и
целостность данных.
Безопасное соединение для репликации и импорта
данных
Предусмотренная в PowerStore инфраструктура сертификатов и учетных данных позволяет осуществлять обмен
сертификатами сервера и клиентов, а также учетными данными пользователей. Этот процесс включает следующие
операции:
извлечение и проверку сертификата сервера при подтверждении подключения TLS;
добавление сертификата доверенного ЦС из удаленной системы в хранилище учетных данных;
добавление сертификата доверенного сервера/клиента в хранилище учетных данных;
помощь в установлении безопасных соединений после установления доверия.
Аутентификация и доступ 15
PowerStore поддерживает следующие функции управления сертификатами:
Обмен сертификатами между двумя кластерами PowerStore для установления доверенного соединения управления при
проведении репликации. Для осуществления репликации между кластерами PowerStore необходимо установить
двустороннее доверие между кластерами, чтобы обеспечить взаимную аутентификацию по протоколу TLS при создании
запросов на управление REST репликации.
Обмен сертификатами и учетными данными с обеспечением сохраняемости для установления безопасного соединения
между системой хранения Dell EMC (VNX, Unity, Storage Center (SC) или одноранговой системой хранения (PS)) и
кластером PowerStore при проведении импорта данных.
Поддержка vSphere Storage API for Storage
Awareness
vSphere Storage API for Storage Awareness (VASA) — это определенный в VMware независимый от поставщика программный
интерфейс (API) для обнаружения СХД. VASA Provider включает в себя несколько компонентов, которые совместно
работают для обслуживания поступающих API-запросов VASA. Шлюз API VASA, который получает все поступающие
запросы API VASA, разворачивается на главном устройстве (которое владеет плавающим IP-адресом) в кластере
PowerStore. Хосты ESXi и сервер vCenter Server подключаются к VASA Provider и получают информацию о доступной
топологии хранилища, его возможностях и состоянии. После чего сервер vCenter предоставляет эту информацию клиентам
vSphere. VASA используется клиентами VMware, а не клиентами PowerStore Manager.
Пользователь vSphere должен настроить экземпляр VASA Provider в качестве поставщика информации VASA для кластера.
В случае отключения ведущего устройства связанный с ним процесс и VASA Provider перезапустятся на следующем
главном устройстве. Аварийное переключение IP-адреса происходит автоматически. Внутри системы протокол обнаружит
ошибку, когда получит события изменения конфигурации от нового активного экземпляра VASA Provider. Но это вызовет
автоматическую повторную синхронизацию объектов VASA без участия пользователя.
PowerStore предоставляет интерфейсы VASA 3.0 для vSphere 6.5 и 6.7.
VASA 3.0 поддерживает Virtual Volumes (vVols). VASA 3.0 поддерживает интерфейсы для отправки запросов в абстракции
хранилищ, такие как vVols и контейнеры хранилища. Эти сведения помогают системе управления хранилищем на основе
политик (SPBM) принимать решения относительно размещения виртуальных дисков и комплаенса. VASA 3.0 также
поддерживает интерфейсы для предоставления ресурсов и управления жизненными циклами vVols, которые используются
для резервного копирования виртуальных дисков. Эти интерфейсы вызываются непосредственно хостами ESXi.
Для получения дополнительной информации, связанной с VASA, vSphere и vVols см. документацию VMware и онлайн-
справку PowerStore Manager.
Аутентификация для VASA
Чтобы инициировать подключение vCenter к VASA Provider PowerStore Manager, введите в клиенте vSphere следующую
информацию:
URL-адрес VASA Provider, используя следующий формат для VASA 3.0: https://<IP-адрес управления>:8443/version.xml.
Имя пользователя PowerStore Manager (обязательно с ролью администратора или администратора ВМ).
ПРИМЕЧАНИЕ: Роль администратора виртуальной машины используется исключительно для регистрации
сертификатов.
Пароль, связанный с этим пользователем.
Учетные данные PowerStore Manager используются только на этом первоначальном этапе подключения. Если учетные
данные PowerStore Manager действуют в целевом кластере, сертификат сервера vCenter автоматически регистрируется в
кластере. Этот сертификат будет использоваться для аутентификации всех последующих запросов от vCenter. Для
установки или загрузки этого сертификата в VASA Provider никаких действий выполнять вручную не требуется. Если
сертификат просрочен, vCenter должен зарегистрировать новый сертификат для обеспечения новой сессии. Если
сертификат отозван пользователем, сессия становится недействительной, а подключение разрывается.
Сессия vCenter, безопасное подключение и учетные данные
Сессия vCenter начинается, когда администратор vSphere с помощью клиента vSphere передает серверу vCenter Server URL-
адрес и учетные данные входа VASA Provider. Сервер vCenter Server использует URL-адрес, учетные данные и SSL-
16 Аутентификация и доступ
сертификат VASA Provider для установления безопасного соединения с VASA Provider. Сессия vCenter завершается, когда
происходит одно из следующих событий:
Администратор использует клиент vSphere для удаления VASA Provider из конфигурации vCenter, и сервер vCenter Server
разрывает соединение.
В работе сервера vCenter происходит сбой, или происходит сбой сервиса сервера vCenter, в результате чего
подключение разрывается. Если vCenter или сервису сервера vCenter не удается восстановить SSL-подключение,
устанавливается новое подключение.
Происходит сбой VASA Provider, что приводит к прерыванию подключения. При перезапуске VASA Provider может
отреагировать на запросы связи со стороны vCenter Server, чтобы восстановить SSL-подключение и прерванную сессию
VASA.
В сессии vCenter используется безопасный обмен данными по протоколу HTTPS между сервером vCenter Server и VASA
Provider. При использовании VASA 3.0 сервер vCenter выполняет роль источника сертификатов VMware (VMCA). VASA
Provider передает самоподписанный сертификат при получении запроса, предварительно авторизовав запрос. Он
добавляет сертификат VMCA в свое хранилище доверенных сертификатов, а затем отправляет запрос на подпись
сертификата и заменяет свой самоподписанный сертификат сертификатом, подписанным VMCA. Для аутентификации
последующих подключений VASA Provider будет использовать сертификат службы мониторинга хранилища (SMS) клиента,
проверяемый по ранее зарегистрированному корневому сертификату подписи. VASA Provider создает уникальные
идентификаторы для объектов в хранилище, а сервер vCenter Server использует их для запроса данных по конкретным
объектам.
VASA Provider использует сертификаты SSL и идентификатор сессии VASA для валидации сессий VASA. После
установления сессии VASA Provider должен проверить сертификат SSL и идентификатор сессии VASA, связанные с каждым
вызовом функции с сервера vCenter Server. VASA Provider использует сертификат VMCA, хранящийся в его хранилище
доверенных сертификатов, для валидации сертификата, связанного с вызовами функций из vCenter SMS. Сессия VASA
сохраняется между несколькими SSL-подключениями. Если соединение по протоколу SSL прервется, сервер vCenter Server
выполнит процедуру подтверждения подключения по протоколу SSL при участии VASA Provider, чтобы восстановить
соединение по протоколу SSL в контексте той же сессии VASA. Если срок действия сертификата SSL истекает,
администратор vSphere должен создать новый сертификат. Сервер vCenter Server установит новое соединение по
протоколу SSL и зарегистрирует новый сертификат с VASA Provider.
ОСТОРОЖНО: Сервис SMS не вызывает функцию unregisterVASACertificate в отношении 3.0 VASA
Provider. Таким образом, даже после отмены регистрации VASA Provider может продолжать использовать свой
полученный от SMS сертификат, подписанный VMCA.
Аутентификация CHAP
Протокол аутентификации с косвенным согласованием (CHAP) — это метод аутентификации инициаторов iSCSI (хостов) и
целевых ресурсов (томов и моментальных снимков). CHAP обеспечивает доступ к хранилищу iSCSI и выступает в роли
безопасного стандартного протокола хранения. Аутентификация зависит от секрета, аналогичного паролю и известного как
аутентификатору, так и одноранговому узлу. Существует два варианта протокола CHAP:
Односторонняя аутентификация CHAP позволяет целевому ресурсу iSCSI аутентифицировать инициатор. Когда
инициатор пытается подключиться к целевому устройству (в обычном режиме или в режиме обнаружения), он
предоставляет целевому устройству имя пользователя и пароль.
В дополнение к односторонней аутентификации CHAP применяется взаимная аутентификация. Взаимная
аутентификация CHAP позволяет целевому ресурсу iSCSI и инициатору аутентифицировать друг друга. Каждый целевой
ресурс iSCSI, представленный в группе, аутентифицируется инициатором iSCSI. Когда инициатор пытается
подключиться к целевому ресурсу, целевой ресурс предоставляет инициатору имя пользователя и пароль. Инициатор
сравнивает предоставленные имя пользователя и пароль с хранящейся в нем информацией. Если они совпадают,
инициатор может подключиться к целевому ресурсу.
ПРИМЕЧАНИЕ: Если протокол CHAP будет использоваться в вашей среде, рекомендуется настроить и включить
аутентификацию CHAP до того, как будет выполняться подготовка томов к получению данных. Если вы подготовите
накопители к получению данных до настройки и включения аутентификации CHAP, доступ к томам может быть потерян.
PowerStore не поддерживает режим обнаружения по протоколу CHAP для iSCSI. В приведенной ниже таблице показаны
ограничения PowerStore, связанные с режимом обнаружения по протоколу CHAP для iSCSI.
Аутентификация и доступ 17
Таблица 1. Ограничения режима обнаружения по протоколу CHAP для iSCSI
Режим CHAP Односторонний режим (активирован
инициатор)
Взаимный режим (активированы
инициатор и целевое устройство)
Обнаружение PowerStore не будет
аутентифицировать (проверять) хост.
Аутентификацию невозможно
использовать для предотвращения
обнаружения целевых устройств. Это
не приводит к непредусмотренному
доступу к пользовательским данным.
PowerStore не будет отвечать на
запрос аутентификации (проверки
подлинности) от хоста, и обнаружение
завершится сбоем, если хост
предпримет проверку подлинности
PowerStore.
Обычный Работает должным образом.
PowerStore проверяет учетные данные.
Работает должным образом.
PowerStore передает учетные данные.
Во время удаленной репликации между исходным и целевым устройствами процесс проверки и обновления обнаруживает
изменения в локальной и удаленной системах и повторно устанавливает подключения для обмена данными, учитывая при
этом действующие настройки CHAP.
Настройка CHAP
Для кластера PowerStore можно активировать одностороннюю (активирован инициатор) или взаимную (инициатор и
целевое устройство) аутентификацию по протоколу CHAP. Аутентификацию CHAP можно включить для кластера с одним
или несколькими устройствами PowerStore и внешними хостами.
Если включена односторонняя аутентификация, потребуется ввести имя пользователя и пароль для каждого инициатора
при добавлении внешних хостов. Если включена взаимная аутентификация, также потребуется ввести имя пользователя и
пароль для кластера. При добавлении хоста и инициаторов с включенным протоколом CHAP пароль инициатора должен
быть уникальным. Нельзя использовать одинаковые пароли для нескольких инициаторов хоста. Подробные указания по
настройке конфигурации CHAP на внешнем хосте могут варьироваться. Чтобы использовать эту возможность, следует
ознакомиться с операционной системой хоста и способом ее настройки.
ПРИМЕЧАНИЕ: Включение CHAP после настройки хостов в системе приводит к нарушениям в работе внешних хостов.
Это прерывает операции ввода-вывода до тех пор, пока настройки не будут заданы на внешнем хосте и на устройстве.
Перед добавлением внешних хостов на устройство рекомендуется решить, какой тип конфигурации CHAP планируется
реализовать (если использование этого протокола вообще запланировано).
Если вы включили CHAP после добавления хостов, обновите инициаторы на каждом хосте. Если CHAP включен, нельзя
добавить хост в группу хостов, у которой нет учетных данных CHAP. После включения CHAP и последующего добавления
хоста вручную зарегистрируйте хост в PowerStore Manager, для чего в разделе Compute выберите Hosts & Host Groups.
Вам потребуется ввести учетные данные на уровне iSCSI для целей аутентификации. В этом случае скопируйте IQN с
хоста, а затем добавьте связанные учетные данные CHAP для каждого инициатора.
Настройте протокол CHAP для кластера с помощью любого из следующих средств:
CHAPстраница параметров CHAP, доступ к которой возможен из PowerStore Manager (нажмите Settings и в разделе
Security выберите CHAP).
Сервер REST API — прикладной интерфейс, который может принимать запросы REST API для настройки параметров
CHAP. Дополнительные сведения о REST API см. в документе PowerStore REST API Reference Guide.
Чтобы определить состояние протокола CHAP, в PowerStore Manager нажмите Settings и в разделе Security выберите
CHAP.
Внешний доступ по протоколу SSH
На каждом устройстве можно дополнительно включить доступ посредством внешнего протокола безопасной оболочки
(SSH) к порту SSH IP-адреса устройства, чтобы пользователь мог воспользоваться функцией обслуживания на первичном
узле устройства. IP-адрес устройства перемещается между двумя узлами устройства по мере изменения главного места
назначения. Если внешний доступ по протоколу SSH отключен, доступ по протоколу SSH разрешаться не будет.
Изначально в устройстве (до его настройки) протокол SSH активирован по умолчанию, чтобы устройство можно было
обслужить, если в нем возникнут проблемы до его добавления в кластер. При создании нового кластера или выполнении
операции присоединения к кластеру протокол SSH должен быть отключен на всех устройствах.
18 Аутентификация и доступ
Настройка внешнего доступа по протоколу SSH
Внешний доступ по протоколу SSH к устройствам в кластере можно настроить с помощью любого из следующих средств:
SSH Managementстраница настройки параметров SSH, доступ к которой возможен из PowerStore Manager (нажмите
Settings и в разделе Security выберите SSH Management).
Сервер REST API — прикладной интерфейс, который может принимать запросы REST API для настройки параметров
SSH. Дополнительные сведения о REST API см. в документе PowerStore REST API Reference Guide.
svc_service_configсервисная команда, которую можно непосредственно ввести на устройстве в качестве
сервисного пользователя. Дополнительную информацию об этой команде см. в документе PowerStore Service Scripts
Guide.
Чтобы определить состояние SSH на устройствах в пределах кластера, в PowerStore Manager нажмите Settings и в разделе
Security выберите SSH Management. Вы также можете активировать или отключить SSH на одном или нескольких
устройствах по вашему выбору.
После успешного включения сервиса SSH перейдите на IP-адрес устройства с помощью любого клиента SSH. Для доступа к
устройству необходимо указать учетные данные пользователя сервисного обслуживания.
Сервисная учетная запись дает возможность пользователям выполнять следующие функции:
Выполнение специальных сервисных скриптов для устройства с целью мониторинга, а также поиска и устранения
неполадок, связанных с параметрами и функционированием системы устройства.
Использование лишь ограниченного набора команд, которые назначаются члену непривилегированной учетной записи
пользователя Linux в режиме ограниченной оболочки. Данная учетная запись не позволяет получить доступ к
проприетарным системным файлам, файлам конфигурации либо данным пользователей или заказчиков.
В целях обеспечения максимальной безопасности устройства рекомендуется, чтобы внешний сервисный интерфейс SSH
был все время выключен, кроме случаев, когда он действительно нужен для выполнения сервисных операций для
устройства. После выполнения необходимых сервисных операций интерфейс SSH следует сразу же отключать для
обеспечения безопасности устройства.
Сессии SSH
Сессии сервисного интерфейса SSH PowerStore осуществляются в соответствии с параметрами, установленными клиентом
SSH. Характеристики сессий зависят от параметров конфигурации клиента SSH.
Пароль сервисной учетной записи
Сервисная учетная записьэто учетная запись, с помощью которой персонал службы технической поддержки может
выполнять базовые команды Linux.
Во время начальной настройки устройства необходимо изменить сервисный пароль по умолчанию. Для сервисного пароля
применяются те же ограничения, что и для учетных записей управления системой (см. раздел Использование имени
пользователя и пароля на стр. 7).
Авторизация по протоколу SSH
Авторизация сервисных учетных записей основана на следующем:
Изоляция приложенийпрограммное обеспечение PowerStore использует технологию контейнеров, которая
обеспечивает изоляцию приложений. Доступ к устройству для сервисных целей обеспечивается сервисным
контейнером. Предоставляется только набор сервисных скриптов и набор команд Linux. У сервисной учетной записи нет
возможности получить доступ к другим контейнерам, которые обслуживают пользовательские операции ввода-вывода
файловой системы и блочного ввода-вывода.
Разрешения файловой системы Linux — большинство инструментов и утилит Linux, которые тем или иным образом
изменяют работу системы, недоступны для сервисного пользователя и требуют прав учетной записи
суперпользователя. Так как у сервисной учетной записи нет таких прав доступа, она не позволяет использовать
средства и служебные программы Linux, для которых отсутствует разрешение на выполнение, и не позволяет изменять
файлы конфигурации, требующие доступа с правами root для чтение и/или изменения.
Контроль доступапомимо изоляции приложений, обеспечиваемой контейнерной технологией, механизм списка
контроля доступа (ACL) в устройстве использует список очень точно сформулированных правил для явного
Аутентификация и доступ 19
предоставления доступа к системным ресурсам для сервисной учетной записи или отказа в доступе к этим ресурсам.
Эти правила определяют разрешения сервисной учетной записи для других компонентов устройства, которые не
определены другим образом стандартными разрешениями для файловой системы Linux.
Сервисные скрипты устройства
Версия программного обеспечения устройства включает набор скриптов для диагностики проблем, настройки системы и ее
восстановления. Эти скрипты позволяют получать всестороннюю информацию и дают возможность управлять системой на
более низком уровне, чем это возможно с PowerStore Manager. Эти скрипты и типичные сценарии их использования
описываются в документе PowerStore Service Scripts Guide.
Сервисный порт Ethernet узла устройства и IPMItool
Устройство предоставляет доступ к консоли через сервисный порт Ethernet, имеющийся на каждом узле. Для этот
требуется программа IPMItool. IPMItool — это сетевое средство, аналогичное SSH или Telnet, которое взаимодействует с
каждым узлом через Ethernet-соединение с использованием протокола IPMI. IPMItool — это утилита Windows, которая
создает защищенный канал связи для доступа к консоли узла устройства. Для активации консоли этой утилите требуется
физический доступ.
Интерфейс сервисного порта Ethernet узла поддерживает те же функции, что и сервисный интерфейс SSH (сервисный
интерфейс локальной сети), и к нему применяются те же ограничения. Однако пользователи получают доступ к
интерфейсу по соединению с портом Ethernet, а не через клиент SSH. Этот интерфейс предназначен для того, чтобы
специалисты службы поддержки при обслуживании системы на месте могли подключиться к устройству без
вмешательства в сеть. Выделенная консоль управления не требуется.
Этот интерфейс обеспечивает прямое подключение «от точки к точке» без маршрутизации. Специалисты службы
поддержки могут использовать сервисный интерфейс локальной сети для вывода данных на консоль, а также для доступа
по протоколу SSH к сервисному контейнеру PowerStore и PowerStore Manager, включая мастер начальной настройки (ICW).
Доступ по протоколу SSH к сервисному контейнеру через сервисный интерфейс локальной сети всегда активирован и не
может быть отключен; однако учетными данными сервисной учетной записи управляете вы.
Список сервисных скриптов см. в документе PowerStore Service Scripts Guide.
Безопасность NFS
Под безопасностью NFS подразумевается использование протокола Kerberos для аутентификации пользователей в
сетевых файловых системах NFSv3 и NFSv4. Протокол Kerberos обеспечивает целостность (использование подписей) и
конфиденциальность (шифрование) данных. Однако обеспечение целостности и конфиденциальности активировать
необязательноэти функции являются необязательными параметрами экспорта NFS.
В отсутствие Kerberos сервер возлагает функции аутентификации пользователей исключительно на клиента и доверяет
клиенту. Если же используется протокол Kerberos, сервер доверяет центру распределения ключей (KDC). В этом случае
именно центр распределения ключей отвечает за аутентификацию и управляет учетными записями (участниками) и
паролями. Более того, никакие пароли не передаются по сети в какой бы то ни было форме.
Без использования Kerberos учетные данные пользователя передаются по сети в незашифрованном виде, и поэтому их
можно легко подделать. При использовании Kerberos удостоверение (субъект) пользователя включается в зашифрованный
билет Kerberos, который может быть прочитан только целевым сервером и KDC. Только им одним известен ключ
шифрования.
В сочетании с безопасностью NFS поддерживаются алгоритмы шифрования AES128 и AES256 в Kerberos. Помимо
собственно безопасности NFS это также затрагивает протоколы SMB и LDAP. Теперь эти алгоритмы шифрования по
умолчанию поддерживаются в Windows и Linux. Эти алгоритмы обеспечивают намного более высокий уровень защиты,
однако они могут и не использоватьсяэто зависит от клиента. На основании данных участника-пользователя сервер
создает учетные данные этого пользователя, запрашивая активную службу UDS (Unix Directory Service). Поскольку система
NIS не является защищенной, ее не рекомендуется использовать совместно с безопасностью NFS. Рекомендуется
использовать Kerberos с протоколом LDAP или LDAPS.
Безопасность NFS можно настроить с помощью PowerStore Manager.
20 Аутентификация и доступ
/