Guía de configuración de seguridad - Dell · la informaciÓn de esta publicaciÓn se proporciona...

Dell EMC Familia Unity™

Dell EMC Unity All Flash, Unity Hybrid,UnityVSAVersión 5.x

Guía de configuración de seguridadP/N 302-002-564 REV 09

Copyright © 2016-2019 Dell Inc. o sus filiales. Todos los derechos reservados.

Publicado en Junio de 2019

Dell considera que la información de este documento es precisa en el momento de su publicación. La información está sujeta a cambios sin previo

aviso.

LA INFORMACIÓN DE ESTA PUBLICACIÓN SE PROPORCIONA “TAL CUAL”. DELL NO SE HACE RESPONSABLE NI OFRECE GARANTÍA DE

NINGÚN TIPO CON RESPECTO A LA INFORMACIÓN DE ESTA PUBLICACIÓN Y, ESPECÍFICAMENTE, RENUNCIA A TODA GARANTÍA

IMPLÍCITA DE COMERCIABILIDAD O CAPACIDAD PARA UN PROPÓSITO DETERMINADO. EL USO, LA COPIA Y LA DISTRIBUCIÓN DE

CUALQUIER SOFTWARE DE DELL DESCRITO EN ESTA PUBLICACIÓN REQUIEREN LA LICENCIA DE SOFTWARE CORRESPONDIENTE.

Dell, EMC y otras marcas comerciales pertenecen a Dell Inc. o sus filiales. Las demás marcas comerciales pueden ser propiedad de sus respectivos

dueños. Publicado en México.

Dirección local de EMCEMC Argentina (Cono Sur) Tel. +54-11-4021-3622 http://www.emc.com/es-ar/index.htmEMC México Tel. +52-55-5080-3700 http://www.emc.com/es-mx/index.htmEMC Venezuela (Norte de Latinoamérica) Tel. +58-212-206-6911 http://www.emc.com/es-ve/index.htm

2 Unity All Flash, Unity Hybrid, UnityVSA 5.x Guía de configuración de seguridad

7

Introducción 9Descripción general.....................................................................................10Información sobre funcionalidad y funciones relacionadas.......................... 10

Control de acceso 11Cuentas predeterminadas de fábrica de administración y de servicio delsistema de almacenamiento........................................................................ 12Administración de cuentas del sistema de almacenamiento.........................12Unisphere....................................................................................................13Interfaz de la línea de comandos de Unisphere............................................16Interfaz de servicio vía protocolo SSH del sistema de almacenamiento....... 17IPMItool y puerto de servicio Ethernet del SP del sistema dealmacenamiento.......................................................................................... 19SMI-S Provider........................................................................................... 19Compatibilidad con vSphere Storage API for Storage Awareness............... 19Single sign-on con Unisphere Central......................................................... 22

Flujos de proceso de single sign-on................................................23Inicio de sesión en un sistema de almacenamiento local.................24Single sign-on y compatibilidad con NAT....................................... 25

Seguridad en los objetos de los sistemas de archivos................................. 25Acceso a sistemas de archivos en un ambiente multiprotocolo................... 26

Mapeo de usuarios.........................................................................26Políticas de acceso para NFS, SMB y FTP.....................................32Credenciales para la seguridad en el nivel de archivos................... 33

NFS seguro................................................................................................ 35Control de acceso dinámico........................................................................37

Registro 39Registro......................................................................................................40Opciones de registro remoto.......................................................................41

Seguridad de la comunicación 43Uso de los puertos...................................................................................... 44

Puertos de red del sistema de almacenamiento:............................ 44Puertos con los que se puede comunicar el sistema dealmacenamiento............................................................................ 50

Certificado del sistema de almacenamiento................................................53Reemplazo del certificado autofirmado del sistema dealmacenamiento con certificados firmados por la autoridad decertificación local.......................................................................... 54

Interfaces, servicios y funciones del sistema de almacenamientocompatibles con el protocolo de Internet versión 6.................................... 56Acceso a la interfaz de administración del sistema de almacenamientomediante IPv6............................................................................................ 58

Prefacio

Capítulo 1

Capítulo 2

Capítulo 3

Capítulo 4

CONTENIDO

Unity All Flash, Unity Hybrid, UnityVSA 5.x Guía de configuración de seguridad 3

Configuración de la interfaz de administración mediante DHCP................. 58Ejecución de Connection Utility.....................................................60

Cifrado de protocolo (SMB) y la firma........................................................ 61Reflejo de paquetes IP................................................................................63Multiusuario de IP.......................................................................................63

Acerca de las VLAN....................................................................... 64Soporte de administración para FIPS 140-2................................................65Compatibilidad de la administración para las comunicaciones SSL..............66Soporte de administración para el modo de shell restringido (rbash)..........66

Configuración de la seguridad de datos 69Acerca del cifrado de datos en reposo (solo para implementaciones físicas)..70

Estado de cifrado........................................................................... 71Administración de claves externa...................................................72Respaldo del archivo de almacenamiento de claves....................... 73Registro de auditoría del cifrado de datos en reposo......................74Operaciones con hot spares...........................................................74Adición de unidades de disco a sistemas de almacenamiento concifrado habilitado........................................................................... 75Extracción de unidades de disco de sistemas de almacenamientocon el cifrado habilitado................................................................. 75Reemplazo de chasis y SP de sistemas de almacenamiento con elcifrado habilitado........................................................................... 76

Configuración de la seguridad de datos...................................................... 76

Mantenimiento de seguridad 79Mantenimiento seguro................................................................................80

Actualización de licencias.............................................................. 80Actualización de software..............................................................80

EMC Secure Remote Services para sistemas de almacenamiento...............81

Ajustes de alertas de seguridad 83Ajustes de alertas....................................................................................... 84Configuración de los ajustes de alertas.......................................................85

Configuración de los ajustes de las alertas para la notificación porcorreo electrónico ........................................................................ 85Configuración de los ajustes de las alertas para SNMP traps.........85

Otras configuraciones de seguridad 87Acerca de STIG.......................................................................................... 88Administrar el modo STIG (solo para implementaciones físicas)................. 88Administrar la configuración de cuentas de usuario en el modo STIG (solopara implementaciones físicas)...................................................................90Bloqueo/desbloqueo manuales de cuentas(solo para implementacionesfísicas)........................................................................................................94Controles físicos de seguridad (solo para implementaciones físicas).......... 94Protección antivirus................................................................................... 94

Conjuntos de aplicaciones de cifrado TLS 97Suites de cifrado del protocolo TLS compatibles........................................ 98

Capítulo 5

Capítulo 6

Capítulo 7

Capítulo 8

Apéndice A

CONTENIDO


Configuración de LDAP 101Acerca de la configuración de LDAP..........................................................102Configurar el servidor DNS....................................................................... 102Configurar el servidor LDAP......................................................................103

Verificar la configuración de LDAP............................................... 104Configurar LDAP seguro.............................................................. 105Verificar la configuración de LDAPS.............................................106

Configurar un usuario de LDAP................................................................. 107

Apéndice B

CONTENIDO


CONTENIDO


Recursos adicionales

Como parte de un esfuerzo por mejorar, se lanzan periódicamente revisiones desoftware y hardware. Por lo tanto, es posible que no todas las versiones de hardware ysoftware admitan algunas funciones que se describen en este documento. Las notasde la versión del producto proporcionan la información más actualizada acerca de lascaracterísticas del producto. En caso de que un producto no funcione correctamente ono funcione según se describe en este documento, póngase en contacto con unprofesional de soporte técnico de .

Dónde obtener ayudaLa información sobre soporte, productos y licencias puede obtenerse de la siguientemanera:

Información de productosPara ver las notas de la versión o la documentación del producto y las funciones,consulte la documentación técnica de Unity en: www.emc.com/es-mx/documentation/unity-family.htm (visite el sitio web de su país correspondiente).

Solución de problemasPara obtener información sobre los productos, las actualizaciones de software, laslicencias y el servicio, visite el soporte en línea (se requiere registro) en: https://Support.EMC.com. Después de iniciar sesión, busque la página Soporte por productocorrespondiente.

Soporte técnicoPara enviar solicitudes de servicio y soporte técnico, visite el soporte en línea en: https://Support.EMC.com. Después de iniciar sesión, busque Crear una solicitud deservicio. Para abrir una solicitud de servicio, debe contar con un acuerdo de servicioválido. Póngase en contacto con el representante de ventas para recibir informaciónsobre cómo obtener un acuerdo de soporte válido o para aclarar cualquier tipo de dudaen relación con su cuenta.

Convenciones para avisos especiales utilizadas en este documento

PELIGRO

Indica una situación peligrosa que, si no se evita, provoca la muerte o lesionesgraves.

ADVERTENCIA

Indica una situación peligrosa que, si no se evita, podría provocar la muerte olesiones graves.

PRECAUCIÓN

Indica una situación peligrosa que, si no se evita, podría provocar lesionesmenores o moderadas.

AVISO

Aborda prácticas no relacionadas con lesiones personales.


https://www.emc.com/es-mx/documentation/unity-family.htm

https://www.emc.com/es-mx/documentation/unity-family.htm

https://Support.EMC.com



Nota

Presenta información que es importante, pero que no está relacionada con peligros.

Recursos adicionales


CAPÍTULO 1

Introducción

En este capítulo, se describen brevemente las diversas funciones de seguridadimplementadas en el sistema de almacenamiento.

Se abordarán los siguientes temas:

l Descripción general............................................................................................ 10l Información sobre funcionalidad y funciones relacionadas.................................. 10

Introducción 9

Descripción generalEl sistema de almacenamiento utiliza una gran variedad de características de seguridadpara controlar el acceso de red y del usuario, monitorear el acceso al sistema y su uso,y brindar soporte para la transmisión de datos de almacenamiento. En este documentose describen las características de seguridad disponibles.

Está orientado a los administradores responsables de la configuración y elfuncionamiento del sistema de almacenamiento.

La guía cubre las configuraciones de seguridad incluidas en las categorías que semuestran en Tabla 1 en la página 10:

Tabla 1 Categorías de ajustes de seguridad

Categoría deseguridad

Descripción

Control de acceso Limitación de acceso por parte del usuario final u otras entidadespara proteger el hardware, el software u otras característicasespecíficas del producto.

Registros Administración del registro de eventos.

Seguridad de lacomunicación

Seguridad de la comunicación de red del producto.

Seguridad de los datos Provisión de protección de los datos del producto.

Capacidad de servicio Mantenimiento del control de las operaciones de servicio delproducto por parte del fabricante o sus partners de servicio.

Sistema de alertas Administración de las alertas y las notificaciones generadas paraeventos relacionados con la seguridad.

Otros ajustes deseguridad

Ajustes de seguridad que no se incluyen en ninguna de las seccionesanteriores, como la seguridad física.

Información sobre funcionalidad y funciones relacionadasEn la documentación siguiente se incluye información específica de Unity relacionadacon la funcionalidad y las funciones descritas en este documento:

l Guía del usuario de la CLI de Unisphere

l Ayuda en línea de Unisphere

l Guía del programador de SMI-S Provider

l Notas técnicas de los comandos de servicio

l Requisitos y configuración de los servicios de soporte remoto seguro

En el sitio web del servicio de soporte en línea de EMC (http://Support.EMC.com),está disponible el conjunto completo de publicaciones de EMC para clientes. Despuésde iniciar sesión en el sitio web, haga clic en la página Soporte por producto parabuscar información específica de la función en cuestión.

Introducción


http://Support.EMC.com

CAPÍTULO 2

Control de acceso

En este capítulo, se describen diversas funciones de control de acceso implementadasen el sistema de almacenamiento.


l Cuentas predeterminadas de fábrica de administración y de servicio del sistemade almacenamiento............................................................................................. 12

l Administración de cuentas del sistema de almacenamiento................................ 12l Unisphere........................................................................................................... 13l Interfaz de la línea de comandos de Unisphere................................................... 16l Interfaz de servicio vía protocolo SSH del sistema de almacenamiento...............17l IPMItool y puerto de servicio Ethernet del SP del sistema de almacenamiento...19l SMI-S Provider...................................................................................................19l Compatibilidad con vSphere Storage API for Storage Awareness.......................19l Single sign-on con Unisphere Central.................................................................22l Seguridad en los objetos de los sistemas de archivos.........................................25l Acceso a sistemas de archivos en un ambiente multiprotocolo...........................26l NFS seguro........................................................................................................ 35l Control de acceso dinámico................................................................................37

Control de acceso 11

Cuentas predeterminadas de fábrica de administración y deservicio del sistema de almacenamiento

El sistema de almacenamiento viene con configuraciones de cuenta de usuariopredeterminadas de fábrica para usar cuando se obtiene acceso y se configura elsistema de almacenamiento por primera vez. Consulte Tabla 2 en la página 12.

Tabla 2 Configuración predeterminada de fábrica de las cuentas de usuario

Tipo de cuenta Nombredeusuario

Contraseña Privilegios

Administración(Unisphere)

admin Password123# Privilegios de administrador pararestablecer contraseñas predeterminadas,configurar los ajustes del sistema, crearcuentas de usuario y asignaralmacenamiento.

Servicio Servicio Servicio Realizar operaciones de servicio.

Nota

Durante el proceso de configuración inicial, debe cambiar la contraseñapredeterminada de las cuentas de servicio y administración.

Administración de cuentas del sistema de almacenamientoLa Tabla 3 en la página 12 muestra los métodos con los que puede administrar lascuentas del sistema de almacenamiento.

Tabla 3 Métodos de administración de cuentas

Funciones de cuenta Descripción

Administración:

l Administrador

l Administrador de almacenamiento

l Administrador de seguridad

l Operador

l Administrador de VM

Una vez que se completa el proceso deconfiguración inicial del sistema dealmacenamiento, puede administrar losusuarios y los grupos del sistema dealmacenamiento (ya sea cuentas locales,cuentas de LDAP o ambas) desde Unisphere odesde la CLI de Unisphere.

l Para las cuentas locales, puede agregarun usuario nuevo, eliminar un usuarioseleccionado, cambiar la función delusuario y restablecer (cambiar) lacontraseña del usuario.

l Para un usuario de LDAP, puede agregarun usuario de LDAP, eliminar un usuarioseleccionado y cambiar la función delusuario.

Control de acceso


Tabla 3 Métodos de administración de cuentas (continuación)

Funciones de cuenta Descripción

l Para un grupo de LDAP, puede agregar ungrupo de LDAP, eliminar un gruposeleccionado y cambiar la función delgrupo.

Servicio No puede crear ni eliminar cuentas de serviciodel sistema de almacenamiento. La contraseñade la cuenta de servicio puede restablecersedesde Unisphere. En Sistema, seleccione la

función Servicio > Tareas de servicio >

Cambiar contraseña de servicio.

Nota

Para cambiar las contraseñas predeterminadas de fábrica de las cuentas del sistemade almacenamiento, debe presionar el botón de restablecimiento de contraseña queestá en el chasis del sistema de almacenamiento. En la ayuda en línea de Unisphere y laGuía de información de hardware del sistema se proporciona más información.

UnisphereLa autenticación para obtener acceso a Unisphere se realiza según las credenciales dela cuenta de usuario (local o LDAP). Las cuentas de usuario se crean y posteriormentese administran a través de la selección Administración de usuario bajoConfiguración > Usuarios y grupos en Unisphere. Las autorizaciones que se aplican aUnisphere dependen de la función asociada con la cuenta de usuario.

Antes de que un usuario pueda descargar el contenido de la interfaz del usuario deUnisphere a una estación de trabajo de administración, debe proporcionar credencialespara autenticarse y establecer una sesión en el sistema de almacenamiento. Cuando elusuario especifica la dirección de red del sistema de almacenamiento como la URL enun navegador web, se le muestra una página de inicio de sesión desde la cual puedeoptar por autenticarse como un usuario local o mediante un servidor de directoriosLDAP. Las credenciales que el usuario proporciona se autentican y, después de laautenticación correcta, se crea una sesión de administración de la interfaz del usuarioen el sistema de almacenamiento. Posteriormente, la interfaz del usuario de Unispherese descarga y se crea una instancia de ella en la estación de trabajo de administracióndel usuario. El usuario podrá monitorear y administrar el sistema de almacenamientodentro de las funcionalidades de la función que se le asignó.

LDAPEl protocolo LDAP es un protocolo de aplicación para consultar servicios de directorioque se ejecutan en redes TCP/IP. LDAP facilita la administración centralizada de laautenticación y de la información de identidades y grupos que se utiliza para laautorización en el sistema de almacenamiento. La integración del sistema en unambiente LDAP existente proporciona una manera de controlar el acceso de usuarios yde grupos de usuarios al sistema a través de la CLI de Unisphere o Unisphere.

Después de configurar los ajustes de LDAP para el sistema, podrá administrar usuariosy grupos de usuarios, en el contexto de una estructura establecida de directoriosLDAP. Por ejemplo, puede asignar funciones de acceso (administrador, administrador

Control de acceso

Unisphere 13

de almacenamiento, administrador de seguridad, operador o administrador de VM) alusuario o a los grupos de LDAP. La función aplicada determina el nivel de autorizaciónque tiene el usuario o el grupo en la administración del sistema de almacenamiento. Elsistema utiliza los ajustes de LDAP solo para facilitar el control de acceso a la CLI deUnisphere y Unisphere, no para obtener acceso a los recursos de almacenamiento.

Reglas de las sesionesLas sesiones de Unisphere tienen las siguientes características:

l El plazo de vencimiento es de una hora.

l El tiempo de espera de sesión no es configurable.

l Los ID de sesión se generan durante la autenticación y se utilizan durante el lapsode cada sesión.

Uso de nombre de usuario y contraseñaLos nombres de usuario de las cuentas de Unisphere deben cumplir con los requisitosque figuran en la siguiente tabla.

Tabla 4 Requisitos para nombre de usuario de cuenta de Unisphere

Restricción Requisito de nombre de usuario

Cantidad mínima de caracteres alfanuméricos 1

Cantidad máxima de caracteres alfanuméricos 64

Caracteres especiales compatibles . (dot)

Las contraseñas de las cuentas de Unisphere deben cumplir con los requisitos quefiguran en la siguiente tabla.

Tabla 5 Requisitos para contraseña de cuenta de Unisphere

Restricción Requisitos de la contraseña

Cantidad mínima de caracteres 8

Cantidad mínima de caracteres en mayúsculas 1

Cantidad mínima de caracteres en minúsculas 1

Cantidad mínima de caracteres numéricos 1

Cantidad mínima de caracteres especiales

l Los caracteres especiales soportadosincluyen:

n !,@#$%^*_~?

1

Cantidad máxima de caracteres 40

Nota

Para cambiar las contraseñas de las cuentas en Unisphere, elija Ajustes deconfiguración y, en Usuarios y grupos, elija Administración de usuario > Másacciones > Restablecer contraseña. Cuando cambia una contraseña, no puede volvera utilizar las últimas tres. Hay disponible más información en la ayuda en línea deUnisphere.

Control de acceso


AVISO

En el modo STIG, la contraseña debe tener al menos 15 caracteres. El modo STIGtambién establece requisitos adicionales para el conteo, el período y el estado devencimiento de las contraseñas. Las cuentas de usuario que se crearon antes de lahabilitación del modo STIG no se ven afectadas, a menos que la contraseña semodifique. Para obtener más información relacionada con el modo STIG, consulte Administrar el modo STIG (solo para implementaciones físicas) en la página 88.

AutorizaciónEn la Tabla 6 en la página 15, se muestran las funciones que pueden asignarse a losusuarios locales del sistema de almacenamiento, así como los privilegios asociados aellas. Además, puede asignar estas funciones a usuarios y grupos LDAP.

Tabla 6 Funciones y privilegios de usuarios locales

Tarea Operador Administrador dealmacenamiento

Administrador deseguridad

Administrador

Administrador de VM

Cambiar la contraseña de inicio desesión local propia

x x x x

Agregar, eliminar o modificar hosts x

Crear almacenamiento x x

Eliminar almacenamiento x x

Agregar objetos de almacenamiento,como LUN, recursos compartidos ygrupos de almacenamiento a un recursode almacenamiento

x x

Ver estado y configuración dealmacenamiento

x x x x

Ver cuentas de usuario de Unisphere x x x

Agregar, eliminar, modificar, bloquear odesbloquear cuentas de usuario deUnisphere

x x

Ver el estado actual del software o lalicencia

x x x x

Actualizar software o licencia x

Establecer la configuración inicial x

Modificar la configuración del servidorNAS

x

Modificar la configuración del sistema x

Modificar la configuración de red x

Cambiar el idioma de la interfaz deadministración

x x x x

Ver información de alertas y registros x x x x

Control de acceso

Unisphere 15

Tabla 6 Funciones y privilegios de usuarios locales (continuación)

Tarea Operador Administrador dealmacenamiento

Administrador deseguridad

Administrador

Administrador de VM

Ver el estado del cifrado x x x x

Realizar el almacenamiento de claves decifrado, el registro de auditoría y elrespaldo de la suma de comprobación

x x

Modificar el modo FIPS 140-2 x x

Modificar el modo STIG x x

Establecer conexiones VASA entrevCenter y el sistema dealmacenamiento

x x

En el caso de la función de administrador de máquinas virtuales, después de establecerla conexión entre vCenter y el sistema de almacenamiento, el usuario de vCenter ve elsubconjunto de estado y configuración del almacenamiento que es pertinente a esevCenter y sus servidores de ESXi. El usuario de vCenter solo puede ver la informaciónque permiten los mecanismos de control de acceso de vCenter.

Nota

Para cambiar las funciones de las cuentas en Unisphere, elija Ajustes deconfiguración y, en Usuarios y grupos, elija Administración de usuario > Másacciones > Cambiar función. Hay disponible más información en la ayuda en línea deUnisphere.

NATNAT no es compatible con el inicio de sesión local por medio de Unisphere en elsistema de almacenamiento.

Interfaz de la línea de comandos de UnisphereLa CLI de Unisphere proporciona una interfaz de la línea de comandos para la mismafuncionalidad disponible mediante Unisphere.

La ejecución de la CLI de Unisphere requiere software especial de línea de comandosde sistema de almacenamiento. Puede descargar este software de la página delproducto correspondiente al sistema de almacenamiento del servicio de soporte enlínea de EMC (https://support.emc.com).

Reglas de las sesionesLa interfaz de la línea de comandos de Unisphere no soporta sesiones. Debe usar unasintaxis de línea de comandos para especificar el nombre de usuario y la contraseña delas cuentas con cada comando ejecutado.

Puede usar el comando -saveuser de la CLI de Unisphere para guardar lascredenciales de acceso (nombre de usuario y contraseña) de una cuenta específica enun archivo en la caja de seguridad protegida que reside localmente en el host en el cualestá instalada la CLI de Unisphere. Los datos almacenados están disponibles solo en elhost donde se guardaron y solo para el usuario que los guardó. Después de guardar las

Control de acceso


https://support.emc.com

credenciales de acceso, la interfaz de la línea de comandos las aplica automáticamenteal puerto y al destino especificados del sistema de almacenamiento cada vez que ustedejecute un comando.

Uso de las contraseñasLa autenticación de la interfaz de la línea de comandos de Unisphere se realiza deacuerdo con las cuentas de administración creadas y administradas por medio deUnisphere. Los mismos permisos que se aplican a Unisphere se aplican a comandosespecíficos según la función asociada con la cuenta de inicio de sesión actual.

Ajustes guardadosPuede guardar la configuración siguiente en el host en que se ejecuta la CLI deUnisphere:

l Credenciales de acceso de usuario, incluidos su nombre de usuario y contraseña,para cada sistema al que accede.

l Certificados SSL importados del sistema.

l Información sobre el sistema predeterminado para obtener acceso mediante lainterfaz de la línea de comandos de Unisphere, incluidos el nombre del sistema o ladirección IP y el número de puerto del sistema.

La interfaz de la línea de comandos de Unisphere guarda los ajustes en una caja deseguridad protegida que reside de forma local en el host en el que está instalada lainterfaz de la línea de comandos de Unisphere. Los datos almacenados estándisponibles solo en el host donde se guardaron y solo para el usuario que los guardó. Lacaja de seguridad reside en las siguientes ubicaciones:

l En Windows Server 2003 (XP): C:\Documents and Settings\$<user_name>\Local Settings\ApplicationData\.emc\uemcli\cert

l En Windows 7, Windows 8 y Windows 10: C:\Users\${user_name}\AppData\Local\.emc\uemcli\cert

l En UNIX o Linux: <home_directory>/.emc/uemcli/certBusque los archivos config.xml y config.key. Si desinstala la CLI de Unisphere, estosdirectorios y archivos no se eliminan, lo cual le ofrece la opción de conservarlos. Siestos archivos ya no se requieren, considere su eliminación.

Interfaz de servicio vía protocolo SSH del sistema dealmacenamiento

Al habilitar la interfaz de servicio con el protocolo SSH del sistema de almacenamiento,hay disponible una interfaz de la línea de comandos para ejecutar funcionalidadesrelacionadas y coincidentes con las que están disponibles en la página servicio deUnisphere (en Sistema , elija Servicio > Tareas de servicio > Habilitar SSH).

La cuenta de servicio les permite a los usuarios realizar las siguientes funciones:

l Ejecutar comandos de servicio del sistema de almacenamiento especializados paramonitorear y solucionar problemas con las operaciones y la configuración delsistema de almacenamiento.

l Operar solo un conjunto limitado de comandos que se asignan como un miembrode una cuenta de usuario de Linux sin privilegios en el modo de shell restringido.Esta cuenta no tiene acceso a los datos de usuarios o clientes, los archivos deconfiguración o los archivos de sistema patentados.

Para obtener más información sobre el uso de comandos de servicio, consulte eldocumento de notas técnicas de los comandos de servicio.

Control de acceso

Interfaz de servicio vía protocolo SSH del sistema de almacenamiento 17

La configuración de la interfaz de servicio SSH del sistema de almacenamiento espersistente en todos los reinicios de sistema, las conmutaciones por error y en modode servicio y normal. Por lo tanto, lo que permite la interfaz de servicio de protocoloSSH del sistema de almacenamiento se mantendrá la interfaz activada hasta que sedesactiva de manera explícita en la página de servicio de Unisphere (en Sistemaseleccione Servicio > Tareas de servicio > Deshabilitar SSH).

Para la seguridad máxima del sistema, se recomienda dejar la interfaz de servicio delSSH del sistema de almacenamiento deshabilitada en todo momento, a menos queespecíficamente es necesario para realizar operaciones de servicio en el sistema dealmacenamiento. Después de realizar las operaciones de servicio necesarias,deshabilite la interfaz de SSH para garantizar que el sistema permanezca seguro.

SesionesLas sesiones de la interfaz de servicio vía protocolo SSH del sistema dealmacenamiento se mantienen conforme a la configuración establecida por elcliente SSH. Las características de las sesiones son determinadas por los parámetrosde configuración del cliente SSH.

Uso de las contraseñasLa cuenta de servicio es una cuenta que el personal de servicio puede usar paraejecutar comandos de Linux básicos.

La contraseña predeterminada para la interfaz de servicio del sistema dealmacenamiento es service (servicio). Al realizar la configuración inicial del sistema dealmacenamiento, debe cambiar la contraseña de servicio predeterminada. Lasrestricciones de contraseña son las mismas que se aplican a las cuentas deadministración de Unisphere (consulte Uso de nombre de usuario y contraseña en lapágina 14). Para obtener información sobre el comando de servicio del sistema dealmacenamiento svc_service_password, que sirve para administrar laconfiguración de la contraseña de la cuenta de servicio del sistema dealmacenamiento, consulte el documento de notas técnicas de los comandos de servicio.

AutorizaciónComo se muestra en la Tabla 7 en la página 18, la autorización de la cuenta deservicio se define de dos maneras.

Tabla 7 Definiciones de autorización de la cuenta de servicio

Tipo deautorización

Descripción

Permisos del sistemade archivos de Linux

Los permisos de sistema de archivos definen la mayoría de las tareasque la cuenta de servicio puede o no realizar en el sistema dealmacenamiento. Por ejemplo, la mayoría de las herramientas y lasutilidades de Linux que modifican la operación del sistema de algunamanera requieren privilegios de cuenta de superusuario. Dado que lacuenta de servicio no tiene tales derechos de acceso, no puede usarherramientas ni utilidades de Linux para las cuales no tiene permisosde ejecución ni puede editar archivos de configuración que requierenacceso de raíz para leer, modificar o ambos.

Listas de control deacceso (ACL)

El mecanismo de ACL del sistema de almacenamiento utiliza una listade reglas muy específicas para otorgar o denegar explícitamente elacceso a recursos del sistema por medio de la cuenta de servicio.Estas reglas especifican los permisos de la cuenta de servicio a otrasáreas del sistema de almacenamiento que no están definidas por lospermisos del sistema de archivos de Linux estándar.

Control de acceso


Comandos de servicio del sistema de almacenamientoEl ambiente operativo (OE) del sistema de almacenamiento tiene instalado un conjuntode comandos de diagnóstico de problemas, configuración del sistema y recuperacióndel sistema. Estos comandos proporcionan información detallada y un nivel más bajode control del sistema del disponible por medio de Unisphere. En el documento denotas técnicas, Comandos de servicio, se describen tanto los comandos como suscasos de uso comunes.

IPMItool y puerto de servicio Ethernet del SP del sistema dealmacenamiento

El sistema de almacenamiento franquea el acceso a la consola por medio de un puertode servicio Ethernet presente en cada SP. Este acceso requiere el uso de IPMItool.IPMItool es una herramienta de red similar al protocolo SSH o a telnet, que se conectaa cada SP a través de una conexión Ethernet mediante el protocolo IPMI. IPMItool esuna utilidad de Windows que negocia un canal de comunicación seguro para obteneracceso a la consola del SP de un sistema de almacenamiento. Esta utilería requierecredenciales de inicio de sesión y una dirección IP para activar la consola. Para obtenermás información sobre IPMItool, consulte IPMItool User Guide Technical Notes.

La interfaz del puerto de servicio Ethernet del SP proporciona las mismas funciones ycaracterísticas que la interfaz de servicio vía protocolo SSH y también está sujeta a lasmismas restricciones. La diferencia es que los usuarios obtienen acceso a la interfaz através de una conexión a un puerto Ethernet en lugar de hacerlo mediante un clientedel protocolo SSH.

Para obtener la lista de los comandos de servicio, consulte las notas técnicas de loscomandos de servicio.

SMI-S ProviderSMI-S Provider no presenta cambios con respecto a la seguridad. El cliente de SMI-Sse conecta al sistema de almacenamiento por el puerto HTTPS 5989. Las credencialesde inicio de sesión son idénticas a las de los usuarios de la interfaz del usuario o lainterfaz de la línea de comandos de Unisphere. Todas las reglas de seguridad que seaplican a los usuarios de la interfaz del usuario o la CLI también se aplican a lasconexiones SMI-S. Los usuarios de la interfaz del usuario y la CLI de Unisphere puedenautenticarse con la interfaz de SMI-S. No se definen usuarios por separado para lainterfaz de SMI-S. Una vez realizada la autenticación, el cliente de SMI-S tiene elmismo privilegio que el definido para los usuarios de la interfaz del usuario y la CLI deUnisphere. En la Guía del programador de SMI-S Provider para el sistema dealmacenamiento, se proporciona información sobre cómo configurar este servicio.

Compatibilidad con vSphere Storage API for StorageAwareness

vSphere Storage API for Storage Awareness (VASA) es una API independiente delproveedor definida por VMware para el reconocimiento del almacenamiento. Elproveedor de VASA (VP) es un componente de software de almacenamiento queactúa como servicio de reconocimiento de almacenamiento en vSphere. Los hosts deESXi y vCenter Server se conectan al VP y obtienen información sobre el estado, lasfuncionalidades y la topología del almacenamiento disponible. Después, vCenter Server

Control de acceso

IPMItool y puerto de servicio Ethernet del SP del sistema de almacenamiento 19

proporciona esa información a los clientes de vSphere. VASA se utiliza con clientes deVMware más que con clientes de Unisphere.

El VP se ejecuta en el Procesador de almacenamiento (SP) activo del sistema dealmacenamiento. El usuario de vSphere debe configurar esta instancia de VP como elproveedor de información de VASA para cada sistema de almacenamiento. En caso deque un SP quede inactivo, el proceso relacionado se reiniciará en el SP par junto con elVP de VASA. El failover de la dirección IP se realiza automáticamente. Internamente,el protocolo verá una falla cuando obtenga eventos de cambio de configuración desdeel VP que recién está activo, pero esto generará una resincronización automática delos objetos de VASA sin intervención del usuario.

El sistema de almacenamiento proporciona interfaces para VASA 3.0 así como VASA2.0 para vSphere 6 e interfaces VASA 1.0 para vSphere 5.x.

VASA 1.0 se utiliza con fines exclusivos de monitoreo y con clientes de VMware másque con clientes de Unisphere. VASA 1.0 es solo una interfaz de creación de informesque permite solicitar información básica sobre el sistema y los dispositivos dealmacenamiento que expone en el ambiente virtual para facilitar las tareas cotidianasde aprovisionamiento, monitoreo y solución de problemas por medio de vSphere:

l Visibilidad del almacenamiento: detecta internamente los cambios en laspropiedades y envía la información actualizada a vCenter

l Alarmas de estado y capacidad: monitorea internamente los cambios de estado ylos umbrales relacionados con la capacidad que se cruzan, lo cual activa lasalarmas correspondientes en vCenter:

n estado del arreglo, SP, puertos de I/O, LUN y sistemas de archivos

n indicaciones de cambios en el nivel de clase para un cambio de estado decualquiera de estos objetos

n alarmas de capacidad de espacio para LUN y sistemas de archivos

l Funcionalidades del almacenamiento de VASA: monitorea internamente loscambios en las funcionalidades del almacenamiento e informa las funcionalidadesactualizadas a vCenter

l Integración de Storage DRS: vSphere cuenta con la información obtenidainternamente del VP y la suministra a su lógica de negocio para diversos flujos detrabajo de Storage DRS

Soporte para VASA 3.0 y 2.0 volúmenes virtuales (Vvol). VASA 3.0 y VASA 2.0 admiteinterfaces para consultar abstracciones de almacenamiento como VVols ycontenedores de almacenamiento. Esta información facilita a la administración delalmacenamiento basada en políticas (SPBM) las decisiones con respecto alcumplimiento de normas y la ubicación de los discos virtuales. VASA 3.0 y VASA 2.0también presenta interfaces para aprovisionar y administrar el ciclo de vida de losvolúmenes virtuales utilizados para respaldar los discos virtuales. Estas interfaces lasinvocan directamente los hosts de ESXi.

Para obtener más información relacionada con VASA, vSphere y los volúmenesvirtuales, consulte la documentación de VMware y la ayuda en línea de Unisphere.

Autenticación relacionada con VASACon el objeto de iniciar una conexión desde vCenter al VP de Unisphere, debe usar elcliente vSphere para ingresar tres datos clave:

l la URL del VP, use el siguiente formato:

n En VASA 3.0 y VASA 2.0, https://<Management IP address>:8443/vasa/version.xml

n En VASA 1.0, https://<Management IP address>:8444/vasa/version.xml ohttps://<Management IP address>:8444/vasa/services/vasaService

Control de acceso


l el nombre de usuario de un usuario de Unisphere (la función debe serAdministrador de VM o administrador):

Nota

La función del administrador de VM se utiliza en exclusiva como medio pararegistrar los certificados.

n en el caso de los usuarios locales, use esta sintaxis: local/<nombre_usuario>

n para usuarios LDAP, use la sintaxis:<dominio>/<nombre de usuario>

l la contraseña asociada con este usuario

Las credenciales de Unisphere utilizadas aquí solo se emplean durante este paso inicialde la conexión. Si las credenciales de Unisphere son válidas para el sistema dealmacenamiento de destino, el certificado de vCenter Server se registraautomáticamente con el sistema de almacenamiento. Este es el certificado que se usapara autenticar todas las solicitudes subsiguientes desde vCenter. No se requierenpasos manuales para instalar o cargar este certificado en el VP. Si el certificadovenció, vCenter debe registrar uno nuevo para permitir una nueva sesión. Si el usuariorevocó el certificado, la sesión pierde su validez y la conexión se interrumpe.

Sesión de vCenter, conexión segura y credencialesLa sesión de vCenter empieza cuando un administrador de vSphere usa vSphere Clientpara proporcionar a vCenter Server la URL del VP y las credenciales de inicio desesión. vCenter Server usa la URL, las credenciales y el certificado SSL del VP paraestablecer la conexión segura con el VP. La sesión de vCenter finaliza cuando seproduce uno de los eventos siguientes:

l Un administrador usa vSphere Client para quitar el VP de la configuración devCenter y vCenter Server finaliza la conexión.

l Falla vCenter Server o un servicio de vCenter Server, lo cual finaliza la conexión.Cuando se inicia de nuevo vCenter o el servicio, se intenta restablecer laconexión SSL. Si no se logra, se inicia una conexión SSL nueva.

l Falla el proveedor de VASA, lo cual finaliza la conexión. Cuando se inicia elproveedor de VASA, puede responder a la comunicación proveniente de vCenterServer para restablecer la conexión SSL y la sesión de VASA.

Una sesión de vCenter se basa en la comunicación HTTPS segura entre vCenterServer y un VP. La arquitectura de VASA usa certificados SSL e identificadores desesión de VASA para permitir conexiones seguras. Con VASA 1.0, vCenter Serveragregaba el certificado del VP a su lista de confianza como parte de la instalacióndel VP o durante la creación de la conexión de la sesión de VASA. El VP agregaba elcertificado de vCenter Server a su lista de confianza cuando el servicio de monitoreode almacenamiento (SMS) llamaba a la función registerVASACertificate. En VASA 3.0y VASA 2.0, vCenter Server actúa como autoridad de certificación de VMware(VMCA). El VP transmite un certificado autofirmado a petición, después de autorizarla solicitud. Agrega el certificado de vCenter Server a su lista de confianza y, acontinuación, emite una solicitud de firma de certificado y reemplaza su certificadoautofirmado por el certificado firmado de VMCA. El servidor (el VP) autenticará lasconexiones futuras mediante el certificado de cliente (SMS) validado con elcertificado de firma raíz antes registrado. El VP genera identificadores únicos para losobjetos de entidad de almacenamiento, los cuales utiliza vCenter Server para solicitarlos datos de una entidad concreta.

El VP utiliza certificados SSL y el identificador de sesión de VASA para validar lassesiones de VASA. Después de establecer la sesión, el VP debe validar elcertificado SSL y el identificador de sesión de VASA asociado a cada llamada a lafunción de vCenter Server. El VP usa el certificado de vCenter Server almacenado en

Control de acceso

Compatibilidad con vSphere Storage API for Storage Awareness 21

su lista de confianza para validar el certificado asociado a las llamadas a la funcióndesde el SMS de vCenter. Las sesiones de VASA son persistentes en distintasconexiones SSL. Si se interrumpe la conexión SSL, vCenter Server ejecutará el enlacede SSL con el VP para restablecer la conexión SSL en el contexto de la misma sesiónde VASA. Si vence el certificado SSL, el administrador de vSphere debe generar uncertificado nuevo. vCenter Server establecerá una conexión SSL nueva y registrará elcertificado nuevo con el VP.

Nota

El registro de los VP 3.0 y 2.0 se anula de manera diferente que el de los VP 1.0. SMSno llama a la función unregisterVASACertificate con los VP 3.0 o VP 2.0; por lo tanto,incluso después de anular el registro, el VP puede seguir utilizando el certificadofirmado de VMCA obtenido de SMS y teniendo acceso al certificado raíz de VMCA.

Single sign-on con Unisphere CentralLa funcionalidad de single sign-on agregada a Unisphere Central proporciona serviciosde autenticación a varios sistemas de almacenamiento que están configurados parausar esta función. Esta función ofrece un método sencillo para que un usuario iniciesesión en cada sistema sin necesidad de volver a autenticarse.

Unisphere Central es el servidor de autenticación centralizado que facilita single sign-on. Esta funcionalidad permite que un usuario:

l Inicie sesión en Unisphere Central y seleccione e inicie Unisphere en un sistema dealmacenamiento sin volver a ingresar las credenciales de inicio de sesión.

l Iniciar sesión en un sistema de almacenamiento y, a continuación, seleccionarotros sistemas de almacenamiento asociados con el mismo Unisphere Central parainiciar sesión sin volver a ingresar las credenciales de inicio de sesión.

Unisphere Central ejecutará periódicamente una consulta para solicitar información deestado de los sistemas de almacenamiento que está administrando. La identidadasociada con las solicitudes ejecutadas en este contexto es el certificado SSL/X.509de Unisphere Central. La autoridad de certificación de Unisphere Central firma estecertificado, en el cual confía cada instancia de sistema de almacenamiento queUnisphere Central está configurado para administrar.

Además, esta función brinda la funcionalidad de cierre de sesión único, es decir,cuando se cierra la sesión de Unisphere Central, se cierran de una vez todas lassesiones de los sistemas de almacenamiento asociados.

RequisitosPara usar single sign-on, se deben cumplir los siguientes requisitos:

l Los sistemas de almacenamiento Unity y UnityVSA deben ejecutar la versión 4.0 osuperior de OE.

l Se debe usar Unisphere Central versión 4.0 o superior.

l La autenticación del servidor de Unisphere Central y de los sistemas delalmacenamiento se debe configurar de modo que se realice en el mismo directoriode AD/LDAP.

l El usuario LDAP se debe mapear directamente a una función de Unisphere o debeser miembro de un grupo de AD/LDAP mapeado a una función de Unisphere en elsistema de almacenamiento y Unisphere Central.

l Todos los sistemas de almacenamiento deben tener habilitada la funcionalidad deSingle Sign On.

Control de acceso


l El usuario debe iniciar sesión como un usuario LDAP.

Nota

Si no se cumplen estos requisitos, el usuario debe iniciar sesión en cada sistema comoun usuario local y debe proporcionar las credenciales de autenticación para obteneracceso a ese sistema.

Debe tener privilegios de administrador para habilitar single sign-on. Los usuarios conprivilegios de administrador de almacenamiento, de operador o de administrador deVM no pueden habilitar single sign-on. Use el siguiente comando uemcli para habilitarsingle sign-on:

uemcli -d <IP address> -u <username> -p <password> /sys/ur set -ssoEnabled yesCada sistema de almacenamiento configurado con esta función activada puede ser uncliente del servidor de autenticación centralizado y participar en el ambiente de singlesign-on. Para obtener más información sobre este comando, consulte la Guía delusuario de la CLI de Unisphere.

Consideraciones y restriccionesEl tiempo de espera agotado de la sesión de un usuario entre el cliente web y elservidor de autenticación centralizado es de 45 minutos.

El tiempo de espera agotado de la sesión de una aplicación entre el cliente web y elsistema de almacenamiento es de una hora.

Nota

Para obtener información sobre compatibilidad e interoperabilidad relacionada con losnavegadores web, consulte Simple Support Matrix correspondiente al sistema dealmacenamiento en el sitio web de soporte.

Flujos de proceso de single sign-onLas siguientes secuencias representan los flujos de proceso de autenticaciónrelacionados con single sign-on en lo que respecta a Unisphere Central.

Acceda al sistema de almacenamiento por medio de Unisphere Central

1. El usuario inicia un navegador web en una estación de trabajo de administración yespecifica la dirección de red de Unisphere Central como la URL.

2. El servidor web redirige el navegador a una URL de inicio de sesión local deUnisphere Central y se muestra al usuario una pantalla de inicio de sesión.

3. El usuario escribe y envía las credenciales de inicio de sesión de LDAP. El nombrede usuario tiene el formato <LDAP DOMAIN>/username.

4. Se establece un token de sesión y el sistema redirige el navegador nuevamente a laURL original que se especificó.

5. El navegador descarga el contenido de Unisphere y se crea una instancia deUnisphere Central.

6. A continuación, el usuario navega por medio de Unisphere por el sistema dealmacenamiento específico que desee monitorear.

7. El usuario hace clic en la dirección de red del sistema de almacenamiento.

8. Se crea una nueva ventana del navegador con la URL del sistema dealmacenamiento.

Control de acceso

Flujos de proceso de single sign-on 23

9. El navegador se redirige al servidor de autenticación de Unisphere Central dondeya se autenticó el usuario.

10. El navegador se redirige nuevamente a la página de descarga de Unisphere, seestablece una sesión con el sistema de almacenamiento y se usa el nuevo vale deservicio.

11. Unisphere se descarga y se le crea una instancia.

12. El usuario comienza a administrar/monitorear el sistema de almacenamiento.

Acceso a sistemas de almacenamiento asociados con Unisphere Central

1. El usuario inicia un navegador web en una estación de trabajo de administración yespecifica la dirección de red de un sistema de almacenamiento como la URL.

2. El navegador se redirige al servicio de inicio de sesión local de Unisphere Central yse muestra al usuario una pantalla de inicio de sesión.

3. El usuario escribe y envía las credenciales de inicio de sesión de LDAP. El nombrede usuario tiene el formato <LDAP DOMAIN>/username.

4. Se establece un token de sesión como una cookie y el sistema redirige elnavegador nuevamente a la URL original que se especificó.

5. El navegador descarga el contenido de Unisphere y se crea una instancia deUnisphere.

6. A continuación, el usuario abre otra ventana o pestaña del navegador web yespecifica la dirección de red de otro sistema de almacenamiento como la URL.

7. El navegador se redirige al servidor de autenticación de Unisphere Central donde elusuario ya se autenticó. Se obtiene un nuevo vale de servicio.

8. El navegador se redirige nuevamente a la página de descarga de Unisphere, seestablece una sesión con el segundo sistema de almacenamiento y se usa el nuevovale de servicio.

9. Se descarga Unisphere para el segundo sistema de almacenamiento y se le creauna instancia.

10. El usuario comienza a administrar/monitorear el segundo sistema dealmacenamiento.

Inicio de sesión en un sistema de almacenamiento localCuando se usa una cuenta local o cuando la conectividad con el servidor deautenticación de Unisphere Central no está disponible, puede iniciar sesión en unsistema de almacenamiento local mediante el servidor de autenticación que reside enel sistema en lugar del inicio de sesión por medio de Unisphere Central. Existen dosformas de iniciar sesión localmente en el sistema de almacenamiento:

l Cuando el navegador se redirige al servidor de autenticación de Unisphere Central,está disponible una opción que permite al usuario redirigirse al sistema e iniciarsesión localmente.

l Si Unisphere Central está inaccesible, se puede usar la siguiente sintaxis URL paranavegar o acceder al sistema e iniciar sesión localmente: https://<storagesystemIP>?casHome=LOCAL

donde IP es la dirección IP del sistema de almacenamiento.

Control de acceso


Single sign-on y compatibilidad con NATSingle sign-on no es compatible con una configuración NAT. Además, NAT no escompatible con el inicio de sesión local por medio de Unisphere en el sistema dealmacenamiento.

Seguridad en los objetos de los sistemas de archivosEn un ambiente multiprotocolo, la política de seguridad se configura en el nivel delsistema de archivos y es independiente para cada sistema de archivos. Cada sistemade archivos usa su política de acceso para determinar cómo conciliar las diferenciasentre las semánticas de control de acceso de NFS y SMB. La selección de una políticade acceso determina el mecanismo que se utiliza para aplicar la seguridad de archivosen el sistema de archivos específico.

AVISO

Si no es necesario admitir el protocolo SMB1 más antiguo en su ambiente, puededeshabilitarlo mediante el comando de servicio svc_nas. Para obtener másinformación sobre este comando de servicio, consulte las Notas técnicas de loscomandos de servicio.

Modelo de seguridad de UNIXCuando se selecciona la política de UNIX, no se hace caso de los intentos demodificación de la seguridad en el nivel de archivos desde el protocolo SMB, como lamodificación de las listas de control de acceso (ACL). A los derechos de acceso deUNIX se les denomina los bits de modo o la ACL de NFSv4 de un objeto del sistema dearchivos. Los bits de modo se representan mediante una cadena de bits. Cada bitequivale a un modo o derecho de acceso otorgado al usuario que posee el archivo, algrupo asociado con el objeto del sistema de archivos y a todos los demás usuarios. Losbits de modo de UNIX se representan como tres conjuntos de triadas rwx (lectura,escritura y ejecución) concatenadas para cada categoría de usuarios (usuario, grupo uotro). Una ACL es una lista de usuarios y grupos de usuarios mediante la cual secontrola el acceso a servicios y la negación de estos.

Modelo de seguridad de WindowsEl modelo de seguridad de Windows se basa principalmente en derechos de objetos, locual implica el uso de un descriptor de seguridad (SD) y de su ACL. Cuando seselecciona la política de SMB, no se hace caso de las modificaciones a los bits de mododesde el protocolo NFS.

El acceso a un objeto del sistema de archivos se basa en si los permisos seconfiguraron en Permitir o Rechazar mediante el uso de un descriptor de seguridad. ElSD describe el propietario del objeto y los SID de grupo para el objeto, junto con susACL. Una ACL es parte del descriptor de seguridad de cada objeto. Cada ACL contieneentradas de control de acceso (ACE). A su vez, cada ACE contiene un único SID queidentifica a un usuario, un grupo o una computadora, y una lista de derechos que serechazan o se permiten para ese SID.

Control de acceso

Single sign-on y compatibilidad con NAT 25

Acceso a sistemas de archivos en un ambientemultiprotocolo

El acceso a archivos se proporciona a través de servidores NAS. Un servidor NAScontiene un conjunto de sistemas de archivos donde están almacenados los datos. Elservidor NAS proporciona acceso a estos datos para los protocolos de archivos NFS ySMB mediante el uso compartido de los sistemas de archivos a través de recursoscompartidos SMB y NFS. El modo del servidor NAS para el uso compartidomultiprotocolo permite el uso compartido de los mismos datos entre SMB y NFS. Dadoque el modo de uso compartido multiprotocolo ofrece acceso simultáneo de SMB yNFS a un sistema de archivos, el mapeo de usuarios de Windows a usuarios de UNIX yla definición de las reglas de seguridad que se deben utilizar (bits de modo, ACL einformación del usuario) se deben tener en cuenta y configurar correctamente para eluso compartido multiprotocolo.

Nota

Para obtener información acerca de la configuración y la administración deservidores NAS con respecto al uso compartido multiprotocolo, el mapeo de usuarios,las políticas de acceso y la información del usuario, consulte la ayuda en línea deUnisphere y la Guía del usuario de la CLI de Unisphere.

Mapeo de usuariosEn un contexto multiprotocolo, un usuario de Windows se debe asociar a un usuario deUNIX. Sin embargo, un usuario de UNIX se debe mapear a un usuario de Windowssolamente cuando la política de acceso es Windows. Esta coincidencia es necesariapara que se pueda aplicar la seguridad del sistema de archivos, incluso si no es nativapara el protocolo. Los siguientes componentes son parte del mapeo de usuarios:

l Servicios de directorio de UNIX, archivos locales o ambos

l Solucionadores de Windows

l Mapeo seguro (secmap): Una caché que contiene todos los mapeos entre SID yUID o GID que usa un servidor NAS.

l ntxmap

Nota

El mapeo de usuarios no afecta a los usuarios o los grupos que son locales en elservidor SMB.

Servicios de directorio de UNIX y archivos localesLos servicios de directorio de UNIX (UDS) y los archivos locales se usan para realizarlo siguiente:

l Devuelven el nombre de cuenta de UNIX correspondiente para un identificador deusuario (UID) específico.

l Devuelven el UID y el ID de grupo (GID) primario correspondientes para un nombrede cuenta de UNIX específico.

Los servicios compatibles son:

l LDAP

Control de acceso


l NIS

l Archivos locales

l Ninguno (el único mapeo posible es a través del usuario predeterminado)

Cuando está activado el uso compartido multiprotocolo, debe estar activado un UDS,los archivos locales o ambos para el servidor NAS. La propiedad del servicio dedirectorio de UNIX del servidor NAS determina lo que se utiliza para el mapeo deusuarios.

Solucionadores de WindowsLos solucionadores de Windows se usan para realizar lo siguiente para el mapeo deusuarios:

l Devuelven el nombre de cuenta de Windows correspondiente para un identificadorde seguridad (SID) específico

l Devuelven el SID correspondiente para un nombre de cuenta de Windowsespecífico

Los solucionadores de Windows son:

l La controladora de dominio (DC) del dominio

l Base de datos del grupo local (LGDB) del servidor SMB

secmapLa función de secmap es almacenar todos los mapeos de SID a UID y GID primario y deUID a SID con el fin de garantizar la coherencia en todos los sistemas de archivos delservidor NAS.

ntxmapntxmap se usa para asociar una cuenta de Windows a una cuenta de UNIX cuando elnombre es diferente. Por ejemplo, si hay un usuario con una cuenta denominadaGerald en Windows, pero la cuenta en UNIX se llama Gerry, se usa ntxmap paraestablecer la correlación entre ambas cuentas.

Mapeo de SID a UID, GID primarioLa siguiente secuencia es el proceso que se usa para resolver un mapeo de SID a UID,GID primario:

1. El SID se busca en secmap. Si el SID se encuentra, el mapeo del UID y el GID seresuelve.

2. Si el SID no se encuentra en secmap, se debe buscar el nombre de Windowsrelacionado con el SID.

a. El SID se busca en las bases de datos del grupo local de los servidores SMB deNAS. Si el SID se encuentra, el nombre de Windows relacionado es el nombrede usuario local junto con el nombre del servidor SMB.

b. Si el SID no se encuentra en la base de datos del grupo local, se busca en la DCdel dominio. Si el SID se encuentra, el nombre de Windows relacionado es elnombre de usuario. Si el SID no se puede resolver, se niega el acceso.

3. El nombre de Windows se traduce a un nombre de UNIX. Para esto se utilizantxmap.

a. Si el nombre de Windows se encuentra en ntxmap, la entrada se utiliza como elnombre de UNIX.

b. Si el nombre de Windows no se encuentra en ntxmap, el nombre de Windows seutiliza como el nombre de UNIX.

4. Se busca en el UDS (servidor NIS, servidor LDAP o archivos locales) mediante elnombre de UNIX.

Control de acceso

Mapeo de usuarios 27

a. Si el nombre de usuario de UNIX se encuentra en el UDS, el mapeo de UID yGID se resuelve.

b. Si el nombre de UNIX no se encuentra, pero la función de mapeo automático delas cuentas de Windows sin mapear está activada, el UID se asignaautomáticamente.

c. Si el nombre de usuario de UNIX no se encuentra en el UDS, pero hay unacuenta predeterminada de UNIX, el mapeo de UID y GID se resuelve en el de lacuenta predeterminada de UNIX.

d. Si el SID no se puede resolver, se niega el acceso.

Si el mapeo se encuentra, se agrega en la base de datos persistente de secmap. Si nose encuentra, el mapeo fallido se agrega en la base de datos persistente de secmap.

En el siguiente diagrama se ilustra el proceso que se utiliza para resolver un mapeo deSID a un UID, GID primario:

Control de acceso


Figura 1 Proceso para resolver un mapeo de un SID a un UID, GID primario

SID secmap UID yGID primario

¿Ensecmap?

Sí

¿En la base de datos del

grupo local?

¿Enla controladora

de dominio?

Nombre de Windows utilizado para acceso

solo a SMB

Nombrede Windows

SID desconocido Acceso denegado

¿En ntxmap?

NoNombre de Windows =

Nombre de UNIX

¿En archivos locales o UDS?

Sí

Sí SíNombre de

UNIX

UID yGID primario

Sí

No

No

No No

¿Mapeoautomático?

UID yGID primario

Sí

No

¿Cuenta predeterminada

de UNIX?UID y

GID primario

No

Sí

Mapeo fallido Acceso denegado

Control de acceso


Mapeo de UID a SIDLa siguiente secuencia es el proceso que se usa para resolver un mapeo de UID a unSID:

1. El UID se busca en secmap. Si el UID se encuentra, el mapeo de SID se resuelve.

2. Si el UID no se encuentra en secmap, se debe buscar el nombre de UNIXrelacionado con el UID.

a. Se busca en el UDS (servidor NIS, servidor LDAP o archivos locales) medianteel UID. Si el UID se encuentra, el nombre de UNIX relacionado es el nombre deusuario.

b. Si el UID no se encuentra en el UDS, pero hay una cuenta predeterminada deWindows, el UID se mapea al SID de la cuenta predeterminada de Windows.

3. Si la información de la cuenta predeterminada de Windows no se utiliza, el nombrede UNIX se traduce a un nombre de Windows. Para esto se utiliza ntxmap.

a. Si el nombre de UNIX se encuentra en ntxmap, la entrada se utiliza como elnombre de Windows.

b. Si el nombre de UNIX no se encuentra en ntxmap, el nombre de UNIX se utilizacomo el nombre de Windows.

4. Se busca en la controladora de dominio de Windows o en la base de datos delgrupo local mediante el nombre de Windows.

a. Si el nombre de Windows se encuentra, el mapeo de SID se resuelve.

b. Si el nombre de Windows contiene un punto y la parte del nombre tras el últimopunto (.) coincide con un nombre de servidor SMB, se busca en la base dedatos del grupo local de ese servidor SMB para resolver el mapeo de SID.

c. Si el nombre de Windows no se encuentra, pero hay una cuentapredeterminada de Windows, el SID se mapea al de esa cuenta predeterminadade Windows.

d. Si el SID no se puede resolver, se niega el acceso.

Si el mapeo se encuentra, se agrega en la base de datos persistente de Secmap. Si nose encuentra, el mapeo fallido se agrega en la base de datos persistente de secmap.

En el siguiente diagrama se ilustra el proceso que se utiliza para resolver un mapeo deUID a un SID:

Control de acceso


Figura 2 Proceso que se utiliza para resolver un mapeo de un UID a un SID

UID secmap SID¿Ensecmap?

Sí

¿En archivos localeso UDS?

Nombrede UNIX ¿En

ntxmap?

NoNombre de Windows =

Nombre de UNIX

¿Enla controladora

de dominio?

Sí SíNombre

de Windows

SIDSí

No No

¿En la basede datos delgrupo local?

SIDSí

No

SID

No

¿Cuenta predeterminadade Windows?

Sí

No

UID irresoluble Acceso denegado

Control de acceso


Políticas de acceso para NFS, SMB y FTPEn un ambiente multiprotocolo, el sistema de almacenamiento usa políticas de accesodel sistema de archivos para administrar el control de acceso de los usuarios a sussistemas de archivos. Existen dos tipos de seguridad, UNIX y Windows.

Para la autenticación de seguridad de UNIX, la credencial se crea a partir de losservicios de directorio de UNIX (UDS), excepto para el acceso NFS no seguro, en elcual el cliente de host la proporciona. Los derechos de usuario se determinan a partirde los bits de modo y la ACL de NFSv4. Los identificadores de usuario y de grupo (UIDy GID, respectivamente) se usan para la identificación. No hay privilegios asociadoscon la seguridad de UNIX.

En el caso de la autenticación de seguridad de Windows, la credencial se crea a partirde la controladora de dominio de Windows y la base de datos del grupo local (LGDB)del servidor de SMB. Los derechos de usuario se determinan según las ACL de SMB.El identificador de seguridad (SID) se usa para la identificación. La LGDB o el objeto depolítica de grupo (GPO) del servidor SMB otorgan los privilegios asociados a laseguridad de Windows, como Tomar posesión, Respaldar y Restaurar.

La tabla siguiente describe las políticas de acceso que definen la seguridad que usanlos distintos protocolos:

Políticadeacceso

Descripción

Nativa(valorpredeterminado)

l Cada protocolo administra el acceso con su seguridad nativa.

l La seguridad de los recursos compartidos NFS usa la credencial de UNIXasociada con la solicitud para comprobar los bits de modo de UNIX de NFSv3o la ACL de NFSv4. El acceso se concede o se rechaza.

l La seguridad de los recursos compartidos SMB usa la credencial de Windowsasociada con la solicitud para comprobar la ACL de SMB. El acceso seconcede o se rechaza.

l Los bits de modo de UNIX de NFSv3 y los cambios de permisos de la ACL deNFSv4 se sincronizan entre sí.

l No hay ninguna sincronización entre los permisos de Unix y Windows.

Windows l Protege el acceso en el nivel de archivo para Windows y UNIX mediante laseguridad de Windows.

l Usa una credencial de Windows para comprobar la ACL de SMB.

l Los permisos para archivos creados recientemente se determinan medianteuna conversión de la ACL de SMB. Los cambios de permisos de la ACL deSMB se sincronizan con los bits de modo de UNIX de NFSv3 o la ACL deNFSv4.

l Se deniegan los cambios de permisos en los bits de modo de NFSv3 y la ACLde NFSv4.

UNIX l Protege el acceso en el nivel de archivo para Windows y UNIX mediante laseguridad de UNIX.

l Tras la solicitud de acceso de SMB, la credencial de UNIX creada desde losarchivos locales o el UDS se usa para comprobar los bits de modo de NFSv3 ola ACL de NFSv4 en búsqueda de permisos.

Control de acceso


Políticadeacceso

Descripción

l Los permisos de los archivos creados recientemente se determinan mediantela UMASK.

l Los cambios de permisos de los bits de modo de UNIX de NFSv3 o la ACL deNFSv4 se sincronizan con la ACL de SMB.

l Se permiten los cambios de permisos en la ACL de SMB a fin de evitar lainterrupción, pero estos permisos no se conservan.

En el caso de FTP, la autenticación con Windows o UNIX depende del formato delnombre de usuario que se usa cuando se realiza la autenticación en el servidor NAS. Sise usa la autenticación de Windows, el control de acceso de FTP es similar al de SMB;de lo contrario, la autenticación es similar a la de NFS. Los clientes FTP y SFTP seautentican cuando se conectan al servidor NAS. Puede ser una autenticación de SMB(cuando el formato del nombre de usuario es domain\user o user@domain) o unaautenticación de UNIX (para los otros formatos de nombre de usuario único). Lacontroladora de dominio de Windows del dominio definido en el servidor NAS garantizala autenticación de SMB. El servidor NAS garantiza la autenticación de UNIX deacuerdo con la contraseña cifrada almacenada en un servidor LDAP remoto, unservidor NIS remoto o el archivo password local del servidor NAS.

Credenciales para la seguridad en el nivel de archivosPara aplicar la seguridad en los archivos, el sistema de almacenamiento debe crear unacredencial que se asocie a la solicitud SMB o NFS que se maneja. Hay dos tipos decredenciales, Windows y UNIX. El servidor NAS crea las credenciales de UNIX y deWindows para los siguientes casos de uso:

l Para crear una credencial de UNIX con más de 16 grupos para una solicitud deNFS. Con el fin de ofrecer esta capacidad, se debe configurar la propiedad decredencial extendida del servidor NAS.

l Para crear una credencial de UNIX para una solicitud de SMB cuando la política deacceso para el sistema de archivos es UNIX.

l Para crear una credencial de Windows para una solicitud de SMB.

l Para crear una credencial de Windows para una solicitud de NFS cuando la políticade acceso para el sistema de archivos es Windows.

Nota

Para una solicitud de NFS cuando la propiedad de credencial extendida no estáconfigurada, se utiliza la credencial de UNIX de la solicitud de NFS. Cuando se usa laautenticación Kerberos para una solicitud de SMB, la credencial de Windows delusuario del dominio se incluye en el vale de Kerberos de la solicitud de configuración dela sesión.

Una caché de credenciales persistente se usa para lo siguiente:

l Credenciales de Windows creadas para el acceso a un sistema de archivos quetiene una política de acceso de Windows.

l Credencial de UNIX para acceso a través de NFS si está activada la opción decredencial extendida.

Hay una instancia de caché para cada servidor NAS.

Control de acceso

Credenciales para la seguridad en el nivel de archivos 33

Concesión de acceso a usuarios no mapeadosEl ambiente multiprotocolo requiere lo siguiente:

l Un usuario de Windows debe estar mapeado a un usuario de UNIX.l Un usuario de UNIX debe estar mapeado a un usuario de Windows de modo que se

cree la credencial de Windows cuando el usuario acceda a un sistema de archivosque tenga una política de acceso de Windows.

Hay dos propiedades asociadas al servidor NAS con respecto a los usuarios nomapeados:

l El usuario de UNIX predeterminado.l El usuario de Windows predeterminado.

Cuando un usuario no mapeado de Windows intenta conectarse a un sistema dearchivos multiprotocolo y está configurada la cuenta de usuario predeterminada deUNIX para el servidor NAS, se usan el identificador de usuario (UID) y el ID de grupo(GID) primario del usuario predeterminado de UNIX en la credencial de Windows. Demanera similar, cuando un usuario no mapeado de UNIX intenta conectarse a unsistema de archivos multiprotocolo y está configurada la cuenta de usuariopredeterminada de Windows para el servidor NAS, se usa la credencial de Windows delusuario predeterminado de Windows.

AVISO

Si el usuario predeterminado de UNIX no está configurado en los servicios dedirectorio de UNIX (UDS), se niega el acceso de SMB para los usuarios no mapeados.Si el usuario predeterminado de Windows no se encuentra en la controladora dedominio de Windows ni en la LGDB, se niega el acceso de NFS para los usuarios nomapeados en un sistema de archivos que tiene una política de acceso de Windows.

Nota

El usuario de UNIX predeterminado puede ser un nombre de cuenta de UNIX existentey válido o seguir el formato nuevo @uid=xxxx,gid=yyyy@, donde xxxx e yyyy sonlos valores numéricos decimales del UID y del GID primario, respectivamente, loscuales se pueden configurar en el sistema mediante Unisphere o la CLI.

Credencial de UNIX para solicitudes NFSPara manejar las solicitudes de NFS para un sistema de archivos solo NFS omultiprotocolo con una política de acceso de UNIX o nativa, se debe utilizar unacredencial de UNIX. La credencial de UNIX está siempre incorporada en cada solicitud;sin embargo, está limitada a 16 grupos adicionales. La propiedadextendedUnixCredEnabled del servidor NFS ofrece la capacidad de crear unacredencial con más de 16 grupos. Si se configura esta propiedad, se consulta al UDSactivo con el UID para obtener el GID primario y todos los GID de grupo a los cualespertenece. Si el UID no se encuentra en el UDS, se usa la credencial de UNIXincorporada en la solicitud.

Nota

Para el acceso seguro de NFS, la credencial se crea siempre mediante UDS.

Credencial de UNIX para solicitudes SMBPara manejar las solicitudes de SMB para un sistema de archivos multiprotocolo conuna política de acceso de UNIX, primero se debe crear una credencial de Windowspara el usuario de SMB en el momento de la configuración de la sesión. El SID delusuario de Windows se utiliza para buscar el nombre en AD. A continuación, ese

Control de acceso


nombre se utiliza (opcionalmente a través de ntxmap) para buscar un UID y un GID deUnix desde el UDS o el archivo local (archivo passwd). El UID del propietario delusuario se incluye en la credencial de Windows. Cuando se accede a un sistema dearchivos con una política de acceso de UNIX, el UID del usuario se utiliza paraconsultar los UDS de modo que se cree la credencial de UNIX, lo que se asemeja a lacreación de una credencial extendida para NFS. El UID se requiere para laadministración de cuotas.

Credencial de Windows para solicitudes SMBPara manejar las solicitudes de SMB para un sistema de archivos solo SMB omultiprotocolo con una política de acceso de Windows o nativa, se debe utilizar unacredencial de Windows. La credencial de Windows para SMB solo tiene que crearseuna vez en el momento en que se solicita la configuración de la sesión cuando seconecta el usuario.

Cuando se usa la autenticación Kerberos, la credencial del usuario se incluye en el valede Kerberos de la solicitud de configuración de la sesión, a diferencia de cuando se usaNT LAN Manager (NTLM). Otra información se consulta al DC de Windows o a laLGDB. Para Kerberos, la lista de SID de grupos adicionales se obtiene del vale deKerberos y la lista de SID de grupos locales adicionales. La lista de privilegios seobtiene de la LGDB. Para NTLM, la lista de SID de grupos adicionales se obtiene de laDC de Windows y la lista de SID de grupos locales adicionales. La lista de privilegios seobtiene de la LGDB.

Además, el UID y el GID primario correspondientes también se recuperan delcomponente de mapeo de usuarios. Dado que el SID del grupo primario no se usa paracomprobar el acceso, en su lugar se usa el GID primario de UNIX.

Nota

NTLM es una suite más antigua de protocolos de seguridad de propiedad queproporciona autenticación, integridad y confidencialidad a los usuarios. Kerberos es unprotocolo estándar abierto que ofrece una autenticación más rápida mediante unsistema de vales. Kerberos brinda mayor seguridad que NTLM para los sistemas queestán en una red.

Credencial de Windows para solicitudes NFSLa credencial de Windows solo se crea o se recupera cuando un usuario intenta, através de una solicitud de NFS, acceder a un sistema de archivos que tiene una políticade acceso de Windows. El UID se obtiene de la solicitud NFS. Hay una caché global decredenciales de Windows que ayuda a evitar la creación de la credencial en cadasolicitud NFS con un tiempo de retención asociado. Si la credencial de Windows seencuentra en esta caché, no se requiere ninguna otra acción. Si la credencial deWindows no se encuentra, se consultan los UDS o el archivo local para buscar elnombre correspondiente al UID. A continuación, el nombre se utiliza (opcionalmente através de ntxmap) para buscar un usuario de Windows y la credencial se recuperadesde la DC de Windows o la LGDB. Si el mapeo no se encuentra, se usa en su lugar lacredencial de Windows del usuario de Windows predeterminado o se niega el acceso.

NFS seguroNFS seguro consiste en usar Kerberos para autenticar los usuarios con NFSv3 yNFSv4. Kerberos proporciona integridad (firma) y privacidad (cifrado). No es precisohabilitar la integridad ni la privacidad, sino que son opciones de exportación de NFS.

Sin Kerberos, el servidor depende por completo del cliente para autenticar losusuarios: el servidor confía en el cliente. No ocurre lo mismo con Kerberos, en cuyo

Control de acceso

NFS seguro 35

caso el servidor confía en el centro de distribución de claves (KDC). El KDC se ocupade manejar la autenticación y administrar tanto las cuentas (principales) como lacontraseña. Es más, no se envía por vía electrónica ninguna contraseña en ningúnformulario.

Sin Kerberos, la credencial del usuario se envía sin cifrar por vía electrónica y, por lotanto, puede suplantarse con facilidad. Con Kerberos, la identidad (principal) delusuario se incluye en el vale cifrado de Kerberos, el cual pueden leer solo el servidor dedestino y el KDC. Son los únicos que conocen la clave de cifrado.

En combinación con el NFS seguro, son compatibles los cifrados AES128 y AES256 enKerberos. Junto con el NFS seguro, eso también repercute en SMB y LDAP. Estoscifrados ya son compatibles en forma predeterminada con Windows y Linux. Estosnuevos cifrados son mucho más seguros, pero su uso queda a discreción del cliente. Apartir de ese principal de usuario, el servidor crea la credencial de dicho usuariorealizando una consulta en el UDS activo. Como NIS no está protegido, no serecomienda utilizarlo con el NFS seguro. Se recomienda usar Kerberos con LDAP oLDAPS.

El NFS seguro puede configurarse por medio de Unisphere o de la CLI de UEM.

Relaciones con los protocolos de archivosCon Kerberos, se necesita lo siguiente:

l DNS: debe usar el nombre de DNS en lugar de direcciones IP

l NTP: todos los participantes deben estar sincronizados a tiempo

l UDS: sirve para crear las credenciales

l Nombre de host: Kerberos funciona con nombres, no con direcciones IP

El NFS seguro utiliza un SPN o dos en función del valor del nombre de host. Si es elnombre de host tiene el formato de nombre de dominio calificado host.dominio:

l SPN corto: nfs/host@DOMINIO

l SPN largo: nfs/host.nombredominiocalificado@DOMINIO

Si el nombre de host no tiene el formato de nombre de dominio calificado, solo seusará el SPN corto.

De manera similar a lo que ocurre con SMB, si es posible unir un servidor de SMB a undominio, también lo es unir un servidor de NFS a un dominio (el equivalente enKerberos). Para hacerlo, existen dos opciones:

l Utilizar el dominio de Windows configurado (si lo hay)

l Configuración completa de un dominio de Kerberos basado en el KDC de UNIX

Si el administrador decide utilizar el dominio de Windows configurado, no hay quehacer nada más. Todos los SPN que utiliza el servicio de NFS se agregan al KDC o sequitan de él de forma automática al unir o desvincular el servidor de SMB. Tenga encuenta que el servidor de SMB no puede destruirse si el NFS seguro está configuradopara usar la configuración de SMB.

Si el administrador decide utilizar un dominio de Kerberos basado en UNIX, se requieremás configuración:

l Nombre de dominio: nombre del dominio de Kerberos, cuyas letras están, por logeneral, en mayúscula.

l Configuración completa de un dominio de Kerberos basado en el KDC de UNIX.

Para asegurarse de que el cliente monta la exportación de NFS con una seguridadconcreta, se proporciona el parámetro de seguridad sec, el cual indica la seguridadmínima permitida. Hay cuatro clases de seguridad:

Control de acceso


l AUTH_SYS: seguridad estándar existente que no utiliza Kerberos; el servidorconfía en la credencial proporcionada por el cliente

l KRB5: autenticación mediante Kerberos versión 5

l KRB5i: autenticación con Kerberos y con integridad (firma)

l KRB5p: autenticación con Kerberos y con integridad y privacidad (cifrado)

Si el cliente de NFS intenta montar la exportación con una seguridad inferior a laseguridad mínima configurada, se denegará el acceso. Por ejemplo, si el acceso mínimoes KRB5i, se rechazará cualquier montaje con AUTH_SYS o KRB5.

Creación de credencialesCuando el usuario se conecta al sistema, presenta solo su principal,usuario@DOMINIO, que se extrae del vale de Kerberos. A diferencia de la seguridadAUTH_SYS, la credencial no se incluye en la solicitud de NFS. La parte del usuario(antes del símbolo @) se extrae del principal y se utiliza para consultar el UIDcorrespondiente en el UDS. A partir de ese UID, el sistema crea la credencial usandoel UDS activo, de modo similar a cuando está habilitada la credencial extendida de NFS(con la excepción de que, sin Kerberos, la solicitud proporciona directamente el UID).

Si el principal no está mapeado en el UDS, se utiliza en su lugar la credencial delusuario de UNIX predeterminada configurada. Si no está configurado el usuario deUNIX predeterminado, se utilizará la credencial nobody.

ReplicaciónCuando el objetivo de la replicación es un servidor de NAS, cabe la posibilidad deacceder a los datos a través de NFS para el respaldo o la recuperación de desastres.El NFS seguro no puede utilizarse en estos casos, ya que no es compatible conKerberos el uso de direcciones IP directas. Tampoco puede usarse el nombre dedominio calificado porque puede resolverse en las interfaces de producción del origeno en las interfaces locales del destino.

Control de acceso dinámicoEl control de acceso dinámico permite a los administradores aplicar a los recursospermisos y restricciones de control de acceso según reglas bien definidas que puedenincluir la confidencialidad de los recursos, el trabajo o la función del usuario y laconfiguración del dispositivo utilizado para acceder a esos recursos.

El control de acceso basado en reclamaciones de control de acceso dinámico es unafunción de Windows Server 2012 que permite definir el control de acceso en elcontrolador de dominio mediante un conjunto de directivas (políticas) de accesocentral. Cada una de estas políticas (con un identificador propio) tiene asociadasvarias reglas de acceso central. Las políticas pueden asignarse a los objetos depolíticas de grupos. Este es el mecanismo utilizado para distribuir las políticas a cadaservidor de archivos. La política aplicable a cada recurso (esto es, un directorio o unarchivo) se determina por su identificador. Al crear el servidor NAS con recursoscompartidos de Windows (SMB), se eligen la política y las reglas correctas cuando seune al dominio.

Cada regla de acceso central posee los atributos siguientes:

l Expresión del destino de los recursos

l Lista de control de acceso (ACL) de permisos actuales

l ACL de permisos propuestos (opcional)

La expresión del destino de los recursos (expresión de aplicabilidad) se evalúa paradeterminar si la regla es aplicable o no a un recurso determinado (por ejemplo,@Resource.Department != @User.Department). Si la expresión se evalúa como

Control de acceso

Control de acceso dinámico 37

verdadera, se utiliza la ACL de permisos actuales durante la comprobación del acceso;si no, se omite la regla. La ACL de permisos propuestos permite al administrador ver elefecto de los cambios propuestos en los permisos actuales. Cuando se activa laevaluación de permisos propuestos, se registran (en el registro del servidor) lasdiferencias entre los permisos actuales y los propuestos durante la comprobación delacceso.

Si hace falta, puede utilizarse un cliente de Windows (Windows Server 2012 oWindows 8.x) para asociar a los recursos (esto es, directorios o archivos) una directivade acceso central, aunque es opcional. Cuando se hace esto, el servidor NAS aplica lapolítica especificada a los recursos pertinentes. También puede utilizarse un cliente deWindows para ejecutar la clasificación manual de los recursos (por ejemplo,configuración de país o departamento).

El control de acceso basado en reclamaciones de control de acceso dinámico estáactivado en el sistema de almacenamiento de manera predeterminada; sin embargo, elcomando de servicio svc_dac permite hacer lo siguiente:

l Habilitar o deshabilitar la función de control de acceso dinámico: cuando sedeshabilita, se omite la política asociada al recurso (es decir, solo determina elacceso la ACL discrecional).

l Habilitar o deshabilitar la evaluación de permisos propuestos. Cada regla de controlde acceso puede tener permisos propuestos, los cuales se distribuyen a losservidores de archivos. Por lo general, no se evalúan solo estos permisos. Elcomando svc_dac puede utilizarse para habilitar la evaluación de estos permisos.Después de habilitarlo, las diferencias entre los permisos reales y los propuestos seenvían al registro del servidor. La evaluación de permisos propuestos permiteprobar con seguridad los cambios en las reglas propuestos.

l Consultar las políticas o las reglas de control de acceso asociadas al nombre decomponente del servidor NAS (por nombre completo o por identificador).

l Agregar o quitar reglas de recuperación personalizadas (para reemplazar la reglade recuperación predeterminada).

l Controlar el grado de detalle del registro producido por el control de accesodinámico con fines de diagnóstico.

Para obtener información detallada acerca del comando svc_dac, consulte Notastécnicas de los comandos de servicio de la familia EMC Unity.

Control de acceso


CAPÍTULO 3

Registro

En este capítulo se describen diversas funciones de registro implementadas en elsistema de almacenamiento.


l Registro............................................................................................................. 40l Opciones de registro remoto.............................................................................. 41

Registro 39

RegistroEl sistema de almacenamiento mantiene los tipos de registro que se enumeran en lasiguiente tabla para rastrear los eventos que ocurren en el sistema.

Tabla 8 Registros

Tipo deregistro

Descripción

Registro delsistema

Información que se muestra en Unisphere para notificar a los usuarios sobre loseventos del sistema de almacenamiento que pueden ser operados por el usuario.El idioma de estos registros corresponderá con la configuración de idiomapredeterminado especificada para el sistema.

Nota

Los eventos que pueden ser operados por el usuario incluyen eventos deauditoría. Sin embargo, no todos los eventos registrados aparecen en la GUI. Elsistema registra las entradas del registro de auditoría que no cumplen con ciertoumbral de gravedad, pero estas no aparecen en la GUI.

Alerta delsistema

Información que usa el personal de servicio para diagnosticar y monitorear elcomportamiento o el estado del sistema de almacenamiento. Estos registros seregistran en inglés solamente.

Visualización y administración de logsLas características de registro que se enumeran en la siguiente tabla se encuentrandisponibles para sistemas de almacenamiento.

Tabla 9 Funciones de registro

Característica Descripción

Sustitución de logs Cuando el sistema de registros del sistema de almacenamientoacumula dos millones de entradas de registro, depura las500,000 entradas más antiguas (según la hora en que se crearonlos registros) para volver a 1,500,000 entradas de registro. Paraarchivar las entradas de registro, usted puede habilitar el registroremoto de modo que estas se carguen en un nodo de red remotodonde se pueden archivar o respaldar. En la sección Registro en lapágina 40, se aporta más información.

Niveles de registro No se pueden configurar los niveles de registro para el sistema dealmacenamiento. Los niveles de registro solo pueden configurarsepara los archivos de registro exportados, según se describe en lasección Registro en la página 40.

Integración de alertas Puede ver la información de las alertas del sistema dealmacenamiento de las siguientes maneras:

l Ver alertas solamente:

n En Unisphere, vaya a Eventos > Alertas.

l Ver eventos de registro:

Registro


Tabla 9 Funciones de registro (continuación)

Característica Descripción

n En la CLI de Unisphere, escriba el comando uemcli /event/alert/hist show.

n En Unisphere, vaya a Sistema > Servicio > Registros.

Administración externade logs

Para archivar las entradas de registro, usted puede habilitar elregistro remoto de modo que estas se carguen en un nodo de redremoto donde se pueden archivar o respaldar. Allí, puede usarherramientas como syslog para filtrar y analizar resultados de logs.En la sección Registro en la página 40, se aporta más información.

Sincronización horaria La hora de los registros se ingresa con el formato GMT y semantiene conforme a la hora del sistema de almacenamiento (queestá sincronizada con la hora de red local mediante el servidorNTP).

Opciones de registro remotoEl sistema de almacenamiento permite registrar mensajes de usuario o auditoría en unmáximo de cinco hosts remotos. Se debe poder tener acceso al host remoto desde elsistema de almacenamiento y se debe brindar seguridad para la información deregistro por medio de los controles de acceso de red o la seguridad del sistema en elhost remoto.

En forma predeterminada, el sistema de almacenamiento transfiere la información delos registros en el puerto 514 mediante UDP. Los siguientes parámetros de registroremoto se pueden configurar por medio de Unisphere. Inicie sesión en Unisphere yhaga clic en Ajustes de configuración > Administración > Registro remoto.

l Habilite el registro en hosts remotos.

l Indique el nombre de red o la dirección IP adonde el sistema de almacenamientoenvía la información para el registro remoto.

l Indique el tipo de mensajes de registro que deben enviarse. Use el campo Recursopara establecer el tipo de mensajes de registro. Se recomienda seleccionar laopción Mensajes de nivel de usuario.

l Nivel de gravedad de los eventos que se enviarán a un host remoto

l Especifique el número y el tipo (UDP o TCP) del puerto destinado a la transmisiónde los registros.

Configuración de un host para recibir mensajes de registro del sistema dealmacenamientoAntes de configurar el registro remoto para un sistema de almacenamiento, debeconfigurar cada sistema remoto para recibir mensajes de registro desde el sistema dealmacenamiento. Una raíz o un administrador de la computadora receptora puedeconfigurar el servidor syslog remoto o rsyslog para recibir información sobre el registromediante la edición del archivo de configuración del servidor syslog o rsyslog(syslogng.conf o rsyslog.conf) en el sistema remoto.

Registro

Opciones de registro remoto 41

Nota

Para obtener más información sobre la configuración y la ejecución de un servidor desyslog remoto, consulte la documentación del sistema operativo que se ejecuta en elsistema remoto.

Registro


CAPÍTULO 4

Seguridad de la comunicación

En este capítulo se describen diversas funciones de seguridad de comunicaciónimplementadas en el sistema de almacenamiento.


l Uso de los puertos..............................................................................................44l Certificado del sistema de almacenamiento....................................................... 53l Interfaces, servicios y funciones del sistema de almacenamiento compatibles con

el protocolo de Internet versión 6...................................................................... 56l Acceso a la interfaz de administración del sistema de almacenamiento mediante

IPv6................................................................................................................... 58l Configuración de la interfaz de administración mediante DHCP.........................58l Cifrado de protocolo (SMB) y la firma................................................................61l Reflejo de paquetes IP....................................................................................... 63l Multiusuario de IP.............................................................................................. 63l Soporte de administración para FIPS 140-2....................................................... 65l Compatibilidad de la administración para las comunicaciones SSL..................... 66l Soporte de administración para el modo de shell restringido (rbash)................. 66

Seguridad de la comunicación 43

Uso de los puertosLa comunicación con la interfaz de Unisphere y la interfaz de la línea de comandostiene lugar a través de HTTPS en el puerto 443. Los intentos para obtener acceso aUnisphere en el puerto 80 (vía HTTP) son automáticamente redirigidos al puerto 443.

Puertos de red del sistema de almacenamiento:

En la Tabla 10 en la página 44 se describe el conjunto de servicios de red (y suspuertos correspondientes) que puede encontrarse en el sistema de almacenamiento.

Tabla 10 Puertos de red del sistema de almacenamiento:

Servicio Protocolo Puerto Descripción

FTP TCP 21 El puerto 21 es el puerto de control en elque el servicio FTP escucha para lassolicitudes entrantes de FTP.

SFTP TCP/UDP 22 Permite notificaciones de alertamediante SFTP (FTP por medio deSSH). SFTP es un protocolo de cliente/servidor. Los usuarios pueden usar SFTPpara realizar transferencias de archivosen un sistema de almacenamiento en lasubred local. También proporcionacontrol de la conexión del FTP saliente.Si está cerrado, el FTP no estarádisponible.

SSH/SSHD, VSI TCP/UDP 22 Permite el acceso mediante elprotocolo SSH (si está habilitado).También se usa para el plug-in de VSI. Siestá cerrado, las conexiones deadministración que usan SSH no estarándisponibles y el plug-in de VSI tampocoestará disponible.

Actualización de DNS dinámico TCP/UDP 53 Se usa para transmitir consultas DNS alservidor DNS junto con el protocolo decontrol dinámico de hosts (DHCP). Siestá cerrado, la resolución de nombresde DNS no funcionará.

Cliente de DHCP UDP 67 Permite que el sistema dealmacenamiento actúe como un clienteDHCP durante el proceso deconfiguración inicial y se usa paratransmitir mensajes del cliente (sistemade almacenamiento) al servidor DHCPcon el fin de obtener automáticamenteinformación sobre la interfaz deadministración. Además, se usa paraconfigurar DHCP para la interfaz deadministración de un sistema de



Tabla 10 Puertos de red del sistema de almacenamiento: (continuación)


almacenamiento que ya se haimplementado. Si está cerrado, lasdirecciones IP dinámicas no se asignaránmediante DHCP.

Cliente de DHCP UDP 68 Permite que el sistema dealmacenamiento actúe como un clienteDHCP durante el proceso deconfiguración inicial y se usa para recibirmensajes del servidor DHCP al cliente(sistema de almacenamiento) con el finde obtener automáticamenteinformación sobre su interfaz deadministración. Además, se usa paraconfigurar DHCP para la interfaz deadministración de un sistema dealmacenamiento que ya se haimplementado. Si está cerrado, lasdirecciones IP dinámicas no se asignaránmediante DHCP.

HTTP TCP/UDP 80 Redirige el tráfico de HTTP a Unispherey la interfaz de la línea de comandos deUnisphere. Si está cerrado, el tráfico deadministración al puerto HTTPpredeterminado no estará disponible.

NAS, VAAI-NAS TCP 111 Proporciona áreas de almacenamientode datos NAS para VMware y se usapara VAAI-NAS. Si está cerrado, lasáreas de almacenamiento de datos NASy VAAI-NAS no estarán disponibles.

Portmapper, rpcbind (infraestructura dered)

TCP/UDP 111 Lo abre el servicio portmapper o rpcbindestándar, y es un servicio de red auxiliardel sistema de almacenamiento. Nopuede detenerse. Por definición, si unsistema cliente cuenta con conectividadde red al puerto, puede consultarlo. Nose realiza ninguna acción deautenticación.

NTP UDP 123 Sincronización horaria de NTP. Si estácerrado, no se sincronizará el tiempoentre los arreglos.

Llamada a procedimiento remoto DCE(DCERPC) y NDMP

UDP 135 Múltiples usos para cliente de Microsoft.También se utiliza para NDMP.

Servicio de nombres de NetBIOS (SMB) TCP/UDP 137 El servicio de nombres de NetBIOS estáasociado a los servicios de usocompartido de archivos SMB del sistemade almacenamiento y es un componenteprincipal de esa función (WINS). Si está


Puertos de red del sistema de almacenamiento: 45



deshabilitado, el puerto deshabilita todoslos servicios relacionados con SMB.

Servicio de datagramas de NetBIOS(SMB)

UDP 138 El servicio de datagramas de NetBIOSestá asociado a los servicios de usocompartido de archivos SMB del sistemade almacenamiento y es un componenteprincipal de esa función. Solo se usa elservicio de navegación. Si estádeshabilitado, el puerto deshabilita lafuncionalidad de navegación.

Servicio de sesiones de NetBIOS (SMB) TCP/UDP 139 El servicio de sesiones de NetBIOS estáasociado a los servicios de usocompartido de archivos SMB del sistemade almacenamiento y es un componenteprincipal de esa función. Si estánhabilitados los servicios de SMB, estepuerto está abierto. Se requiereespecíficamente para versionesanteriores del sistema operativoWindows (versiones anteriores aWindows 2000). Los clientes con accesolegítimo a los servicios de SMB delsistema de almacenamiento deben tenerconectividad de red al puerto para sufuncionamiento continuo.

SNMP Unix Multiplexer TCP 199 Comunicaciones de SNMP. Si estácerrado, los mecanismos de alerta delsistema de almacenamiento que sebasan en SNMP no se enviarán.

LDAP TCP/UDP 389 Consultas de LDAP no seguras. Si estácerrado, no estarán disponibles lasconsultas de autenticación LDAP noseguras. El protocolo LDAP seguro esconfigurable como alternativa.

Protocolo de ubicación de servicios(SLP)

TCP/UDP 427 Permite que los hosts (u otros recursos)descubran los servicios disponibles queproporciona un sistema dealmacenamiento.

HTTPS TCP/UDP 443 Garantiza la seguridad del tráfico deHTTP a Unisphere y la interfaz de lalínea de comandos de Unisphere. Si estácerrado, la comunicación con el arreglono estará disponible.





Nota

Para SMI-S, se usa para laadministración de arreglos; sin embargo,el puerto 5989 es el puertopredeterminado para este propósito.

SMB TCP 445 Se ofrece SMB (en controladoras dedominio) y puerto de conectividad SMBpara clientes con Windows 2000 oposteriores. Los clientes con accesolegítimo a los servicios de SMB delsistema de almacenamiento deben tenerconectividad de red al puerto para sufuncionamiento continuo. Si estádeshabilitado este puerto, sedeshabilitan todos los serviciosrelacionados con SMB. Si el puerto 139también está deshabilitado, sedeshabilita el uso compartido dearchivos SMB.

DHCP (solo IPv6) UDP 546 Cliente de DHCP (v6). Si está cerrado,las direcciones IP dinámicas no seasignarán mediante DHCP.

DHCP (solo IPv6) UDP 547 Servidor DHCP (v6). Si está cerrado, lasdirecciones IP dinámicas no se asignaránmediante DHCP.

LDAPS TCP/UDP 636 Consultas de LDAP seguras. Si estácerrado, no estarán disponibles lasconsultas de autenticación LDAPseguras.

FTP TCP 1024:65535 Usar para FTP pasivo. Puerto1024:65535 está relacionada con datos,mientras que el puerto 1025: 65535 estárelacionado con la administración.

mountd (NFS) TCP/UDP 1234 Se utiliza para el servicio de montaje,que es un componente principal delservicio de NFS (versiones 2, 3 y 4) y esun componente importante de lainteracción entre el SP y elservidor NAS.

NAS, VAAI-NAS TCP 2049 Proporciona áreas de almacenamientode datos NAS para VMware y se usapara VAAI-NAS. Si está cerrado, lasáreas de almacenamiento de datos NASy VAAI-NAS no estarán disponibles.





NFS TCP/UDP 2049 Se utiliza para proporcionar serviciosNFS.

UDI SSH TCP 2222 Redirige el tráfico desde el puerto 22para el dispositivo eth*.

iSCSI TCP 3260 Brinda acceso a los servicios iSCSI. Siestá cerrado, los servicios iSCSI basadosen archivos no estarán disponibles.

NFS TCP/UDP 4,000 Se usa para proporcionar servicios statdde NFS. statd es el monitor de estado debloqueo de archivos de NFS y funcionajunto con lockd para proporcionarfunciones de falla y recuperación paraNFS. Si está cerrado, no estándisponibles los servicios statd de NAS.

NFS TCP/UDP 4001 Se utiliza para proporcionar servicioslockd de NFS: lockd es el demonio debloqueo de archivos de NFS. Procesasolicitudes de bloqueo de clientes deNFS y funciona junto con el demoniostatd. Si está cerrado, no estándisponibles los servicios lockd de NAS.

NFS TCP/UDP 4002 Se utiliza para proporcionar serviciosrquotad de NFS. El demonio rquotadproporciona información de cuotas a losclientes de NFS que han montado unsistema de archivos. Si está cerrado, noestán disponibles los servicios rquotadde NAS.

SMB UDP 4003 Permite ver o modificar la ACL de SMBdesde un host de Linux con lasherramientas emcgetsd o emcsetsd.

Portable Archive Interchange (PAX)(servicios de respaldo)

TCP 4658 l PAX es un protocolo de archiving desistemas de almacenamiento quefunciona con formatos de cintasUNIX estándar.

l Este servicio se debe vincular amúltiples interfaces de red internasy, por consiguiente, se vinculatambién a la interfaz externa. Sinembargo, las solicitudes de entradaa través de la red externa serechazan.

l La documentación de EMC acercade respaldos incluye informacióngeneral sobre PAX. Existen distintosmódulos técnicas sobre este tema





que ofrecen información sobre unavariedad de herramientas derespaldo.

VSI TCP 5080 Este puerto es el apropiado para el plug-in de VSI. Si está cerrado, el plug-in deVSI no estará disponible.

Servicios de replicación TCP 5085 Asociado con servicios de replicación

Protocolo de interoperabilidad deadministración de claves (KMIP)

TCP 5696 Para KMIP, admite la administración declaves externa mediante KMIP. Si estácerrado, los servicios de KMIP noestarán disponibles.

SMI-S TCP 5989 Para SMI-S, se usa para laadministración de arreglos. El clienteSMI-S se conecta al arreglo medianteTCP 5989 HTTPS en SMI-S. La Guía delprogramador de SMI-S Providerproporciona más información sobrecómo configurar este servicio.

VASA TCP 8443 Es el proveedor de VASA para VASA 2.0.

VASA TCP 8444 Es el proveedor de VASA para VASA 1.0.

RCP (servicios de replicación) TCP 8888 Lo utiliza el replicador (en el ladosecundario). El replicador lo mantieneabierto tan pronto como advierte laexistencia de datos que debenreplicarse. Una vez que se inicia, no haymanera de detener el servicio.

NDMP TCP 10000 l Permite controlar el respaldo y larecuperación de servidores NDMPpor medio de una aplicación derespaldo en red, sin instalar softwarede otros fabricantes en losservidores. En los sistemas dealmacenamiento, el servidor NASfunciona como servidor NDMP.

l El servicio NDMP puededeshabilitarse si no se utiliza elrespaldo en cinta de NDMP.

l El servicio NDMP se autentica conun nombre de usuario y unacontraseña. El nombre de usuariopuede configurarse. Ladocumentación de NDMP describecómo configurar la contraseña paradistintos ambientes.





NDMP TCP 10500:10531 En las sesiones de respaldo orestauración de tres vías, losservidores NAS utilizan del puerto 10500al puerto 10531.

IWD Interno 60260 Demonio de configuración inicial de IWD.Si está cerrado, la inicialización delarreglo no estará disponible por mediode la red.

Puertos con los que se puede comunicar el sistema de almacenamiento

El sistema de almacenamiento funciona como un cliente de red en distintascircunstancias, por ejemplo, en la comunicación con un servidor LDAP. En estasinstancias, el sistema de almacenamiento inicia la comunicación y la infraestructura dered deberá ser compatible con estas conexiones. Tabla 11 en la página 50 describelos puertos a los cuales debe tener acceso el sistema de almacenamiento para que elservicio correspondiente funcione de manera correcta. Esto incluye la interfaz de lalínea de comandos de Unisphere.

Tabla 11 Conexiones de red que pueden iniciarse mediante el sistema de almacenamiento


FTP TCP 20 Es el puerto utilizado para las transferencias de datospor FTP. Este puerto se abre habilitando el protocolo FTPcomo se describe en la fila siguiente. La autenticación seejecuta en el puerto 21 y está definida por el protocolo FTP.

FTP/SFTP TCP 21 Permite notificaciones de alerta mediante SFTP (FTP pormedio de SSH). SFTP es un protocolo de cliente/servidor. Losusuarios pueden usar SFTP para realizar transferencias dearchivos en un sistema de almacenamiento en la subred local.También proporciona control de la conexión del FTP saliente.Si está cerrado, el FTP no estará disponible.

SSH/SSHD, VSI TCP 22 Permite el acceso mediante el protocolo SSH (si estáhabilitado). También se usa para el plug-in de VSI. Si estácerrado, las conexiones de administración que usan SSH yplug-in de VSI no estarán disponibles.

SMTP TCP 25 Permite que el sistema envíe un correo electrónico. Si estácerrado, las notificaciones por correo electrónico no estarándisponibles.

DNS TCP/UDP 53 Consultas de DNS. Si está cerrado, la resolución de nombresde DNS no funcionará.

DHCP UDP 67-68 Permite que el sistema de almacenamiento actúe como uncliente de DHCP. Si está cerrado, las direcciones IP dinámicasno se asignarán mediante DHCP.

HTTP TCP 80 Redirige el tráfico de HTTP a Unisphere y la interfaz de lalínea de comandos de Unisphere. Si está cerrado, el tráfico de



Tabla 11 Conexiones de red que pueden iniciarse mediante el sistema dealmacenamiento (continuación)


administración al puerto HTTP predeterminado no estarádisponible.

Kerberos TCP/UDP 88 Proporciona un vale de Kerberos saliente. Si está cerrado, noestán disponibles ni la autenticación con Kerberos ni ningunode los protocolos que la usan, entre otros, SMB, LDAP, GPO osecNFS.

Portmapper,rpcbind(infraestructura dered)

TCP/UDP 111 Lo abre el servicio portmapper o rpcbind estándar, y es unservicio de red auxiliar del sistema de almacenamiento. Nopuede detenerse. Por definición, si un sistema cliente cuentacon conectividad de red al puerto, puede consultarlo. No serealiza ninguna acción de autenticación.

NTP UDP 123 Sincronización horaria de NTP. Si está cerrado, no sesincronizará el tiempo entre los arreglos.

Servicio denombres deNetBIOS (SMB)

TCP/UDP 137 El servicio de nombres de NetBIOS está asociado a losservicios de uso compartido de archivos SMB del sistema dealmacenamiento y es un componente principal de esa función(WINS). Si está deshabilitado, el puerto deshabilita todos losservicios relacionados con SMB.

Servicio dedatagramas deNetBIOS (SMB)

UDP 138 El servicio de datagramas de NetBIOS está asociado a losservicios de uso compartido de archivos SMB del sistema dealmacenamiento y es un componente principal de esa función.Solo se usa el servicio de navegación. Si está deshabilitado, elpuerto deshabilita la funcionalidad de navegación.

Servicio desesiones deNetBIOS (SMB)

TCP/UDP 139 El servicio de sesiones de NetBIOS está asociado a losservicios de uso compartido de archivos SMB del sistema dealmacenamiento y es un componente principal de esa función.Si están habilitados los servicios de SMB, este puerto estáabierto. Se requiere específicamente para versiones anterioresdel sistema operativo Windows (versiones anteriores aWindows 2000). Los clientes con acceso legítimo a losservicios de SMB del sistema de almacenamiento deben tenerconectividad de red al puerto para su funcionamientocontinuo.

LDAP TCP/UDP 389a Consultas de LDAP no seguras. Si está cerrado, no estarándisponibles las consultas de autenticación LDAP no seguras. Elprotocolo LDAP seguro es configurable como alternativa.

Protocolo deubicación deservicios (SLP)

TCP/UDP 427 Permite que los hosts (u otros recursos) descubran losservicios disponibles que proporciona un sistema dealmacenamiento.

HTTPS TCP 443 Tráfico de HTTPS a la la interfaz de la línea de comandos deUnisphere y de soporte remoto seguro cuando ESRS estáhabilitado y ESRS integrado está configurado en el sistema dealmacenamiento. Si está cerrado, la comunicación con elarreglo no estará disponible.


Puertos con los que se puede comunicar el sistema de almacenamiento 51



Kerberos TCP/UDP 464 Proporciona el cambio y el establecimiento de la contraseñade Kerberos. Si está cerrado, afecta a SMB.

Syslog remoto UDP 514a Syslog: Registre mensajes del sistema en un host remoto.Puede configurar el puerto del host que usa el sistema.

LDAPS TCP/UDP 636a Consultas de LDAP seguras. Si está cerrado, no estarándisponibles las consultas de autenticación LDAP seguras.

VMware TCP 843 VMawareness: Permite la comunicación entre VMware SDK yvSphere. Si está cerrado, el descubrimiento de vCenter/ESXno estará disponible.

FTP TCP 1024:65535 Proporciona conexión de control de FTP saliente. Si estácerrado, el FTP no estará disponible.

SOCKS TCP 1080 El puerto 1080 es el valor predeterminado que se usa cuandono se especifica el puerto, ESRS está habilitado, ESRSintegrado está configurado en el sistema de almacenamiento yse utiliza un firewall entre el sistema de almacenamiento y unservidor proxy. Si el puerto predeterminado o el puerto queespecifica el usuario están cerrados, la comunicación con elarreglo a través del puerto no estará disponible.

mountd (NFS) TCP/UDP 1234 Se utiliza para el servicio de montaje, que es un componenteprincipal del servicio de NFS (versiones 2, 3 y 4) y es uncomponente importante de la interacción entre el SP y elservidor NAS.

NFS TCP/UDP 2049 Se utiliza para proporcionar servicios NFS.

HTTP TCP 3128 El puerto 3128 es el valor predeterminado que se usa cuandono se especifica el puerto, ESRS está habilitado, ESRSintegrado está configurado en el sistema de almacenamiento yse utiliza un firewall entre el sistema de almacenamiento y unservidor proxy. Si el puerto predeterminado o el puerto queespecifica el usuario están cerrados, la comunicación con elarreglo a través del puerto no estará disponible.

iSNS TCP 3205 Se utiliza para enviar al servidor iSNS los registros del serviciode asignación de nombres de almacenamiento por Internet deMicrosoft (iSNS).

iSCSI TCP 3260 Brinda acceso a los servicios iSCSI. Si está cerrado, losservicios iSCSI basados en archivos no estarán disponibles.

NFS TCP/UDP 4,000 Se usa para proporcionar servicios statd de NFS. statd es elmonitor de estado de bloqueo de archivos de NFS y funcionajunto con lockd para proporcionar funciones de falla yrecuperación para NFS.

NFS TCP/UDP 4001 Se usa para proporcionar servicios lockd de NFS. lockd es eldemonio de bloqueo de archivos de NFS. Procesa solicitudesde bloqueo de clientes de NFS y funciona junto con eldemonio statd.





NFS TCP/UDP 4002 Se utiliza para proporcionar servicios rquotad de NFS. Eldemonio rquotad proporciona información de cuotas a losclientes de NFS que han montado un sistema de archivos.

VSI TCP 5080 Este puerto es el apropiado para el plug-in de VSI. Si estácerrado, el plug-in de VSI no estará disponible.

KMIP TCP 5696 Para KMIP, admite la administración de claves externamediante KMIP. Si está cerrado, los servicios de KMIP noestarán disponibles.

HTTPS TCP 8443 Tráfico de HTTP para el soporte remoto seguro cuando ESRSestá habilitado y ESRS integrado está configurado en elsistema de almacenamiento. Si está cerrado, habrá unadisminución significativa del rendimiento del soporte remoto,que afectará directamente en el tiempo para resolverproblemas en el sistema de almacenamiento de Unity.

REST TCP 9443 Se usa para enviar notificaciones de servicio a un servidor degateway ESRS cuando ESRS está habilitado y ESRScentralizado se configura en el sistema de almacenamiento.

Agente antivirus deCelerra (CAVA)

TCP 12228 Se utiliza para proporcionar una solución antivirus CAVA a losclientes que usan un servidor NAS. Si está cerrado, la soluciónantivirus CAVA no estará disponible.

IWD Interno 60260 Demonio de configuración inicial de IWD. Si está cerrado, lainicialización del arreglo no estará disponible por medio de lared.

a. Es posible reemplazar los números de puerto de LDAP y LDAPS en Unisphere cuando se configuran los servicios de directorio.El número de puerto predeterminado aparece en un cuadro de entrada que el usuario puede sobrescribir. Además, en Unisphere,pueden reemplazarse los números de puerto del syslog remoto.

Certificado del sistema de almacenamientoEl sistema de almacenamiento genera automáticamente un certificado autofirmadodurante su primera inicialización. El certificado se conserva en la NVRAM y en el LUNde back-end. Posteriormente, el sistema de almacenamiento lo presenta a un clientecuando este intenta conectarse al sistema de almacenamiento por medio del puerto deadministración.

La configuración del certificado determina su vencimiento a los 3 años; no obstante, elsistema de almacenamiento lo volverá a generar con un mes de anticipación a su fechade vencimiento. Además, puede cargar un certificado nuevo con el comando deservicio svc_custom_cert. Este comando instala un certificado SSL especificado enformato PEM para utilizarlo con la interfaz de administración de Unisphere. Paraobtener más información sobre este comando de servicio, consulte el documentoNotas técnicas de los comandos de servicio. El certificado no se puede ver conUnisphere ni con la CLI de Unisphere; no obstante, se puede ver por medio de uncliente de navegador o una herramienta web que intenta conectarse al puerto deadministración.


Certificado del sistema de almacenamiento 53

Nota

Cuando el arreglo se encuentra en el modo FIPS y se genera un certificado fuera delarreglo, el certificado debe estar en el formato PEM y, además, la clave privada debeestar en el formato PKCS#1. Puede usar un comando openssl para realizar estaconversión. Una vez que se generan los archivos .cer y .pk, este paso adicional esnecesario si el certificado se usa en un arreglo en el modo FIPS.

Para aumentar la seguridad, algunas organizaciones usan encadenamiento decertificados de CA. El encadenamiento de certificados enlaza dos o más certificadosde CA. El certificado de CA primario es el certificado raíz al final de la cadena decertificados de CA. Dado que el sistema necesita la cadena de certificados completapara verificar la autenticidad de un certificado que se recibe, pregunte al administradordel servidor de directorios si está en uso el encadenamiento de certificados. Si es así,debe concatenar todos los certificados pertinentes en un único archivo y cargar esaversión. El certificado debe estar en el formato codificado PEM/Base64 y usar elsufijo .cer.

Reemplazo del certificado autofirmado del sistema de almacenamiento concertificados firmados por la autoridad de certificación local

Antes de poder cargar certificados nuevos para el sistema de almacenamiento desdeuna autoridad de certificación local a fin de reemplazar los certificados SSL existentesautofirmados por Unisphere, debe realizar lo siguiente:

1. Cree una clave privada en el procesador de almacenamiento (SP).

Nota

Por ejemplo:

22:59:02 service@unknown spa:~/openssl> openssl genrsa -des3 -out unitycert.key -passout pass:emcemc Generating RSA private key, 2048 bit long modulus............................+++..............................................................................+++ e is 65537 (0x10001)

2. Elimine la frase de contraseña de la clave en el SP.

AVISO

Este paso es muy importante. Si la frase de contraseña no se elimina de la clave, seproducirá un estado de SP alarmado.

Nota

Por ejemplo:

22:59:08 service@unknown spa:~/openssl> openssl rsa -in unitycert.key -passin pass:emcemc -out unitycert.pk writing RSA key

3. Solicite una CSR en el SP.



Nota

Por ejemplo:

22:59:12 service@unknown spa:~/openssl> openssl req -new -sha256 -key unitycert.pk -out unitycert.csr -days 1825-subj '/C=US/ST=MA/L=Sarasota/O=MyCust/CN=10.0.0.1'

Aquí -subj '/C=US/ST=MA/L=Sarasota/O=MyCust/CN=10.0.0.1' es un ejemplo,debe cambiarlo para que corresponda a su entorno.

4. Obtenga la CSR firmada por la CA (servidor de CA Windows, servidor de CAOpenSSL u otro servidor de CA). Los siguientes son ejemplos de envío de una CSRa un servidor de CA para obtener la firma:

l Imprima la CSR mediante el comando cat, cópiela o péguela en el bloc denotas local y asígnele el nombre unitycert.csr.

23:00:01 service@unknown spa:~/openssl> cat unitycert.csr -----BEGIN CERTIFICATE REQUEST-----MIICljCCAX4CAQAwUTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1BMREwDwYDVQQHDAhTYXJhc290YTEPMA0GA1UECgwGTXlDdXN0MREwDwYDVQQDDAgxMC4wLjAuMTCC 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-----END CERTIFICATE REQUEST-----

l Descargue CSR por protocolo de copia segura (SCP).

Nota

Para descargar archivos de CSR mediante SCP, utilice una herramienta deotros fabricantes (por ejemplo, WinSCP) para conectarse a la interfaz IP deadministración de Unity (nombre de usuario: servicio) y, a continuación, copieel archivo unitycert.csr en la computadora local.

5. Después de obtener el certificado firmado del servidor de CA, cárguelo en el SP yguarde su nombre como unitycert.crt (corespondiente a unitycert.pk).


Reemplazo del certificado autofirmado del sistema de almacenamiento con certificados firmados por la autoridad de

certificación local 55

Nota

Por ejemplo:

$ svc_custom_cert unitycert

Example:service@spa spa:~> svc_custom_cert pod6 Successfully installed custom certificate files. Restarting web server ...UnsupportedSun May 22 05:37:48 2016:7645\0x7f44ba3e27c0:32:Module CIC/1.1.10.6 loaded

Interfaces, servicios y funciones del sistema dealmacenamiento compatibles con el protocolo de Internetversión 6

Puede configurar las interfaces en un sistema y usar direcciones del protocolo deInternet versión 6 (IPv6) para establecer ajustes de distintos servicios y funciones. Lasiguiente lista contiene funciones que son compatibles con el protocolo IPv6:

l Interfaces (SF y iSCSI): para asignar de manera estática una dirección IPv4 o IPv6a una interfaz

l Host: para ingresar un nombre de red, una dirección IPv4 o una dirección IPv6 deun host

l Rutas: para configurar una ruta para el protocolo IPv4 o IPv6

l Diagnóstico: para iniciar un comando ping de diagnóstico de la CLI usando unadirección de destino IPv4 o IPv6. En Unisphere, elija Ajustes de configuración >Acceso > Enrutamiento > Ping/seguimiento para acceder a la pantalla Ping/seguimiento, que también admite direcciones de destino de IPv6.

Todos los componentes del sistema de almacenamiento son compatibles con IPv4 y lamayoría admite IPv6. Tabla 12 en la página 56 muestra la compatibilidad con IPv6disponible por componente y tipo de configuración:

Tabla 12 Soporte de IPv6 por tipo de configuración y componente

Configuración del tipo Componente Compatible con IPv6

Ajustes de administración deUnisphere

Puerto de administración Sí

Servidor de nombres dedominio (DNS)

Sí

Servidor NTP Sí

Servidor de registro remoto Sí

Servidor LDAP No

Ajustes de configuración dehost de Unisphere

Microsoft Exchange Sí

Almacén de datos de VMware(NFS)

Sí



Tabla 12 Soporte de IPv6 por tipo de configuración y componente (continuación)

Configuración del tipo Componente Compatible con IPv6

Almacén de datos de VMware(VMFS)

Sí

Almacén de datos de Hyper-V Sí

Ajustes de alertas deUnisphere

Destinos de SNMP trap Sí

Servidor SMTP Sí

EMC Secure Remote Services(ESRS)

No

Configuración de servidoresde almacenamiento

Servidor iSCSI Sí

Servidor de carpetascompartidas

Sí

Servidor del sistema deinformación de red (NIS)(para servidores NAS NFS)

Sí

Servidor de Active Directory(para servidores NASde SMB)

Sí

Servidor del servicio dealmacenamiento por internet(iSNS)

Sí

Otros Destinos de PING Sí

Registro remoto Sí

LDAP Sí

Estándar de dirección IPv6El protocolo de Internet versión 6 (IPv6) es un estándar de direcciones del protocolode Internet desarrollado por el Grupo de trabajo de ingeniería de Internet (IETF) paracomplementar y remplazar finalmente al estándar de direcciones IPv4 que usa lamayoría de los servicios de Internet en la actualidad.

IPv4 usa direcciones IP de 32 bits, que proporcionan aproximadamente 4,300 millonesde direcciones posibles. Con el explosivo crecimiento de usuarios de Internet y dedispositivos conectados a Internet, el espacio disponible de direcciones IPv4 esinsuficiente. IPv6 resuelve el problema de falta de direcciones con el uso dedirecciones de 128 bits, lo cual proporciona aproximadamente 340 billones dedirecciones. IPv6 también resuelve otros problemas de IPv4, como la movilidad, laconfiguración automática y problemas generales de capacidad de ampliación.

Una dirección IPv6 es un valor hexadecimal que contiene ocho campos de 16 bitsseparados por dos puntos:

hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhhCada dígito de una dirección IPv6 puede ser un número de 0 a 9 o una letra de A a F.

Para obtener más información acerca del estándar IPv6, consulte las publicacionesrelacionadas con este estándar (RFC 2460) en el sitio web de IETF (http://www.ietf.org).


Interfaces, servicios y funciones del sistema de almacenamiento compatibles con el protocolo de Internet versión 6 57

http://www.ietf.org

http://www.ietf.org

Acceso a la interfaz de administración del sistema dealmacenamiento mediante IPv6

Cuando configure las conexiones de administración en el sistema de almacenamiento,podrá configurar el sistema para que acepte los siguientes tipos de direcciones IP:

l Direcciones estáticas del protocolo de Internet versión 6 (IPv6), direcciones IPv4obtenidas mediante DHCP y direcciones IPv4 estáticas

l Solo direcciones IPv4

Puede asignar las direcciones IPv6 de manera estática a la interfaz de administración.Una dirección IPv6 en la interfaz de administración se puede configurar en uno de dosmodos, manual/estático o desactivado. Cuando desactiva IPv6, el protocolo no sedesvincula de la interfaz. El comando disable quita todas las direcciones de IPv6 deunidifusión asignadas a la interfaz de administración, por lo que el sistema dealmacenamiento dejará de responder solicitudes dirigidas por IPv6. IPv6 estádeshabilitado de forma predeterminada.

Después de terminar la instalación, el cableado y el encendido del sistema, se debeasignar una dirección IP a la interfaz de administración del sistema de almacenamiento.Si no está ejecutando el sistema de almacenamiento en una red dinámica o prefiereasignar una dirección IP estática manualmente, debe descargar, instalar y ejecutarConnection Utility. Para obtener más información sobre Connection Utility, consulte Ejecución de Connection Utility en la página 60.

Son compatibles las solicitudes de entrada al sistema de almacenamiento que usanIPv6 por medio de la interfaz de administración. Puede configurar la interfaz deadministración en un sistema de almacenamiento para que funcione en un ambiente desolo IPv4, de solo IPv6 o de IPv4 e IPv6 combinados, y el sistema de almacenamientose puede administrar mediante la interfaz del usuario y la interfaz de la línea decomandos (CLI) de Unisphere.

Los servicios de salida, como NTP y el sistema de nombre de dominio (DNS) soncompatibles con el direccionamiento IPv6 mediante el uso de direcciones IPv6explícitas o de nombres DNS. Si un nombre DNS se resuelve como IPv6 e IPv4, elsistema de almacenamiento se comunicará con el servidor por medio de IPv6.

Los comandos set y show de la CLI de la interfaz de red de administración que seutilizan para administrar las interfaces de administración incluyen atributosrelacionados con IPv6. Para obtener más información sobre estos comandos yatributos de la interfaz de red de administración, consulte la Guía del usuario de la CLIde Unisphere.

Configuración de la interfaz de administración medianteDHCP

Después de terminar la instalación, el cableado y el encendido del sistema, se debeasignar una dirección IP a la interfaz de administración del sistema de almacenamiento.Si está ejecutando el sistema de almacenamiento en una red dinámica que incluye unservidor DHCP (Protocolo de control dinámico de hosts) y un servidor DNS (sistemade nombre de dominio), la dirección IP de administración se puede asignarautomáticamente.



Nota

Si no ejecuta el sistema de almacenamiento en un ambiente de red dinámica o siprefiere asignar una dirección IP estática manualmente, debe instalar y ejecutarConnection Utility. Para obtener más información sobre Connection Utility, consulte Ejecución de Connection Utility en la página 60.

La configuración de red apropiada debe incluir el ajuste del rango de direcciones IPvariables, las máscaras de subred correctas y las direcciones del gateway y delservidor de nombres. Consulte la documentación de su red específica para obtenermás información sobre la configuración de servidores DHCP y DNS.

DHCP es un protocolo que permite asignar direcciones del protocolo de Internet (IP)dinámicas a los dispositivos de una red. DHCP le permite controlar direcciones delprotocolo de Internet (IP) desde un servidor centralizado y asignar automáticamenteuna dirección IP nueva y única cuando se conecta un sistema de almacenamiento a lared de la organización. El direccionamiento dinámico simplifica la administración de lared porque el software rastrea las direcciones IP en lugar de requerir que unadministrador se encargue de la tarea.

El servidor DNS es un servidor basado en IP que traduce los nombres de los dominiosen direcciones IP. A diferencia de las direcciones IP numéricas, los nombres dedominio son alfabéticos y normalmente son más fáciles de recordar. Ya que las redesIP se basan en direcciones IP, cada vez que usa un nombre de dominio, el servidorDNS debe traducir el nombre en una dirección IP correspondiente. Por ejemplo, elnombre de dominio www.Javanet.com se traduce en la dirección IP 209.94.128.8.

Durante la configuración de DHCP/DNS dinámico no se intercambia informaciónadministrativa como, por ejemplo, nombres de usuario, contraseñas, etc. Laconfiguración de los elementos de la IP de administración (configuración de servidorNTP, preferencia de DHCP y DNS) es parte del marco de trabajo de Unisphereexistente relacionado con la seguridad. Los eventos de DNS y DHCP, incluida laobtención de una nueva dirección IP cuando vence el arrendamiento, se ingresan enlos registros de auditoría del sistema de almacenamiento. Si DHCP no se usa paraconfigurar la IP de administración del sistema de almacenamiento, no se abrirá ningúnpuerto de red adicional.

No deben utilizarse direcciones IP dinámicas (DHCP) para ningún componente de losservidores de EMC Secure Remote Services (ESRS) Virtual Edition (VE), losservidores del administrador de políticas ni los dispositivos administrados.

Nota

Si utiliza DHCP para asignar direcciones IP a los componentes de ESRS (servidores deESRS VE, administrador de políticas o dispositivos administrados), deben tenerdirecciones IP estáticas. No se puede establecer arrendamientos que caduquen paralas direcciones IP que usan los dispositivos EMC. EMC recomienda que asignedirecciones IP estáticas a aquellos dispositivos que planea administrar por medio deESRS.


Configuración de la interfaz de administración mediante DHCP 59

Ejecución de Connection Utility

Nota

Si ejecuta el sistema de almacenamiento en un ambiente de red dinámica que incluyeun servidor DHCP y un servidor de DNS, no hace falta usar Connection Utility, sinoque es posible asignar de forma automática una dirección IP dinámica (solo con IPv4)a la interfaz de administración del sistema de almacenamiento. Cuando un sistema dealmacenamiento usa una dirección IP estática, se configura de manera manual conConnection Utility para usar una dirección IP específica. Uno de los problemas de laasignación estática ocurre cuando dos sistemas de almacenamiento se configuran conla misma dirección IP de administración, lo que posiblemente se deba a un error o a lafalta de atención a los detalles. Esto crea un conflicto que puede producir la pérdida dela conectividad de red. El uso de DHCP para asignar direcciones IP de maneradinámica disminuye este tipo de conflictos. Los sistemas de almacenamientoconfigurados para realizar asignaciones de IP mediante DHCP no necesitan usardirecciones IP asignadas estáticamente.

El software de instalación de Connection Utility se encuentra disponible en el sitio webdel servicio de soporte en línea de EMC (https://support.emc.com), en la secciónDescargas de la barra de menús de la página de producto correspondiente al sistemade almacenamiento. Después de descargar el software, instale el programa en un hostde Windows. Cuando ejecuta Connection Utility desde una computadora en la mismasubred que el sistema de almacenamiento, Connection Utility automáticamentedescubre cualquier sistema de almacenamiento no configurado. Si ejecuta ConnectionUtility en una subred diferente, puede guardar la configuración en una unidad USB ytransferirla al sistema de almacenamiento. Si el sistema de almacenamiento seencuentra en una subred diferente de las del host que ejecuta Connection Utility,puede optar por configurar manualmente la información de nombre de host y de red IPy guardarla como archivo de texto en una unidad USB para, luego, insertar esta encualquiera de los SP, lo cual, a continuación, configura la información de nombre dehost y red IP de manera automática.

Nota

No puede cambiar la dirección IP de administración cuando ambos procesadores dealmacenamiento (SP) están en modo de servicio.

Una vez que ejecuta Connection Utility y transfiere la configuración al sistema dealmacenamiento, puede conectarse al sistema mediante un navegador web con ladirección IP que asignó a la interfaz de administración del sistema de almacenamiento.

La primera vez que se conecta al sistema de almacenamiento, se inicia el asistente deconfiguración inicial del sistema de almacenamiento. El asistente de configuracióninicial permite establecer la configuración inicial del sistema de almacenamiento paraque pueda empezar a crear recursos de almacenamiento.

Nota

Para obtener más información sobre Connection Utility, consulte la guía de instalaciónde la serie Unity.



Cifrado de protocolo (SMB) y la firmaLa compatibilidad con SMB 3.0 y Windows 2012 del sistema de almacenamientoproporciona cifrado de SMB a los hosts que pueden usar SMB. El cifrado de SMBproporciona acceso seguro a los datos en los recursos compartidos de archivosde SMB. Este cifrado ofrece seguridad para los datos en redes no confiables, es decir,proporciona cifrado de punto a punto de datos de SMB que se envían entre el arreglo yel host. Los datos se protegen contra ataques de interceptación/espionaje en redes noconfiables.

El cifrado de SMB puede configurarse para cada recurso compartido. Cuando unrecurso compartido se define como cifrado, cualquier cliente SMB3 debe cifrar todassus solicitudes relacionadas con el recurso compartido; de lo contrario, el acceso alrecurso compartido se prohíbe.

Para habilitar el cifrado de∘SMB, configure la opción Cifrado de protocolo en laspropiedades avanzadas del recurso compartido de∘SMB en Unisphere o bienconfigúrelo con los comandos create y set de la∘CLI para los recursos compartidosde∘SMB. No se requiere ningún ajuste en el cliente SMB.

Nota

Para obtener más información sobre la configuración del cifrado de SMB, consulte laayuda en línea de Unisphere y la Guía del usuario de la CLI de Unisphere.

SMB también proporciona la validación de la integridad de los datos (firma). Elmecanismo garantiza que no se haya interceptado, cambiado o reproducido elpaquete. La firma de SMB agrega una firma a cada paquete y garantiza que un tercerohaya cambiado los paquetes.

Para que la firma de SMB funcione, el cliente y el servidor deben tener la firma deSMB habilitada en una transacción. De forma predeterminada, las controladoras dedominio del servidor Windows requieren que los clientes utilicen la firma de SMB. Parael dominio del servidor Windows (Windows 2000 y versiones posteriores), la firma deSMB se define mediante el uso de un objeto de política de grupo (GPO). ParaWindows XP, los servicios GPO para la firma de SMB no están disponibles; debe usarla configuración del registro de Windows.

Nota

Configuración de firma SMB a través de los GPO afecta a todos los clientes yservidores dentro del dominio y reemplaza la configuración del registro individual.Consulte la documentación de seguridad de Microsoft para obtener informacióndetallada sobre la activación y configuración de la firma de SMB.

En SMB1, habilitar la firma significativamente disminuye el rendimiento, especialmentecuando se va a través de una WAN. Hay degradación limitada del rendimiento con lafirma de SMB2 y SMB3 en comparación con SMB1. El impacto en el rendimiento de lafirma será mayor al utilizar redes más rápidas.

AVISO

Si no es necesario admitir el protocolo SMB1 más antiguo en su ambiente, puededeshabilitarlo mediante el comando de servicio svc_nas. Para obtener másinformación sobre este comando de servicio, consulte las Notas técnicas de loscomandos de servicio.


Cifrado de protocolo (SMB) y la firma 61

Configurar la firma de SMB con GPOTabla 13 en la página 62 explica los GPO disponibles para la firma de SMB1.

Nota

Para SMB2 y SMB3, cada versión tiene un GPO para cada lado (lado del servidor ycliente) para habilitar la opción de firma digital de comunicaciones (siempre). Ningúnlado del servidor o cliente tiene un GPO para habilitar la opción de firma digital decomunicaciones (si el cliente acepta).

Tabla 13 SMB1 firma de GPO

Nombre de GPO ¿Qué controla? Configuraciónpredeterminada

Servidor de red de Microsoft:Firma digital decomunicaciones (siempre)

Si el componente de servidorSMB requiere la firma

Desactivado

Servidor de red de Microsoft:Firma digital decomunicaciones (si el clienteacepta)

Si el componente SMB dellado del servidor tiene la firmahabilitada

Desactivado

Cliente de red de Microsoft:Firma digital decomunicaciones (siempre)

Si el componente SMB en elcliente requiere la firma

Desactivado

Cliente de red de Microsoft:Firma digital decomunicaciones (si el servidoracepta)

Si el componente SMB en elcliente tiene la firmahabilitada

Habilitado

También puede configurar la firma de SMB a través del registro de Windows. Si unservicio de GPO no está disponible, por ejemplo, en un ambiente de Windows NT, seutiliza la configuración del registro.

Configurar la firma de SMB con el registro de WindowsConfiguración del registro afecta solamente el servidor individual o el cliente queconfigure. Configuración del registro está configurada en los servidores y estacionesde trabajo individuales de Windows y afecta a los servidores y estaciones de trabajoindividuales de Windows.

Nota

La siguiente configuración del registro relacionadas con Windows NT con SP 4 osuperior. Estas entradas del registro existen en el servidor de Windows, pero debenestablecerse a través de los GPO.

La configuración del lado del servidor se encuentra en: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters\

Nota

Para SMB2 y SMB3, cada versión tiene una clave de registro para cada lado (lado delservidor y cliente) para habilitar la opción requiresecuritysignature. Ni el lado delservidor ni el lado del cliente tiene una clave de registro para habilitar la opciónenablesecuritysignature.



Tabla 14 Entradas de registro de firma de lado del servidor SMB1

Entradas del registro Valores Propósito

enablesecuritysignature

l 0 deshabilitado(predeterminado)

l 1 = habilitado

Determina si la firma de SMBestá habilitada.

requiresecuritysignature


l 1 = habilitado

Determina si se requiere lafirma de SMB.

La configuración del lado del cliente se encuentra en: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanworkstation\parameters\

Tabla 15 Entradas del registro de firma de lado del cliente SMB1

Entradas del registro Valores Propósito

enablesecuritysignature

l 0: deshabilitado

l 1 habilitado(predeterminado).

Determina si la firma de SMBestá habilitada.

requiresecuritysignature


l 1 = habilitado

Determina si se requiere lafirma de SMB.

Reflejo de paquetes IPEl reflejo de paquetes IP provee a la red con un nivel de seguridad adicional. Dado queel cliente inicia la mayor parte del tráfico de red en un servidor NAS (incluidas las I/Ode todos los sistemas de archivos), el servidor NAS usa el paquete de reflejos pararesponder a las solicitudes del cliente. Con reflejo de paquetes, no hay necesidad dedeterminar qué ruta se debe utilizar para enviar los paquetes de respuesta. Debido aque los paquetes de respuesta salen siempre por la misma interfaz que los paquetes desolicitud, estos últimos no se pueden usar para inundar indirectamente otras LAN. Encasos donde existen dos dispositivos de red, uno conectado a Internet y el otroconectado a la intranet, las respuestas a las solicitudes de Internet no aparecen en laintranet. Además, las redes internas utilizadas por el sistema de almacenamiento no seven afectadas por cualquier paquete desde redes externas.

Puede habilitar el reflejo de paquetes IP para cada servidor NAS. De manerapredeterminada, está deshabilitado para todos los servidores NAS.

Multiusuario de IPMultiusuario de IP ofrece la capacidad de asignar particiones de almacenamientoaisladas basadas en archivos a los servidores NAS de un procesador dealmacenamiento. Los grupos de usuarios se utilizan para permitir la administraciónrentable de los recursos disponibles y, a la vez, para garantizar que la visibilidad y la


Reflejo de paquetes IP 63

administración de ese grupo de usuarios estén restringidas únicamente a los recursosasignados.

Nota

Si esta es la primera creación de un grupo de usuarios en el ambiente, haga que elsistema genere automáticamente un valor de identificador único universal (UUID) parael grupo de usuarios. Para los grupos de usuarios existentes del ambiente que tienenun valor de UUID que generó el sistema, ingrese ese valor manualmente.

Con multiusuario de IP, cada grupo de usuarios puede tener los siguientes elementospropios:

l Direcciones IP y números de puerto.

l Dominio de VLAN.

l Tabla de enrutamiento.

l Firewall de IP.

l Servidor DNS u otros servidores administrativos para permitir que el grupo deusuarios tenga autenticación y validación de la seguridad propias.

Multiusuario de IP se implementa mediante la adición de un grupo de usuarios alsistema de almacenamiento, la asociación de un conjunto de VLAN al grupo deusuarios y, a continuación, la creación de un servidor NAS para cada una de las VLANdel grupo de usuarios, según sea necesario. Se recomienda que cree un pool porseparado para el grupo de usuarios y que lo asocie a todos los servidores NAS delgrupo de usuarios.

Nota

Un pool es un conjunto de unidades que proporcionan características específicas dealmacenamiento para los recursos que las utilizan.

Tenga en cuenta lo siguiente acerca de la función multiusuario de IP:

l Existe una relación uno a muchos entre los grupos de usuarios y los servidoresNAS. Un grupo de usuarios se puede asociar a múltiples servidores NAS, pero unservidor NAS solo se puede asociar a un grupo de usuarios.

l Puede asociar un servidor NAS a un grupo de usuarios cuando crea el servidorNAS. Una vez que crea un servidor NAS que se asocia a un grupo de usuarios, nopuede cambiar ninguna de sus propiedades.

l Durante la replicación, los datos de un grupo de usuarios se transfieren a través dela red del proveedor de servicios en lugar de la red del grupo de usuarios.

l Debido a que varios grupos de usuarios pueden compartir el mismo sistema dealmacenamiento, un incremento repentino en el tráfico de un grupo de usuariospuede afectar negativamente el tiempo de respuesta para otros grupos deusuarios.

Acerca de las VLANLas VLAN son redes lógicas que funcionan independientemente de la configuración dered física. Por ejemplo, las VLAN permiten colocar todas las computadoras de undepartamento en la misma subred lógica, lo cual puede aumentar la seguridad y reducirel tráfico de transmisión de red.

Cuando una única NIC se asigna a múltiples interfaces lógicas, se puede asignar unaVLAN diferente a cada interfaz. Cuando cada interfaz tiene una VLAN diferente, seacepta un paquete solo si su dirección IP de destino es la misma que la dirección IP de



la interfaz, y si la etiqueta de la VLAN del paquete es igual que el ID de VLAN de lainterfaz. Si el ID de VLAN de una interfaz está configurado en cero, los paquetes seenvían sin etiquetas de VLAN.

Existen dos formas de trabajar con VLAN:

l Configurar un puerto de switch con un identificador de VLAN y conectar unainterfaz iSCSI o un puerto de servidor NAS a ese puerto de switch. El sistemaUnity desconoce que es parte de la VLAN y no se necesita ninguna configuraciónespecial de la interfaz iSCSI o del servidor NAS. En este caso, el ID de VLAN seconfigura en cero.

l Implementar la funcionalidad multiusuario de IP mediante VLAN. En este escenario,cada grupo de usuarios está asociado a un conjunto de una o más VLAN y elservidor NAS es responsable de interpretar las etiquetas de VLAN y de procesarlos paquetes según corresponda. Esto permite que el servidor NAS se conecte avarias VLAN y a sus subredes correspondientes por medio de una única conexiónfísica. En este método, los puertos del switch para los servidores estánconfigurados para incluir las etiquetas de VLAN en los paquetes que se envían alservidor.

Soporte de administración para FIPS 140-2El estándar federal de procesamiento de la información 140-2 (FIPS 140-2) describelos requisitos del gobierno federal de EE. UU. que deben cumplir los productos de TIpara el uso confidencial, pero no secreto. El estándar define los requisitos de seguridadque deben cumplir los módulos criptográficos utilizados en los sistemas de seguridadque protegen la información que no es secreta dentro de los sistemas de TI. Paraobtener más información sobre FIPS 140-2, consulte la publicación FIPS 140-2.

El sistema de almacenamiento admite el modo FIPS 140-2 en los módulos SSL quemanejan el tráfico de administración de los clientes. La comunicación deadministración dentro y fuera del sistema se cifra mediante SSL. Como parte de esteproceso, los clientes y el software de administración de almacenamiento negocian lasuite de aplicaciones de cifrado que debe utilizarse en el intercambio. Al habilitar elmodo FIPS 140-2, se restringe la suite de aplicaciones de cifrado negociable a loselementos que se enumeran en la publicación de funciones de seguridad aprobadas envirtud de FIPS 140-2. Si se activa el modo FIPS 140-2, es posible que algunos de losclientes existentes ya no puedan comunicarse con los puertos de administración delsistema si no son compatibles con la suite de aplicaciones de cifrado aprobadoen 140-2. El modo FIPS 140-2 no puede activarse en el sistema de almacenamiento siexisten certificados incompatibles con FIPS en el área de almacenamiento decertificados. Para habilitar el modo FIPS∘140-2, debe quitar del sistema dealmacenamiento todos los certificados incompatibles con FIPS.

Administración del modo FIPS 140-2 en el sistema de almacenamientoSolo el administrador y el administrador de seguridad tienen los privilegios paraadministrar la configuración del modo FIPS 140-2. Utilice el comando siguiente dela CLI para configurar el modo FIPS 140-2 en el sistema de almacenamiento:

uemcli /sys/security set -fips140Enabled yes lo configura en el modoFIPS 140-2.

uemcli /sys/security set -fips140Enabled no lo configura en otro modo queno es FIPS 140-2.

Utilice el comando siguiente de la CLI para determinar el modo FIPS 140-2 actual en elsistema de almacenamiento:

uemcli /sys/security show


Soporte de administración para FIPS 140-2 65

http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf

Cuando se cambia la configuración del modo FIPS 140-2 en un sistema dealmacenamiento, ambos SP se reinician automáticamente en secuencia para que seaplique la nueva configuración. Cuando se completa el reinicio del primer SP, sereinicia el otro SP. El sistema solo estará a pleno funcionamiento en el modoFIPS 140-2 configurado después de completar el reinicio de ambos SP.

Compatibilidad de la administración para lascomunicaciones SSL

La comunicación de administración dentro y fuera del sistema de almacenamiento secifra mediante SSL. Como parte de este proceso, el cliente y el sistema dealmacenamiento negocian un protocolo SSL que se utilizará. De formapredeterminada, el sistema de almacenamiento es compatible con los protocolos TLS1.0, TLS 1.1 y TLS 1.2 para las comunicaciones SSL. El sistema de almacenamientoincluye una configuración administrativa para deshabilitar el protocolo TLS 1.0 desde elsistema. La deshabilitación del protocolo TLS 1.0 a través de esta configuraciónsignifica que el sistema de almacenamiento solo será compatible con lascomunicaciones SSL mediante los protocolos TLS 1.1 y TLS 1.2, y que el protocolo TLS1.0 no se considerará como un protocolo válido.

Nota

La deshabilitación del protocolo TLS 1.0 puede afectar a las aplicaciones clienteexistentes que no son compatibles con los protocolos TLS 1.1 o TLS 1.2. En este caso,la compatibilidad con el protocolo TLS 1.0 debe permanecer activada. La siguientefuncionalidad no funcionará cuando el protocolo TLS 1.0 esté deshabilitado:

l Asesorías técnicas

l Notificaciones sobre la actualización del software, el firmware de las unidades y elpaquete de idioma

l Replicación desde versiones del ambiente operativo anteriores a 4.3 a la versión4.3 del ambiente operativo

Administración del protocolo TLS 1.0 en el sistema de almacenamientoSolo el administrador y el administrador de seguridad tienen los privilegios paraadministrar la configuración de habilitación del protocolo TLS 1.0. Utilice el siguientecomando para establecer la configuración de habilitación del protocolo TLS 1.0 en unsistema de almacenamiento:

uemcli /sys/security set -tls1Enabled yes habilita el uso del protocolo TLS1.0.

uemcli /sys/security set -tls1Enabled no deshabilita el uso del protocolo TLS1.0.

Para obtener más información sobre este comando, consulte la Guía del usuario dela CLI de Unisphere.

Soporte de administración para el modo de shell restringido(rbash)

La interfaz de servicio SSH del sistema de almacenamiento se refuerza con el modo deshell restringido (rbash). Esta función se habilita de forma predeterminada para la



cuenta de servicio tras actualizar Unity OE a la versión 4.5 o posterior. Aunque esposible deshabilitar temporalmente el modo de shell restringido, esto no espermanente y se volverá a habilitar automáticamente cuando se produzca una de lassiguientes acciones:

l El procesador de servicio primario se está reiniciando.

l Transcurrieron 24 horas desde que se deshabilitó el modo de shell restringido.

Esta función mejora la postura de seguridad del sistema de almacenamiento de Unitymediante la restricción de los usuarios de la cuenta de servicio a las siguientesfunciones:

l Operar solo un conjunto limitado de comandos que se asignan a un miembro de unacuenta de usuario de Linux sin privilegios en el modo de shell restringido. Estacuenta de usuario de servicio no tiene acceso a los datos de usuarios o clientes, losarchivos de configuración o los archivos del sistema patentados.

l Restringe a los usuarios de servicio la ejecución de código no confiable que podríausarse para aprovechar las vulnerabilidades de escalación de los privilegios locales.

Además de los scripts de servicio, una lista blanca contiene comandos básicos queestán disponibles para el personal de servicio. Estos son los comandos seguros o loscomandos con control de seguridad desde los cuales los usuarios no pueden salir delmodo de shell restringido. Estos comandos son esenciales para que el personal deservicio de Dell EMC preste servicio de mantenimiento sin tener que elevar el privilegioal administrador. Para obtener información sobre estos comandos, consulte el artículo528422 de la base de conocimientos.

AVISO

No se puede realizar un análisis de vulnerabilidades de red con shell restringido deforma predeterminada. Los usuarios administrativos de Unisphere necesitandeshabilitar el modo de shell restringido para facilitar un escaneo de seguridad. Paraobtener la seguridad máxima del sistema, se recomienda dejar el modo de shellrestringido habilitado en todo momento, a menos que sea necesario para realizar unanálisis de seguridad. Para asegurarse de que el sistema no esté expuesto a lasvulnerabilidades de la escalación de privilegios locales, habilite el modo de shellrestringido tan pronto como finalice el análisis de seguridad.

Administración del modo de shell restringido en el sistema de almacenamientoEl administrador es el único que tiene privilegios para administrar la configuración delmodo de shell restrigido. Utilice el siguiente comando de CLI para configurar el modode shell restringido en un sistema de almacenamiento:

uemcli /sys/security set -rbashEnabled yes habilita el modo de shellrestringido para el modo de usuario de servicio.

uemcli /sys/security set -rbashEnabled no deshabilita el modo de shellrestringido.

Utilice el siguiente comando de CLI para determinar el modo de shell restringido actualen el sistema de almacenamiento:

uemcli /sys/security show


Soporte de administración para el modo de shell restringido (rbash) 67

CAPÍTULO 5

Configuración de la seguridad de datos

En este capítulo se describen las funciones de seguridad disponibles en el sistema dealmacenamiento para los tipos de almacenamiento compatibles.


l Acerca del cifrado de datos en reposo (solo para implementaciones físicas)......70l Configuración de la seguridad de datos.............................................................. 76

Configuración de la seguridad de datos 69

Acerca del cifrado de datos en reposo (solo paraimplementaciones físicas)

El cifrado de datos en reposo (D@RE) se proporciona por medio del cifrado basado encontroladora (CBE) en el nivel de las unidades físicas. El objetivo de esta función esasegurarse de que todos los datos y la información de identificación de los clientes secifren con cifrado sólido, principalmente para garantizar la seguridad en caso depérdida de una unidad.

Se genera una única clave de cifrado de datos (DEK) para cada unidad y se utiliza paracifrar los datos a medida que se envían a la unidad. La DEK se utiliza para cifrar odescifrar datos del usuario mediante el algoritmo del estándar de cifrado avanzado(AES) de 256 bits que incluye cifrado de bloques modificado “XOR Encrypt XOR” conel modo de operación de apropiación de texto cifrado (XTS).

La clave de cifrado de clave (KEK) es una clave de 256 bits generada aleatoriamenteque se crea mediante RSA BSAFE y se emplea para encapsular las DEK en el momentode su generación, de modo que están protegidas y seguras a medida que se transfierenal sistema de almacenamiento. El algoritmo que se utiliza para encapsular ydesencapsular las DEK mediante KEK consiste en una protección de claves AES de256 bits, según lo especificado en RFC 3394.

La clave de encapsulado para la clave de cifrado de clave (KWK) es una clave de 256bits generada aleatoriamente que se crea mediante RSA BSAFE y se emplea paraencapsular las KEK en el momento de su generación, de modo que están protegidas amedida que se transfieren a través del arreglo y hacia la controladora SAS (SCSI deconexión serial). El algoritmo que se utiliza para encapsular y desencapsular las KEKmediante KWK consiste en una protección de claves AES de 256 bits, según loespecificado en RFC 3394.

Aparte del CBE, el espacio del sistema en los procesadores de almacenamiento (SP)se cifra mediante una funcionalidad de cifrado (dm_crypt) que es nativa de ladistribución de Linux. Particiones específicas en la unidad del sistema se cifran deforma predeterminada, a menos que el cifrado no se habilite en el sistema durante lafabricación. Para las particiones del sistema que no se cifran, podrían estar presentesalgunos datos sin cifrar, como volcados de diagnóstico. Además, existe la posibilidadde pequeñas cantidades de datos de usuario no cifrados como resultado de la escriturade materiales de diagnóstico en la partición del sistema. Todos los datos escritos en elarreglo mediante el uso de protocolos de I/O normales (iSCSI y FC) se cifran. Estasolución no cifra nada de lo que ingresa al arreglo por medio de la ruta de control; sinembargo, otro mecanismo cifra la información confidencial, como las contraseñas, yaque se encuentran en arreglos sin cifrado.

Un componente, denominado Key Manager, es responsable de generar, almacenar yadministrar de otra forma las claves de cifrado para el sistema. El almacenamiento declaves que se genera para almacenar las claves de cifrado reside en un LUNadministrado en el espacio privado del sistema. Las claves se generan o se eliminan enrespuesta a notificaciones de adición o eliminación de un pool de almacenamiento. Elsistema realiza automáticamente respaldos de claves. Además, los cambios en laconfiguración del sistema que provocan cambios en el almacenamiento de clavesgenerarán alertas informativas que recomiendan la creación de respaldos de claves.Cuando se realiza una operación que da como resultado un cambio en elalmacenamiento de claves, aparecerá una alerta, la cual persistirá.

Se proporciona una función de auditoría por separado para las operaciones generalescon las claves, la cual rastrea todos los cambios de establecimiento, eliminación,respaldo y restauración de claves, además de la adición de una tarjeta SLIC.



Para obtener información adicional acerca de la función de cifrado de datos en reposo,consulte el informe técnico de Unity: Cifrado de datos que no se utilizan.

Activación de funcionesD@RE es una función con licencia. La licencia se debe instalar durante la configuracióninicial del sistema. Una vez activada, la operación de cifrado no puede revertirse.

La operación de cifrado hará que se creen claves de cifrado de datos y que secomiencen a cifrar todos los datos de usuario. Las claves de cifrado se almacenan enun archivo de almacenamiento de claves. El archivo de almacenamiento de claves quese genera reside en un LUN administrado en el espacio privado del sistema.

Se recomienda respaldar el archivo de almacenamiento de claves generado en otraubicación que sea externa al sistema, donde el almacenamiento de claves se puedamantener a salvo y en secreto. En caso de que el almacenamiento de claves delsistema se dañe, el sistema no podrá funcionar. El sistema ingresará al modo deservicio; solo arrancará el sistema operativo. En este estado, los intentos por accederal sistema a través de Unisphere devolverán un error que indica que el almacenamientode claves está en un estado inaccesible. Para solucionar esto, se requieren el archivode almacenamiento de claves respaldado y la contratación de un servicio.

Estado de cifradoEl estado de la función DARE siguiente puede verse mediante Unisphere o un comandode la CLI:

l Modo de cifrado: tipo de cifrado en uso, por ejemplo, Cifrado basado encontroladora.

l Estado de cifrado: basado en el estado del cifrado real:

n No compatible, el cifrado del espacio del sistema en los SP está deshabilitado.

n Sin licencia, la licencia del cifrado de datos en reposo no se ha instalado en elsistema.

n Cifrado: cifrado completado.

n Sin cifrado, el CBE está deshabilitado.

n Limpieza, el proceso de escribir datos aleatorios en el espacio no utilizado en lasunidades o unidades sin enlazar puesta a cero para borrar los datos residualesde uso anterior.

Nota

Para las unidades SAS flash 2, anular el mapeo se usa para limpiar las unidades,en lugar de puesta a cero. Para obtener información adicional acerca de lafunción de cifrado de datos en reposo y el proceso de limpieza, consulte elinforme técnico EMC Unity: Cifrado de datos en reposo disponible en el soporteen línea (https://support.emc.com).

n Cifrando, el cifrado está en curso.

l Estado de KMIP, si KMIP está habilitado o deshabilitado.

Para ver el estado de la función DARE en Unisphere, elija Ajustes de configuración >Administración > Cifrado. El estado del cifrado aparece en Administrar cifrado.


Estado de cifrado 71


Nota

Como alternativa, utilice el comando uemcli -u <username> -p <password> /prot/encrypt show -detail de la CLI para ver el estado de la función (modo decifrado, estado de cifrado, porcentaje cifrado, estado de respaldo del almacenamientode claves y estado de KMIP). Este comando de la CLI también permite ver el estadodel almacenamiento de claves, así como determinar si se requiere alguna operación delusuario. Para obtener información detallada sobre estos comandos de la CLI, consultela Guía del usuario de la CLI de Unisphere.

Administración de claves externaSe admite la administración de claves externa mediante el uso del protocolo deinteroperabilidad de administración de claves (KMIP). KMIP define cómo funciona uncliente con un administrador de claves externo.

Nota

La administración de claves externa solo es compatible con los servidores deadministración de claves que han implementado el protocolo KMIP desarrollado porOASIS. Si se utiliza un servidor KMIP de Gemalto KeySecure, el administrador declaves del sistema de almacenamiento requiere la configuración del nombre de usuarioy la contraseña en el servidor.

La habilitación y configuración del soporte para KMIP en el sistema de almacenamientodepende del cifrado que está activado en el sistema de almacenamiento. Cuando tantoel cifrado como KMIP están habilitados, la clave de inicio se migra desde el sistema dealmacenamiento a un administrador de claves externo y la copia local se elimina.Además, la ubicación antigua de las claves almacenadas localmente se reprograma yno se podrá abrir una vez que se migren las claves. Se recomienda generar un nuevorespaldo del archivo de almacenamiento de claves.

Se requiere una función de usuario de administrador o administrador de seguridad paraconfigurar la administración de claves externa. Para configurar la administración declaves externa, seleccione Configuración > Administración > Cifrado, y enAdministrar cifrado > Administración de claves externa, seleccione Configurar.Complete la información requerida en el cuadro de diálogo que se muestra paraconfigurar las propiedades del servidor de administración de claves y agregar elservidor KMIP al clúster de servidores KMIP. El cuadro de diálogo también proporcionalos medios para importar y administrar la CA pertinente y los certificados del cliente, ypara verificar la configuración. La configuración requiere dos certificados:

l El certificado de CA está en formato PEM.

l Un archivo PKCS #12 protegido por contraseña que contiene el certificado delcliente.

Una copia de la configuración para el servidor KMIP (lo que incluye los certificados ylos datos de configuración del servidor), se almacena localmente en ubicacionesseguras en el sistema de almacenamiento, al igual que las unidades del sistema deback-end para proporcionar redundancia.

Nota

Para obtener información sobre compatibilidad e interoperabilidad relacionada con losservidores KMIP, consulte Simple Support Matrix correspondiente al sistema dealmacenamiento en el sitio web de soporte.



Los certificados se descargan en el SP activo. En el momento del arranque, cada vezque se informa un problema con el certificado, el sistema restaura los certificados desu copia local de la caja de seguridad y hace un reintento. Si falla nuevamente, elsistema entrará en modo de servicio. Si se encuentra una diferencia, se actualiza elcontenido de la caja de seguridad en el back-end.

Nota

Como alternativa, use el comando de CLI uemcli -u<username> -p<password> /prot/encrypt/kmip -set -username <value> {-passwd<value> | -passwdSecure} -port <value> [-timeout <value>] -server <value> para configurar KMIP. Utilice el comando de CLI uemcli -u<username> -p<password> /sys/cert [ -type { CA | Server |Client | TrustedPeer } ] [ -service {Mgmt_LDAP | Mgmt_KMIP |VASA_HTTP } [ -scope <value> ] ] [ -id <value> ] para importarcertificados de CA y del cliente. Utilice el comando CLI uemcli -u<username> -p<password> /prot/encrypt/kmip -verify para verificar la configuración.Para obtener información detallada sobre estos comandos de la CLI, consulte la Guíadel usuario de la CLI de Unisphere.

Si hay un problema con el estado o la configuración de KMIP o un cambio inesperado,el sistema no puede confirmar la configuración correcta ni el estado y se inicia enmodo de servicio. El sistema no puede regresar al modo normal hasta que se resuelvael problema. Puede utilizarse un script de servicio svc_kmip para restaurar laconfiguración del servidor KMIP correcta y, si es necesario, también se emplearáncertificados de Unity para que el sistema pueda regresar al modo normal.

AVISO

El script de servicio svc_kmip solo es para recuperación y no puede usarse paraestablecer la configuración de KMIP y habilitarlo en un nuevo sistema. Para obtenermás información sobre este script de servicio, consulte las Notas técnicas de loscomandos de servicio.

Respaldo del archivo de almacenamiento de clavesLos cambios en la configuración del sistema que provocan cambios en elalmacenamiento de claves generan alertas informativas que son persistentes yrecomiendan la creación de respaldos de las claves. Solo se genera una alerta nuevadespués de recuperar del sistema el almacenamiento de claves para su respaldo.

Nota

Se recomienda respaldar el archivo de almacenamiento de claves generado en otraubicación que sea externa al sistema, donde el almacenamiento de claves se puedamantener a salvo y en secreto. Si los archivos de almacenamiento de claves delsistema sufren daños y dejan de estar accesibles, el sistema pasa al modo de servicio.Para solucionar esto, se requieren el archivo de almacenamiento de claves respaldadoy la contratación de un servicio.

Para respaldar el archivo de almacenamiento de claves, se requiere la función deusuario administrador o administrador de seguridad. Para respaldar el archivo dealmacenamiento de claves en una ubicación externa al sistema donde elalmacenamiento de claves se mantenga protegido y en secreto, elija Ajustes deconfiguración > Administración > Cifrado y, en Administrar cifrado >


Respaldo del archivo de almacenamiento de claves 73

Almacenamiento de claves, seleccione Archivo de respaldo de área dealmacenamiento de claves. En el cuadro de diálogo que aparece, se le guía por lospasos precisos para respaldar el archivo de almacenamiento de claves generado.

Nota

También cabe la alternativa de usar el comando de la CLI uemcli -u<username> -p<password> -download encryption -type backupKeys para respaldar elarchivo de almacenamiento de claves en una ubicación externa al sistema, donde elalmacenamiento de claves se mantenga protegido y en secreto. Para obtenerinformación detallada sobre este comando de la CLI, consulte la Guía del usuario dela CLI de Unisphere.

Registro de auditoría del cifrado de datos en reposoLa función de cifrado de datos en reposo (DARE) supone una función de auditoríaseparada que admite el registro de las siguientes operaciones con el almacenamientode claves:

l Habilitación de funciones

l Creación de claves

l Destrucción de claves

l Respaldo del almacenamiento de claves

l Completado del cifrado de disco

l Agregación de tarjetas SLIC

El registro de auditoría de las operaciones con el almacenamiento de claves sealmacena en el espacio privado del sistema. Para descargar toda la información de lasuma de verificación y del registro de auditoría o la información de un año y un mesespecíficos, elija Ajustes de configuración > Administración > Cifrado y, enAdministrar cifrado > Registro de auditoría, seleccione Descargar registro deauditoría y suma de verificación. Para descargar un archivo de suma de verificaciónrecientemente generado para el archivo de registro de auditoría que se recuperó conanterioridad, elija Ajustes de configuración > Administración > Cifrado y, enAdministrar cifrado > Registro de auditoría, seleccione Descargar suma deverificación. El nombre de archivo que suministra debe coincidir exactamente con elarchivo de registro de auditoría que se recuperó con anterioridad.

Nota

También cabe la alternativa de usar el comando de la CLI uemcli -u<username> -p<password> -download encryption -type auditLog -entries <allor YYYY-MM> para descargar toda la información de la suma de verificación y delregistro de auditoría o una parte del registro de auditoría, respectivamente. Paraobtener información detallada sobre este comando de la CLI, consulte la Guía delusuario de la CLI de Unisphere.

Operaciones con hot sparesCuando un sistema ya está configurado con DEK para todas las unidades del sistemaque se encuentran en pools provisionados, las unidades que aún no pertenezcan aningún pool provisionado se consideran unidades sin enlazar. La extracción deunidades sin enlazar o de unidades sin enlazar con errores no tiene ningún efecto en elalmacenamiento de claves, por lo que no se requiere el respaldo del archivo dealmacenamiento de claves. De igual forma, el reemplazo de unidades sin enlazar



tampoco afecta el almacenamiento de claves y, por lo tanto, no se requiere el respaldodel archivo de almacenamiento de claves.

Nota

Las unidades de disco que están sin enlazar se sobrescribirán con los datospredeterminados para quitar los datos preexistentes.

Cuando un sistema ya está configurado con DEK para todas las unidades del sistemaque se encuentran en pools provisionados, dichas unidades se consideran unidadesenlazadas. Si se extrae una unidad enlazada o esta falla y, después de un plazo decinco minutos, se reemplaza por un hot spare permanente, se genera una DEK para elhot spare y empieza la reconstrucción. La DEK de la unidad extraída se quitará deinmediato del almacenamiento de claves. En ese momento, el administrador de clavesestablecerá como modificado el estado del almacenamiento de claves y desencadenaráuna alerta para que se respalde porque se realizaron modificaciones de DEK en elalmacenamiento de claves.

Si la unidad de disco extraída se vuelve a insertar en cualquier lugar del sistema antesde que transcurran esos cinco minutos, no será necesaria la reconstrucción, ni serealizarán modificaciones en el almacenamiento de claves. La DEK seguirá siendo lamisma porque la clave está asociada a la unidad de disco, no al slot. Tampoco segenerará ninguna alerta de estado modificado del almacenamiento de claves.

Nota

Si es imprescindible el saneamiento o la destrucción de la unidad extraída, deberealizarse de manera independiente.

Adición de unidades de disco a sistemas de almacenamiento con cifradohabilitado

La inserción de un disco nuevo o más en el sistema no desencadena la generación deuna DEK nueva para cada disco. Esta operación no se ejecutará en los discos nuevoshasta que se provisionen en un pool. En ese momento, el administrador de clavesestablecerá como modificado el estado del almacenamiento de claves y desencadenaráuna alerta para que se respalde porque se realizaron modificaciones de DEK en elalmacenamiento de claves.

Cuando se agrega una unidad de disco nueva a un sistema de almacenamiento, seconsidera que está sin enlazar. Las unidades de disco que están sin enlazar sesobrescriben con los datos predeterminados para quitar los datos preexistentes. Solose sobrescribe el espacio accesible de la unidad. No se sobrescribirán los datos detexto sin formato residuales que queden ocultos en ubicaciones oscuras dentro de launidad.

AVISO

Si el posible acceso a datos remanentes del anterior uso de la unidad infringe la políticade seguridad, debe sanear la unidad de forma independiente antes de insertarla en elsistema de almacenamiento con cifrado activado.

Extracción de unidades de disco de sistemas de almacenamiento con elcifrado habilitado

Cuando un sistema ya está configurado con DEK para todas las unidades del sistemaque se encuentran en pools provisionados, dichas unidades se consideran unidades


Adición de unidades de disco a sistemas de almacenamiento con cifrado habilitado 75

enlazadas. Si se extrae una unidad enlazada, pero no se reemplaza en un plazo decinco minutos, la DEK de la unidad no se quitará del almacenamiento de claves. Laclave seguirá siendo válida hasta que se elimine el pool provisionado o hasta que seinserte una unidad nueva de reemplazo. Si la unidad de disco extraída se vuelve ainsertar en cualquier lugar del sistema antes de que transcurran esos cinco minutos, noserá necesaria la reconstrucción (como sucede con las unidades de reemplazo), ni serealizarán modificaciones en el almacenamiento de claves. La DEK seguirá siendo lamisma porque la clave está asociada a la unidad de disco, no al slot. Tampoco segenerará ninguna alerta de estado modificado del almacenamiento de claves.

Nota

Si es imprescindible el saneamiento o la destrucción de la unidad extraída, deberealizarse de manera independiente.

Reemplazo de chasis y SP de sistemas de almacenamiento con el cifradohabilitado

El almacenamiento de claves generado mantiene una relación con el hardware delsistema de almacenamiento. Se requiere una contratación de servicio para reemplazarel chasis y los SP del sistema de almacenamiento con el cifrado activado.

Configuración de la seguridad de datosEn la Tabla 16 en la página 76, se muestran las funciones de seguridad disponiblespara los tipos de almacenamiento de los sistemas de almacenamiento compatibles.

Tabla 16 Funciones de seguridad

Tipo de almacenamiento Puerto Protocolo Configuración de seguridad

Almacenamiento iSCSI 3260 TCP l El control de acceso de nivel (iniciador) de host iSCSI(iniciador) está disponible a través de Unisphere (lo queles permite a los clientes obtener acceso alalmacenamiento primario, las snapshots o ambos).

l Se admite la autenticación CHAP para que los servidoresiSCSI del sistema de almacenamiento (de destino) puedanautenticar los hosts iSCSI (iniciadores) que intentanobtener acceso al almacenamiento basado en iSCSI.

l La autenticación de CHAP mutuo se admite para que loshosts iSCSI (iniciadores) puedan autenticar los servidoresiSCSI del sistema de almacenamiento.

Almacenamiento SMB 445 TCP, UDP l La autenticación de acciones administrativas y de dominiose proporciona a través de las cuentas de grupo y usuariode Active Directory.

l Se proporcionan controles de acceso a archivos yrecursos compartidos a través de los servicios dedirectorio de Windows. La lista de control de acceso(ACL) de los recursos compartidos de SMB tambiénpuede configurarse mediante una interfaz de SMI-S.

l Las firmas de seguridad se soportan a través de la firmade SMB.



Tabla 16 Funciones de seguridad (continuación)

Tipo de almacenamiento Puerto Protocolo Configuración de seguridad

l El cifrado de SMB se proporciona a los hosts que puedenusar SMB por medio de SMB 3.0 y Windows 2012.

l Soporta servicios opcionales de retención de archivos através de software adicional.

Almacenamiento NFS 2049 TCP l El control de acceso de recursos compartidos seproporciona a través de Unisphere.

l Es compatible con los métodos de control de acceso yautenticación de NFS identificados en las versiones 3 y 4de NFS.

l Soporta servicios opcionales de retención de archivos através de software adicional.

KDC 88 l Es el centro de distribución de claves. El servidor deKerberos ofrece los vales de Kerberos para conectar a losservicios de Kerberos.

Respaldo y restauración l La seguridad de NDMP se puede implementar en funciónde los secretos compartidos de NDMP.


Configuración de la seguridad de datos 77

CAPÍTULO 6

Mantenimiento de seguridad

En este capítulo se describen diversas funciones de mantenimiento de seguridadimplementadas en el sistema de almacenamiento.


l Mantenimiento seguro....................................................................................... 80l EMC Secure Remote Services para sistemas de almacenamiento...................... 81

Mantenimiento de seguridad 79

Mantenimiento seguroEl sistema de almacenamiento proporciona las siguientes funciones seguras pararealizar las tareas remotas de mantenimiento y actualización del sistema:

l Activación de la licencia

l Actualización de software

l Hotfixes del software

Actualización de licenciasLa función de actualización de licencia permite a los usuarios obtener e instalar laslicencias de funcionalidades concretas del sistema de almacenamiento. En la Tabla17 en la página 80, se muestran las características de seguridad asociadas a lafunción de actualización de licencia.

Tabla 17 Funciones de seguridad de la actualización de licencias

Proceso Seguridad

Obtención de las licencias desde el sitio webdel servicio de soporte en línea de EMC

La adquisición de licencias se ejecuta en unasesión autenticada en el sitio web del serviciode soporte en línea de EMC.

Recepción de archivos de licencia Las licencias se envían a la dirección de correoelectrónico especificada en una transaccióndel sitio web del servicio de soporte en líneade EMC.

Carga e instalación de licencias por medio deUnisphere Client en el sistema dealmacenamiento

l Las cargas de archivos de licencia en elsistema de almacenamiento ocurrendentro de sesiones de Unisphereautenticadas por medio de HTTPS.

l El sistema de almacenamiento valida losarchivos de licencia recibidos mediantefirmas digitales. Cada función con licenciase valida mediante una firma única dentrodel archivo de licencia.

Actualización de softwareLa función de actualización de software del sistema de almacenamiento permite a losusuarios obtener e instalar el software para actualizar el software que se ejecuta en elsistema de almacenamiento. En la Tabla 18 en la página 81, se muestran lascaracterísticas de seguridad asociadas a la función de actualización de software delsistema de almacenamiento.



Tabla 18 Funciones de seguridad de actualización de software

Proceso Descripción

Descarga del software del sistema dealmacenamiento desde el sitio web del serviciode soporte en línea de EMC

La adquisición de licencias se ejecuta en unasesión autenticada en el sitio web del serviciode soporte en línea de EMC.

Carga del software del sistema dealmacenamiento

La carga del software al sistema dealmacenamiento ocurre dentro de una sesiónde Unisphere autenticada por medio deHTTPS.

EMC Secure Remote Services para sistemas dealmacenamiento

La función EMC Secure Remote Services (ESRS) ofrece al proveedor de serviciosautorizado funcionalidades de acceso remoto al sistema de almacenamiento medianteun túnel seguro y cifrado. Para el acceso de salida, la red IP de administración delsistema de almacenamiento debe permitir el tráfico HTTPS de salida y de entrada. Eltúnel seguro que ESRS establece entre el dispositivo del sistema de almacenamiento ylos sistemas autorizados en la red del centro de soporte también se puede usar paratransferir archivos al sistema de almacenamiento o devolverlos a la red del centro desoporte.

Hay dos opciones de servicio remoto disponibles mediante las cuales se puede enviarinformación del sistema de almacenamiento al centro de soporte para la solución deproblemas remota:

l ESRS Virtual Edition (VE) centralizado

l ESRS integrado (solo para implementaciones físicas)

EMC Secure Remote Services centralizadoEl soporte remoto seguro de EMC (ESRS) centralizado se ejecuta en un servidor degateway. Cuando selecciona esta opción, su sistema de almacenamiento se agrega aotros sistemas de almacenamiento en un clúster de ESRS. El clúster reside detrás deuna única conexión segura común (centralizada) entre los servidores del centro desoporte y ESRS Gateway fuera del arreglo. El gateway de ESRS es el único punto deentrada y salida de todas las actividades de ESRS basadas en IP para los sistemas dealmacenamiento asociados con el gateway.

ESRS Gateway es una aplicación de la solución de soporte remoto que se instala enuno o más servidores exclusivos que proporciona el cliente. ESRS Gateway funcionacomo un intermediador de comunicación entre los sistemas de almacenamiento, eladministrador de políticas (opcional) y los servidores proxy (opcionales) asociados, yel centro de soporte. Las conexiones al administrador de políticas y a los servidoresproxy asociados se configuran mediante la interfaz de ESRS Gateway, junto con lasfuncionalidades de adición (registro), modificación, eliminación (anulación del registro)y consulta de estado que pueden usar los clientes de ESRS para registrarse en ESRSGateway.

Para obtener más información acerca de ESRS Gateway y el administrador depolíticas, vaya a la página del producto EMC Secure Remote Services en el servicio desoporte en línea de EMC (https://support.emc.com).


EMC Secure Remote Services para sistemas de almacenamiento 81


EMC Secure Remote Services integrado (solo para implementaciones físicas)

Nota

Es posible que esta función no esté disponible para su implementación.

ESRS integrado se ejecuta directamente en su sistema de almacenamiento. Cuando seselecciona esta opción, el sistema de almacenamiento configura una conexión seguraentre sí mismo y los servidores del centro de soporte. La opción de servicio remotointegrado se puede configurar como solo saliente o saliente/entrante, que es el valorpredeterminado. La configuración solo saliente habilita la funcionalidad deconectividad del servicio remoto para la transferencia remota al centro de soportedesde el sistema de almacenamiento. La configuración saliente/entrante habilita estafuncionalidad para la transferencia remota al centro de soporte y desde este con elsistema de almacenamiento. Cuando se selecciona la opción de configuraciónentrante/saliente, la conexión desde el sistema de almacenamiento a un administradorde políticas opcional y a los servidores proxy asociados se debe configurar medianteUnisphere o la CLI.



CAPÍTULO 7

Ajustes de alertas de seguridad

En este capítulo se describen los diferentes métodos disponibles para notificar a losadministradores acerca de las alertas emitidas en el sistema de almacenamiento.


l Ajustes de alertas...............................................................................................84l Configuración de los ajustes de alertas.............................................................. 85

Ajustes de alertas de seguridad 83

Ajustes de alertasLas alertas del sistema de almacenamiento informan a los administradores acerca deeventos que ocurren en el sistema de almacenamiento sobre los que se pueden tomarmedidas. Los eventos del sistema de almacenamiento se informan como se muestra enla Tabla 19 en la página 84.

Tabla 19 Ajustes de alertas

Tipo de alerta Descripción

Notificación visual Muestra mensajes emergentes informativos cuando los usuarios inician sesión en la interfaz y entiempo real para indicar cuando ocurren condiciones de alerta. Los mensajes emergentesproporcionan información básica sobre la condición de alerta. Para obtener información adicional,

vaya a Ajustes de configuración > Alertas > Especificar alertas de correo electrónico yconfiguración de SMTP.

Nota

Las notificaciones de alertas visuales del sistema de almacenamiento no son configurables. Además,el sistema de almacenamiento no tiene ninguna opción de autenticación en servidores de correoSMTP. Si el servidor de correo requiere la autenticación de todos los clientes para retransmitir uncorreo electrónico, el sistema de almacenamiento no puede enviar alertas por correo electrónico através de él.

Notificación por correoelectrónico.

Le permite especificar una o más direcciones de correo electrónico a las cuales se pueden enviarmensajes de alerta. Puede realizar las siguientes configuraciones:

l Direcciones de correo electrónico a las cuales se envían alertas del sistema de almacenamiento.

l Nivel de gravedad (crítico, error, advertencia, aviso o información) requerido para la notificaciónde correo electrónico.

Nota

Para que funcione la notificación por correo electrónico de alertas del sistema de almacenamiento,debe configurar un servidor SMTP de destino para el sistema de almacenamiento.

SNMP traps Transfieren información de alerta a hosts designados (destinos trap) que actúan como repositoriosde la información de alerta que genera el sistema de red de almacenamiento. Puede configurar losSNMP traps a través de Unisphere. La configuración incluye:

l Dirección IP de un destino de SNMP trap de red.

l Configuración de seguridad opcional para la transmisión de datos de trap

n Protocolo de autenticación: algoritmo de hashing que se utiliza para los SNMP traps (SHA oMD5).

n Protocolo de privacidad: algoritmo de cifrado que se utiliza para SNMP traps (DES o AES)

n Versión: versión que se utiliza para SNMP traps (v2c o v3)

n Comunidad: cadena de comunidad de SNMP (se aplica solo al destino de SNMP v2c)

La ayuda en línea de Unisphere proporciona más información.

EMC Secure RemoteServices (ESRS)

ESRS proporciona una conexión basada en IP que permite que el servicio de soporte de EMC recibaarchivos de error y mensajes de alerta de su sistema de almacenamiento, además de realizar tareasremotas de solución de problemas de un modo rápido y eficiente.



Tabla 19 Ajustes de alertas (continuación)

Tipo de alerta Descripción

Nota

Está disponible con la versión 4.0 o superior del ambiente operativo. Para que ESRS funcione, debehabilitarlo en el sistema de almacenamiento.

Configuración de los ajustes de alertasPuede configurar los ajustes de alertas del sistema de almacenamiento paranotificaciones por correo electrónico y SNMP traps desde el sistema dealmacenamiento.

Configuración de los ajustes de las alertas para la notificación por correoelectrónico

Uso de Unisphere:

Procedimiento

1. En Ajustes de configuración > Alertas > Correo electrónico y SMTP.

2. En la sección Especificar alertas de correo electrónico y configuración deSMTP de Enviar las alertas de correo electrónico a la siguiente lista decorreos electrónicos, configure las direcciones de correo electrónico a las quedeben enviarse las notificaciones de alerta.

3. En Nivel de severidad de las alertas que se envían:, configure la gravedad quedebe alcanzarse para que se generen los correos electrónicos de alerta en unade las opciones siguientes:

l Critical

l Error y más

l Advertencia y más

l Aviso y más

l Información y más

Nota

Para que el mecanismo de alerta por correo electrónico del sistema dealmacenamiento funcione, se debe configurar un servidor SMTP de destino parael sistema de almacenamiento.

4. En Especificar ajustes de red SMTP:, configure el servidor de SMTP dedestino.

Configuración de los ajustes de las alertas para SNMP trapsUso de Unisphere:


Configuración de los ajustes de alertas 85

Procedimiento

1. Elija Ajustes de configuración > Alertas > SNMP.

2. En la sección Administrar alertas de SNMP de Enviar alertas medianteSNMP traps a estos destinos, configure la información siguiente sobre losdestinos de SNMP traps:

l Nombre de red o dirección IP

l Protocolo de autenticación que utilizar

l Protocolo de privacidad que utilizar

l Versión de SNMP que se usará

l Cadena de comunidad (se aplica solo a SNMP v2c)

3. En Nivel de severidad de las alertas que se envían:, configure el nivel degravedad que se debe alcanzar para que se generen SNMP traps en uno de lossiguientes valores:

l Crítico

l Error y superior

l Advertencia y superior

l Aviso y superior

l Información y superior



CAPÍTULO 8

Otras configuraciones de seguridad

En este capítulo se incluye otra información relevante para garantizar elfuncionamiento seguro del sistema de almacenamiento.


l Acerca de STIG.................................................................................................. 88l Administrar el modo STIG (solo para implementaciones físicas).........................88l Administrar la configuración de cuentas de usuario en el modo STIG (solo para

implementaciones físicas).................................................................................. 90l Bloqueo/desbloqueo manuales de cuentas(solo para implementaciones físicas)

...........................................................................................................................94l Controles físicos de seguridad (solo para implementaciones físicas)..................94l Protección antivirus........................................................................................... 94

Otras configuraciones de seguridad 87

Acerca de STIGUna guía de implementación técnica de seguridad (STIG) define un estándar deconfiguración y mantenimiento para las implementaciones de computadora que exigeel programa de seguridad de la información (IA) del Departamento de Defensa de losEstados Unidos (DoD). Estas reglas están diseñadas para mejorar la configuración dela seguridad y las opciones de configuración antes de que los sistemas se conecten auna red. Más información acerca de las diversas STIG está disponible en http://iase.disa.mil/stigs/index.html.

Algunos de los pasos de reforzamiento necesarios para cumplir con los requisitos deSTIG se activan mediante la ejecución de scripts de servicio. El comando de serviciosvc_stig habilita o deshabilita el modo STIG en un sistema Unity (solo paraimplementaciones físicas) y proporciona el estado del modo STIG. Este comando deservicio ofrece un mecanismo simple y automatizado para aplicar estos cambios. Estoscambios también se pueden deshacer si hay un requisito en tal sentido en una fechaposterior (por ejemplo, para solucionar un problema operacional).

Nota

Si bien los cambios que implementa el modo STIG en las opciones de configuración yde administración se pueden deshacer, no toda la configuración relacionada sedevuelve a sus valores predeterminados. Algunos ajustes de configuración, como loscambios en los permisos y los privilegios para los sistemas de archivos en el nivel delambiente operativo, se conservan.

El sistema de almacenamiento mantiene el modo STIG y lo conserva cuando se realizauna actualización de software.

Administrar el modo STIG (solo para implementacionesfísicas)

Cuando el modo STIG se habilita mediante el comando de servicio svc_stig, semuestra el estado de cada una de las STIG (categoría I, categoría II o ambas) aplicada.Puede especificar las categorías que se aplican. Sin embargo, cuando se usasvc_stig -e sin que se especifiquen opciones, las STIG CAT I y CAT II se aplican deforma predeterminada. Cuando se habilita CAT II, la interfaz del servicio SSH delsistema de almacenamiento y Unisphere mostrarán un anuncio de inicio de sesión deDoD para las sesiones interactivas.

Para reforzar su sistema de almacenamiento, siga estos tres pasos en orden:

1. Habilite el modo STIG. Este proceso aplica los cambios en el SP pasivo y lo reinicia.Una vez que el SP pasivo está en pleno funcionamiento, se convierte en el SPactivo. A continuación, los cambios se aplican en el SP activo anterior, en el cual seemite un reinicio.

2. Habilite el modo FIPS 140-2. Este proceso hace que los SP se vuelvan a reiniciar.Para obtener información acerca del modo FIPS 140-2, consulte Soporte deadministración para FIPS 140-2 en la página 65.

3. Habilite la configuración de cuentas de usuario que cumple con STIG. Para obtenerinformación acerca de la configuración de cuentas de usuario que cumple conSTIG, consulte Administrar la configuración de cuentas de usuario en el modo STIG(solo para implementaciones físicas) en la página 90.



http://iase.disa.mil/stigs/index.html

http://iase.disa.mil/stigs/index.html

Para deshabilitar el reforzamiento de su sistema de almacenamiento, siga estos trespasos en orden:

1. Deshabilite la configuración de cuentas de usuario que cumple con STIG.

2. Deshabilite el modo FIPS 140-2.

3. Deshabilite el modo STIG.

Casos de uso

Usage: svc_stig [<qualifiers>] where the qualifiers are:

-h|--help : Display this message -d|--disable [options] : Disable STIGs -e|--enable [options] : Enable STIGs -s|--status [options] : Get status for STIGs

This script enables, disables, and provides current status for eachcatgory of STIGs.

See the help text below for more information on options.

Refer to the system documentation for a complete description of STIGssupported.

-d|--disable: Used to Disable all STIGs (no option specified). Options:

-c|--cat [X] : disable a specific category of STIGs

-e|--enable: Used to Enable all STIGs (no option specified). Options:

-c|--cat [X] : enable a specific category of STIGs

-s|--status: Used to show the current status (enabled or disabled) for all STIGs (no option specified). Options:

-c|--cat [X] : show status for a specific Category of STIGs -b|--boolean-format : show boolean status for a specific Category of STIGs

Ejemplo 1 Habilitar el modo STIG

12:51:21 service@OB-M1204-spb spb:~> svc_stig -e###############################################################################WARNING:WARNING: This action will cause a reboot of the system!!WARNING:###############################################################################

###############################################################################INFO:INFO: Both Storage Processors will reboot in sequence, starting with peer SP.


Administrar el modo STIG (solo para implementaciones físicas) 89

Ejemplo 1 Habilitar el modo STIG (continuación)

INFO: When primary SP comes back from reboot, the process will automaticallyINFO: restart to finish applying. Monitor status with 'svc_stig -s'. If statusINFO: does not change to expected value within 30 minutes, contact serviceINFO: provider.INFO:###############################################################################Enter "yes" if want to proceed with this action:

Ejemplo 2 Mostrar el estado del modo STIG

13:25:15 service@OB-M1204-spa spa:~> svc_stig -sSTIG CATEGORY 1: ENABLEDSTIG CATEGORY 2: ENABLED

Administrar la configuración de cuentas de usuario en elmodo STIG (solo para implementaciones físicas)

Un usuario con una función de administrador o administrador de seguridad tiene lacapacidad de habilitar, deshabilitar, ver y ajustar la configuración relacionada con lascuentas de usuario. La configuración se aplica a todas las cuentas de usuario, a menosque se especifique de otra manera. Cuando la configuración de cuentas de usuario sehabilita sin que se especifique para esta un valor concreto, se aplica automáticamenteel valor predeterminado que cumple con STIG. Cuando la configuración de cuentas deusuario se deshabilita, cada ajuste se revierte a su valor anterior a la habilitación de lafuncionalidad. La siguiente funcionalidad para la configuración de cuentas de usuariosolo se aplica en sistemas que tienen activado el modo STIG:

l Requisitos adicionales de contraseñas

l Requisitos de inicios de sesión fallidos

l Período de bloqueo

l Tiempo de espera inactivo de sesión

l Habilitación del bloqueo de administrador predeterminado

El siguiente es un resumen de las limitaciones para la funcionalidad de configuración decuentas de usuario:

l La funcionalidad solo está disponible a través de los comandos /user/account/settings set y /user/account/settings show de UEMCLI.

l Solo un usuario con una función de administrador o administrador de seguridadpuede ejecutar este comando.

l La contraseña de la cuenta de administrador predeterminada no vence.

l El comando arroja un error si se utiliza cuando el modo STIG no está activado.

l Esta funcionalidad se debe habilitar por separado después de la habilitación delmodo STIG.



l Esta funcionalidad se debe deshabilitar por separado antes de la deshabilitación delmodo STIG.

Requisitos adicionales de contraseñasSe agregan requisitos adicionales de contraseñas para las cuentas de usuario creadaso modificadas después de la habilitación del modo STIG:

l Tamaño mínimo de contraseña

l Conteo de contraseñas

l Período de contraseña

La configuración de tamaño mínimo de contraseña (-passwdMinSize) representa eltamaño mínimo que deben tener las contraseñas de las cuentas de usuario localescuando se crea una cuenta de usuario o se modifica una contraseña. El tamaño mínimode la contraseña se puede configurar de modo que esté en el rango de 8 a 40caracteres. El valor predeterminado cuando se habilita la configuración de cuentas deusuario sin que se especifique el tamaño mínimo de la contraseña es 15 caracteres.Cuando la configuración de cuentas de usuario se deshabilita, el tamaño mínimo decontraseña se establece en 8 caracteres. Cualquier cambio en esta configuración noafecta a las cuentas de usuario locales que se crearon antes del cambio, a menos quela contraseña se modifique.

La configuración de conteo de contraseñas (-passwdCount) representa la cantidadde contraseñas que no se pueden reutilizar para las cuentas de usuario locales. Elconteo de contraseñas se puede configurar de modo que esté en el rango de 3 a 12contraseñas. El valor predeterminado cuando se habilita la configuración de cuentasde usuario sin que se especifique el conteo de contraseñas es 5 contraseñas. Cuandola configuración de cuentas de usuario se deshabilita, el conteo de contraseñas seestablece en 3 contraseñas. Esta configuración afecta a todas las cuentas de usuariolocales, tanto las preexistentes como las nuevas.

La configuración de período de contraseña (-passwdPeriod) representa el períodoen días en que vence la contraseña para las cuentas de usuario locales. El período decontraseña se puede configurar de modo que esté en el rango de 1 a 180 días, donde elvalor -noPasswdPeriod significa que una contraseña no vence. El valorpredeterminado cuando se habilita la configuración de cuentas de usuario sin que seespecifique el período de contraseña es 60 días. Cuando la configuración de cuentasde usuario se deshabilita, el período de contraseña queda en blanco. Estaconfiguración afecta a todas las cuentas de usuario locales, tanto las preexistentescomo las nuevas. Sin embargo, no se aplica a la cuenta de usuario administradorpredeterminada, en la cual la contraseña no vence.

Estado de vencimiento de las contraseñasUn usuario con una función de administrador o administrador de seguridad puede verel parámetro de estado de vencimiento de las contraseñas para todas las cuentas deusuario locales. Este parámetro no se puede configurar. Solo se puede ver cuándo seespecifica la opción -detail en el comando /user/account/settings show deUEMCLI.

El estado de vencimiento de las contraseñas para una cuenta de usuario aparece comouno de los siguientes valores:

l N/A: Aparece cuando una contraseña se establece de modo que no venza, cuandola cuenta de usuario es de tipo LDAP o cuando la configuración de cuentas deusuario está deshabilitada.

l # days remaining: Aparece cuando la configuración de cuentas de usuario estáhabilitada y el período de contraseña se configura en un valor mayor que 0.

l expired: Aparece cuando la contraseña venció para la cuenta de usuario.


Administrar la configuración de cuentas de usuario en el modo STIG (solo para implementaciones físicas) 91

Requisitos de inicios de sesión fallidosSe agregan los siguientes requisitos de inicios de sesión fallidos para las cuentas deusuario locales tras la habilitación del modo STIG:

l Máximo de inicios de sesión fallidosl Período de inicios de sesión fallidos

La cantidad máxima de inicios de sesión fallidos consecutivos que se permite para lascuentas de usuario locales se puede configurar de modo que esté en el rango de 1 a 10inicios de sesión fallidos consecutivos. El valor predeterminado cuando se habilita laconfiguración de cuentas de usuario sin que se especifique el máximo de inicios desesión fallidos es 3 inicios de sesión fallidos consecutivos. Cuando la configuración decuentas de usuario se deshabilita, la cantidad máxima de inicios de sesión fallidosconsecutivos queda en blanco.

Nota

La configuración del período de inicios de sesión fallidos (-failedLoginPeriod) ydel período de bloqueo (-lockoutPeriod) se debe especificar con un valor cuandose especifica la configuración del máximo de inicios de sesión fallidos (-maxFailedLogins). El valor -noMaxFailedLogins significa que no hay unmáximo en la cantidad de inicios de sesión fallidos consecutivos que se permiten.Además, -noFailedLoginPeriod y -noLockoutPeriod se deben especificarcuando se especifica -noMaxFailedLogins. Para obtener más información acercade esta configuración, consulte Deshabilitación/rehabilitación del conteo de inicios desesión fallidos en la página 93.

La configuración del período de inicios de sesión fallidos representa el período ensegundos en el cual se rastra la cantidad de inicios de sesión fallidos para las cuentasde usuario locales. El período se puede configurar de modo que esté en el rango de 1 a3,600 segundos. El valor predeterminado cuando se habilita la configuración decuentas de usuario sin que se especifique el período de inicios de sesión fallidos es 900segundos. Cuando la configuración de cuentas de usuario se deshabilita, el período deinicios de sesión fallidos queda en blanco.

Nota

La configuración del período de inicios de sesión fallidos (-maxFailedLogins) y delperíodo de bloqueo (-lockoutPeriod) se debe especificar con un valor cuando seespecifica la configuración del período de inicios de sesión fallidos (-failedLoginPeriod). El valor -noFailedLoginPeriod significa que la cantidadde inicios de sesión fallidos consecutivos no se rastrea dentro de un período. Además,-noMaxFailedLogins y -noLockoutPeriod se deben especificar cuando seespecifica -noFailedLoginPeriod. Para obtener más información acerca de estaconfiguración, consulte Deshabilitación/rehabilitación del conteo de inicios de sesiónfallidos en la página 93.

Período de bloqueoLa configuración del período de bloqueo representa el período en segundos en el cualla cuenta de usuario local se bloquea cuando se alcanza la cantidad máxima de iniciosde sesión fallidos consecutivos dentro de la ventana de tiempo de inicios de sesiónfallidos. El período se puede configurar de modo que esté en el rango de 1 a 86,400segundos. El valor predeterminado cuando se habilita la configuración de cuentas deusuario sin que se especifique el período de bloqueo es 3,600 segundos. Cuando laconfiguración de cuentas de usuario se deshabilita, el período de bloqueo queda enblanco.



Nota

La configuración del máximo de inicios de sesión fallidos (-maxFailedLogins) y delperíodo de inicios de sesión fallidos (-failedLoginPeriod) se debe especificar conun valor cuando se especifica la configuración del período de bloqueo (-lockoutPeriod). El valor -noLockoutPeriod significa que la cuenta no sebloqueará debido al cumplimiento del requisito del máximo de inicios de sesión fallidosdentro del requisito del período de inicios de sesión fallidos. Además, -noMaxFailedLogins y -noFailedLoginPeriod se deben especificar cuando seespecifica -noLockoutPeriod. Para obtener más información acerca de estaconfiguración, consulte Deshabilitación/rehabilitación del conteo de inicios de sesiónfallidos en la página 93.

Deshabilitación/rehabilitación del conteo de inicios de sesión fallidosUn usuario con una función de administrador o administrador de seguridad puede optarpor deshabilitar todas las restricciones de inicio de sesión mediante la configuraciónsimultánea de -noMaxFailedLogins, -noFailedLoginPeriod y -noLockoutPeriod en un comando; por ejemplo:

uemcli -d 10.0.0.1 -u Local/admin -p MyPassword456! /user/account/settings set -noMaxFailedLogins -noFailedLoginPeriod -noLockoutPeriod

PRECAUCIÓN

No se recomienda ejecutar este comando cuando está habilitado el modo STIG.Mientras esta configuración está activa, se podría permitir un ataque decontraseña de fuerza bruta debido a que no se realiza ninguna comprobación.

Para volver a habilitar todas las restricciones de inicio de sesión, configuresimultáneamente -maxFailedLogins, -failedLoginPeriod y -lockoutPeriod con valores en un comando; por ejemplo:

uemcli -d 10.0.0.1 -u Local/admin -p MyPassword456! /user/account/settings set -maxFailedLogins 3 -failedLoginPeriod 900 -lockoutPeriod3600

Tiempo de espera inactivo de sesiónLa configuración de tiempo de espera inactivo de sesión representa el período ensegundos en el cual una sesión de un usuario puede estar inactiva antes de que finaliceautomáticamente. El período se puede configurar de modo que esté en el rango de 1 a3,600 segundos. El valor predeterminado cuando se habilita la configuración decuentas de usuario sin que se especifique el tiempo de espera inactivo de sesión es600 segundos. Cuando la configuración de cuentas de usuario se deshabilita, el tiempode espera inactivo de sesión queda en blanco. Esta configuración se aplica a lascuentas de usuario locales y de LDAP.

Nota

El valor -noSessionIdleTimeout significa que no se agotará el tiempo de esperade la sesión debido a la inactividad.

Habilitación del bloqueo de administrador predeterminadoLa configuración de habilitación del bloqueo de administrador predeterminadoestablece si la funcionalidad de bloqueo manual y automático de la cuenta se aplicará ala cuenta de usuario administrador predeterminada local. Esta configuración se puedeestablecer en yes o no. El valor predeterminado es no cuando la configuración de


Administrar la configuración de cuentas de usuario en el modo STIG (solo para implementaciones físicas) 93

cuentas de usuario está habilitada sin que se especifique esta configuración. Un valorno significa que la funcionalidad de bloqueo manual y automático de la cuenta no seaplica a la cuenta de usuario administrador predeterminada local.

Bloqueo/desbloqueo manuales de cuentas(solo paraimplementaciones físicas)

Un usuario con una función de administrador tiene la capacidad de bloquear/desbloquear manualmente cuentas de usuario. Cuando una cuenta de usuario sebloquea manualmente, el usuario no puede autenticarse correctamente aunque lascredenciales sea válidas. Además, la cuenta de usuario permanece bloqueada hastaque un administrador la desbloquea manualmente.

El siguiente es un resumen de las limitaciones para la funcionalidad de bloqueo/desbloqueo manuales:

l La funcionalidad solo está disponible a través de UEMCLI, /user/account/ -id<administrator_id> set -locked {yes|no}.

l Solo un usuario con una función de administrador puede ejecutar este comando.

l La cuenta de administrador predeterminada no se puede bloquear/desbloquear.

l Un usuario no puede bloquear/desbloquear sus propias cuentas.

l El comando arroja un error si se utiliza cuando el modo STIG no está activado.

Controles físicos de seguridad (solo para implementacionesfísicas)

El área en la que reside el sistema de almacenamiento debe elegirse y modificarse paraproporcionar la seguridad física del sistema de almacenamiento. Esto incluye medidasbásicas como proporcionar suficientes puertas y trabas, permitir solo el acceso físicomonitoreado y autorizado al sistema, brindar una fuente de alimentación confiable yseguir las mejores prácticas de cableado.

Además, los siguientes componentes del sistema de almacenamiento requieren uncuidado especial:

l Botón de restablecimiento de contraseña: Restablece temporalmente lascontraseñas predeterminadas de fábrica correspondientes a la cuenta deadministrador y la cuenta de servicios predeterminadas del sistema dealmacenamiento hasta el momento en que un administrador las restablezca.

l Conector del puerto de servicio Ethernet del SP: permite el acceso autenticado através de una conexión al puerto de servicio Ethernet del SP.

Protección antivirusEl sistema de almacenamiento es compatible con el agente antivirus de Celerra(CAVA). CAVA, un componente de Common Event Enabler (CEE), proporciona unasolución antivirus a los clientes que usan un sistema de almacenamiento. Utiliza unprotocolo SMB estándar del sector en un ambiente de Microsoft Windows Server.CAVA utiliza software antivirus de otros fabricantes para identificar y eliminar virusconocidos antes de que infecten los archivos del sistema de almacenamiento. Elinstalador de CEE, que incluye el instalador de CAVA, y las notas de la versión de CEE



están disponibles en el soporte en línea bajo Soporte por producto para la familiaUnity, UnityVSA, Unity Hybrid o Unity All Flash en Descargas > Versión completa.


Protección antivirus 95

APÉNDICE A

Conjuntos de aplicaciones de cifrado TLS

En este apéndice se enumeran los conjuntos de aplicaciones de cifrado TLScompatibles con el sistema de almacenamiento.


l Suites de cifrado del protocolo TLS compatibles................................................98

Conjuntos de aplicaciones de cifrado TLS 97

Suites de cifrado del protocolo TLS compatiblesUna suite de aplicaciones de cifrado define un conjunto de tecnologías que protegenlas comunicaciones por el protocolo∘TLS:

l Algoritmo de intercambio de claves (la manera en que se usa la clave para cifrar losdatos que se transmiten del cliente al servidor). Ejemplos: clave de RSA o Diffie-Hellman (DH)

l Método de autenticación (la manera en que los hosts pueden autenticar laidentidad de hosts remotos). Ejemplos: certificado de RSA, certificado de DSS osin autenticación

l Cifrado (la manera en que se cifran los datos). Ejemplos: AES (256 o 128 bits)

l Algoritmo hash (que asegura los datos a través de un método para determinar si sehan modificado). Ejemplos: SHA-2 o SHA-1.

Las suites de aplicaciones de cifrado compatibles combinan todos estos elementos.

En la lista siguiente se proporcionan los nombres de OpenSSL de las suites deaplicaciones de cifrado TLS para el sistema de almacenamiento y los puertosasociados.

Tabla 20 Suites de cifrado del protocolo TLS predeterminadas/compatibles que admite elsistema de almacenamiento

Conjuntos de aplicaciones de cifrado Protocolos Puertos

TLS_DHE_RSA_WITH_AES_128_CBC_SHA TLSv1, TLSv1.1 y TLSv1.2 443, 8443 y8444

TLS_DHE_RSA_WITH_AES_256_CBC_SHA TLSv1, TLSv1.1 y TLSv1.2 443, 8443 y8444

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLSv1.2 443, 8443 y8444

TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 TLSv1.2 443, 8443 y8444

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLSv1.2 443, 8443 y8444

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLSv1.2 443, 8443 y8444

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLSv1, TLSv1.1 y TLSv1.2 443, 8443 y8444

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLSv1, TLSv1.1 y TLSv1.2 443, 8443 y8444

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLSv1.2 443, 8443 y8444

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLSv1.2 443, 8443 y8444

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLSv1.2 443, 8443 y8444



Tabla 20 Suites de cifrado del protocolo TLS predeterminadas/compatibles que admite elsistema de almacenamiento (continuación)

Conjuntos de aplicaciones de cifrado Protocolos Puertos

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLSv1.2 443, 8443 y8444

TLS_DHE_RSA_WITH_AES_128_CBC_SHA TLSv1, TLSv1.1 y TLSv1.2 5989

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLSv1.2 5989

TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 TLSv1.2 5989

TLS_RSA_WITH_AES_128_CBC_SHA TLSv1, TLSv1.1 y TLSv1.2 5989

TLS_RSA_WITH_AES_128_CBC_SHA256 TLSv1.2 5989

TLS_RSA_WITH_AES_256_CBC_SHA TLSv1, TLSv1.1 y TLSv1.2 5989

TLS_RSA_WITH_AES_256_CBC_SHA256 TLSv1.2 5989


Suites de cifrado del protocolo TLS compatibles 99

APÉNDICE B

Configuración de LDAP

En este apéndice se describe cómo configurar el sistema Unity para conectarse a unservidor LDAP con fines de autenticación y cómo asignar funciones a usuarios ygrupos de LDAP.


l Acerca de la configuración de LDAP................................................................. 102l Configurar el servidor DNS............................................................................... 102l Configurar el servidor LDAP............................................................................. 103l Configurar un usuario de LDAP......................................................................... 107

Configuración de LDAP 101

Acerca de la configuración de LDAPEl protocolo LDAP es un protocolo de aplicaciones para consultar y modificar losservicios de directorio que se ejecutan en las redes TCP/IP. LDAP ayuda a centralizarla administración de las operaciones de autenticación y autorización de redes. Integrara los usuarios de Unisphere al ambiente LDAP existente brinda una manera decontrolar el acceso de la administración a las cuentas de grupos y usuariosestablecidas dentro del directorio LDAP.

Antes de configurar LDAP, debe configurar el sistema Unity para que se conecte a unservidor DNS. Esta acción se requiere para resolver la dirección IP y el nombrecompleto del host para cada servidor LDAP que se configura.

Las entidades en red que intercambian datos utilizan certificados para autenticarseentre ellas. Para que se produzcan comunicaciones seguras entre dos entidades enred, una entidad debe confiar (aceptar) en el certificado de la otra. Unisphere utilizalos estándares de certificados SSL/TLS y X.509 para proteger las comunicaciones delcliente (sistema de almacenamiento) y el servidor (LDAP). El sistema Unity requiereque se cargue el archivo de cadena de certificados para verificar correctamente elcertificado del servidor que se recibe del servidor LDAP cuando se establece la sesiónde TLS.

Después de establecer la configuración de LDAP para el sistema Unity, puededesempeñar funciones de administración de usuarios. Por ejemplo, puede asignarpermisos de acceso a Unisphere en función de usuarios y grupos existentes dentro delcontexto de una estructura de directorios de LDAP establecida.

Siga esta secuencia de pasos para configurar LDAP en un sistema Unity:

1. Configurar el servidor DNS

Nota

Se requiere solamente cuando se utilizan nombres de host para las direcciones IPde LDAP o cuando se utiliza la función de LDAP dinámico. De lo contrario, estepaso es opcional.

2. Configurar el servidor LDAP.

3. Verificar la conexión del servidor LDAP.

4. Configurar LDAPS para el servidor LDAP.

5. Verificar la conexión del servidor LDAP mediante el protocolo LDAPS.

6. Configurar usuarios y grupos de LDAP.

Nota

La ayuda en línea de Unisphere proporciona más información acerca de LDAP y DNS, asícomo los pasos para configurar el sistema Unity con el fin de conectarse a un servidorLDAP y a un servidor DNS, y la forma de administrar usuarios y grupos de LDAP yasignarles funciones.

Configurar el servidor DNS

Se debe configurar DNS antes de que se configure el servidor LDAP para resolver lasdirecciones del servidor LDAP. Esto se requiere para asegurarse de que se puedanresolver la dirección IP y el nombre completo del host para cada servidor LDAP.



Para configurar el DNS, realice lo siguiente:

Procedimiento

1. En Unisphere, haga clic en el icono de engranaje de la barra de menú superiorpara mostrar la página Ajustes de configuración.

2. En el panel izquierdo bajo Administración, haga clic en Servidor DNS.

Aparece la página Administrar servidores de nombres de dominio.

3. De acuerdo con la configuración de su sitio, realice una de las siguientesacciones:

l Si el sistema está configurado para recuperar las direcciones del servidorDNS desde un origen remoto, seleccione Obtener la dirección del servidorDNS automáticamente.

l En el caso de un servidor DNS que tenga configurado el servidor LDAP,seleccione Configurar la dirección del servidor DNS manualmente eintroduzca al menos una dirección IP. Si los servidores LDAP se configuraránmanualmente utilizando direcciones IP, estos deben estar en zonas debúsqueda directa e inversa en el servidor DNS.

4. Cuando las direcciones del servidor DNS se hayan configurado, haga clic enAplicar para guardar la configuración del servidor DNS.

Configurar el servidor LDAP

La configuración del servidor LDAP consiste en especificar la información deconfiguración necesaria para conectarse al servidor LDAP.

Para configurar LDAP, realice lo siguiente:

Procedimiento


2. En el panel izquierdo bajo Usuarios y grupos, haga clic en Servicios dedirectorio.

Aparece la página Configurar las credenciales del servidor LDAP.

3. En Nombre de dominio, escriba el nombre del dominio del servidor deautenticación LDAP.

El nombre del dominio se debe completar cuando se crea la configuración delservidor LDAP. Después de eso, se atenúa debido a que no se puede cambiar sineliminar y volver a crear la configuración del servidor LDAP.

4. En Nombre distinguido, escriba el nombre distinguido del usuario de LDAP conprivilegios de administrador.

El nombre distinguido se debe especificar en uno de los siguientes formatos:

l Formato de notación de LDAP (por ejemplo,cn=Administrator,cn=Users,dc=mycompany,dc=com)

l Formato <user>@<domain> (por ejemplo, [email protected])

l Formato <domain>/<user> (por ejemplo, mycompany.com/Administrator)

5. En Contraseña, escriba la contraseña para el usuario que se especificó enNombre distintivo.


Configurar el servidor LDAP 103

6. Si el servidor LDAP utiliza para LDAP un puerto distinto al número de puertopredeterminado 389, cambie el puerto al número de puerto requerido.

Por ejemplo, especifique el puerto 3268 para LDAP con autenticación en el nivelde bosque. (nsroot.net en lugar de nam.nsroot.net cuando se utilizaLDAP permite que los clientes consulten todo el bosque de Active Directory(AD) (puerto 3268) en vez de consultar solamente el dominio de AD (puertoTCP 389). Además, la asociación de la función de AD se basa en alcances degrupo para grupos locales del dominio y grupos universales. Esto permite que losusuarios finales busquen en AD utilizando un alcance adecuado según seanecesario y que eviten búsquedas de grupo innecesarias). Es recomendableconfigurar y verificar LDAP antes de configurar LDAP seguro (LDAPS). Estominimizará cualquier tarea de solución de problemas que pueda ser necesariacuando se habilite LDAPS.

7. En Dirección de servidor, realice una de las siguientes acciones:

l Para agregar manualmente una dirección de servidor, haga clic en Agregarcon el fin de mostrar el cuadro de diálogo Servidor LDAP, introduzca ladirección IP o el nombre completo del host y haga clic en Aceptar. Paraquitar una dirección de servidor, seleccione la dirección en el cuadro de textoy haga clic en Quitar.

l Para recuperar automáticamente las direcciones de servidor desde DNS,haga clic en Descubrir automáticamente.

8. Si el servidor LDAP tiene una ruta de búsqueda distinta al valor predeterminadocn=Users,dc= para usuarios, grupos o ambos, haga clic en Opcionesavanzadas.

Aparece el cuadro de diálogo Opciones avanzadas.

9. En la ventana Opciones avanzadas, actualice las rutas de búsqueda u otroscampos según sea necesario y, a continuación, haga clic en Aceptar paraguardar los cambios en la configuración avanzada.

Por ejemplo, si va a configurar la autenticación en el nivel del bosque, seleccioneOpciones avanzadas para acceder a la ventana Opciones avanzadas yespecifique userPrincipalName en el campo Atributo ID de usuario. Si elservidor LDAP tiene una ruta de búsqueda diferente a la predeterminada(cn=Users,dc= ) para los usuarios, los grupos o ambos, acceda a la ventanaOpciones avanzadas para actualizar las rutas de búsqueda u otras propiedadessegún sea necesario.

10. Después de especificar toda la información de configuración de LDAP, haga clicen Aplicar para guardar la configuración.

Si se seleccionó Descubrir automáticamente para recuperar las direcciones deservidor desde DNS de manera automática, las direcciones obtenidas desdeDNS se muestran atenuadas en Dirección de servidor.

Requistos posteriores

Después de guardar la configuración del servidor LDAP y para evitar la posibilidad deque los datos no estén disponibles, debe verificar la configuración para confirmar elcorrecto establecimiento de las conexiones a este servidor.

Verificar la configuración de LDAP



Nota

Para evitar la posibilidad de que los datos no estén disponibles, debe verificar laconexión de LDAP después de cada cambio en la configuración de LDAP.

Para verificar si la conexión al servidor LDAP se establecerá correctamente, realice losiguiente:

Procedimiento

1. Haga clic en Verificar conexión en la página Configurar las credenciales delservidor LDAP.

Si la configuración es válida, se establecerá una conexión con el servidor LDAP yaparecerá una marca de verificación verde junto con el texto Conexiónverificada.

2. Si la verificación falla, se recomiendan los siguientes pasos de solución deproblemas:

a. Verifique la información de configuración de Configurar las credencialesdel servidor LDAP, en especial el Nombre distinguido (nombre de usuario),la Contraseña y la Dirección de servidor (dirección IP o nombre de host).

b. Verifique que el servidor LDAP esté en línea.

c. Verifique que no haya problemas de red; por ejemplo, reglas de firewall quepudieran bloquear el acceso al puerto LDAP, una configuración del enrutadorde red que impidiera la conexión, etc.

Configurar LDAP seguro

Para configurar LDAP seguro (LDAPS), se debe realizar lo siguiente:

l Configurar el protocolo LDAPS y el puerto

l Configurar la cadena de certificados

Cuando se configura LDAPS, el sistema Unity se conecta al servidor LDAP medianteTLS. El sistema Unity requiere que se cargue el archivo de cadena de certificados paraverificar correctamente el certificado del servidor que se recibe del servidor LDAPcuando se establece la sesión de TLS.

El formato del archivo de certificado que se cargará es el siguiente:

l El archivo de certificado debe terminar en una extensión de archivo cer. Ejemplo:LdapServerChain.cer

l Todos los certificados del archivo de certificado que se cargará deben estar enformato PEM. Los certificados con formato PEM son texto ASCII que comienzacon -----BEGIN CERTIFICATE----- y termina con -----ENDCERTIFICATE-----.

l El certificado del servidor LDAP debe tener el nombre del servidor, como seespecificó en la configuración de LDAP, en el campo Sujeto o Nombre alternativodel sujeto. Esto es necesario para verificar que el certificado provenga del servidorLDAP deseado.

l Si el certificado del servidor LDAP es autofirmado, solamente se requiere elcertificado del servidor.

l Si el certificado del servidor LDAP está firmado por una autoridad de certificación,la cadena de certificados, hasta la autoridad de certificación raíz, debe estar en elsiguiente orden en el archivo de certificado que se cargará:


Configurar LDAP seguro 105

1. Certificado de la autoridad de certificación intermedia (si existe).

2. ...

3. Certificado de la autoridad de certificación raíz.

4. Si hay varios certificados en el archivo que se cargará, debe haber una nuevalínea entre cada certificado.

Para configurar LDAPS, realice lo siguiente:

Procedimiento

1. Haga clic en la casilla de verificación Usar protocolo LDAPS de la páginaConfigurar las credenciales del servidor LDAP.

El Puerto se cambia automáticamente a 636, que es el número de puertopredeterminado de LDAPS. Si el servidor LDAP utiliza para LDAPS un puertodistinto, cambie el puerto al número de puerto requerido. Por ejemplo,especifique el puerto 3269 para LDAPS con autenticación en el nivel de bosque.(nsroot.net en lugar de nam.nsroot.net cuando se utiliza LDAPS permiteque los clientes consulten todo el bosque de AD (puerto 3269) en vez deconsultar solamente el dominio de AD (puerto TCP 636). Además, la asociaciónde la función de AD se basa en alcances de grupo para grupos locales deldominio y grupos universales. Esto permite que los usuarios finales busquen enAD utilizando un alcance adecuado según sea necesario y que eviten búsquedasde grupo innecesarias). Asimismo, Cargar certificado se activa cuando seselecciona la casilla de verificación Usar protocolo LDAPS.

2. Haga clic en Cargar certificado.

Aparece el cuadro de diálogo Cargar archivo.

3. Haga clic en Elegir archivo.

4. Navegue al archivo de certificado que desea, selecciónelo y haga clic en Iniciarcarga.

5. Cuando se complete la carga del archivo, haga clic en Aplicar para guardar loscambios en la configuración.


Debe verificar la configuración después de configurar LDAP y de cargar el archivo decertificado del servidor.

Verificar la configuración de LDAPS

Nota

Para evitar la posibilidad de que los datos no estén disponibles, debe verificar laconexión de LDAPS después de cada cambio en la configuración de LDAPS.

Para verificar la configuración de LDAPS, realice lo siguiente:

Procedimiento

1. Haga clic en Verificar conexión en la página Configurar las credenciales delservidor LDAP.

Si la configuración es válida, se establecerá una conexión con el servidor LDAP yaparecerá una marca de verificación verde junto con el texto Conexiónverificada.

2. Si la verificación falla, se recomiendan los siguientes pasos de solución deproblemas:



a. Verifique la información de configuración de Configurar las credencialesdel servidor LDAP, en especial el número de puerto.

b. Verifique que el servidor LDAP esté en línea y que esté configurado paraLDAPS.

c. Verifique que los certificados del archivo de certificado cargado sean válidos;por ejemplo, que no estén vencidos y que se enumeren en el orden correcto.

d. Verifique que el Nombre del servidor configurado aparezca en el campoSujeto o Nombre alternativo del sujeto del certificado del servidor LDAP.

e. Verifique que no haya problemas de red; por ejemplo, reglas de firewall quepudieran bloquear el acceso al puerto LDAPS, etc.


Una vez configurado el servidor LDAP, se debe agregar uno o más usuarios o gruposde LDAP al sistema Unity para mapear los usuarios (o los grupos) a las funciones. De locontrario, la autenticación LDAP se realizará correctamente en el inicio de sesión, peroeste fallará debido a la imposibilidad de asignar una función al usuario.

Configurar un usuario de LDAP

El procedimiento para crear un grupo de LDAP en el sistema Unity es igual que elprocedimiento para crear un usuario de LDAP, con la excepción de que el grupo deLDAP también se debe crear en el servidor LDAP y que los usuarios de LDAP se debenagregar como miembros de ese grupo. La creación de un grupo de LDAP tiene comoventaja que un grupo de LDAP se configura en el sistema Unity y posteriormente seasigna a varios usuarios de LDAP.

Para crear un usuario o un grupo de LDAP, realice lo siguiente:

Nota

Antes de que se pueda crear un usuario o un grupo de LDAP, se debe configurar elservidor LDAP.

Procedimiento


2. En el panel izquierdo bajo Usuarios y grupos, haga clic en Administración deusuario.

Aparece la página Administrar usuarios y grupos.

3. Haga clic en el icono para agregar (signo más).

Aparece el asistente Crear usuario o grupo.

4. Realice una de las siguientes acciones:

l Haga clic en Usuario LDAP.

l Haga clic en Grupo LDAP.

5. Haga clic en Siguiente.

Aparece la página Información de LDAP en la que se muestra la Autoridad deLDAP.

6. En Usuario LDAP, escriba el nombre de usuario que se enumera en el servidorLDAP.


Configurar un usuario de LDAP 107


Aparece la página Función.

8. Haga clic en el botón de opción de la función que se asignará.


Aparece la página Resumen.

10. Después de verificar que el nombre del usuario o del grupo de LDAP y la funciónestán correctos, haga clic en Finalizar para completar la transacción o en Atráspara cambiar la configuración del usuario.

Cuando el usuario o el grupo se crean correctamente, aparece la páginaResultados.

11. Haga clic en Cerrar para cerrar el asistente Crear usuario o grupo.

El usuario o el grupo de LDAP que se acaba de agregar aparecerá en la lista deusuarios de la página Administrar usuarios y grupos.



Guía de configuración de seguridad - Dell · la informaciÓn de esta publicaciÓn se proporciona...

Documents

Transcript of Guía de configuración de seguridad - Dell · la informaciÓn de esta publicaciÓn se proporciona...