ГОСТ Р ИСО/М ЭК 17826-2015
- Клиент изменяет структуру протокола экспорта CDMI контейнера, включая в него ID виртуаль
ной машины OCCI, что предоставляет виртуальной машине доступ к контейнеру;
- Клиент запускает виртуальную машину через интерфейс OCCI.
13.2 Структура экспортируемого протокола
Экспорт контейнера через протокол пути к данным, отличный от CDMI. осуществляется созда
нием и обновлением контейнера и предоставлением одной или нескольких структур экспортируемого
протокола, для каждого такого протокола. В данном международном стандарте все такие протоколы
называются «сторонними» протоколами. Реализация сторонних протоколов должна быть обозначе на
значениями «true» общесистемных опций, см. 12.1.1, имена которых должны всегда начинаться с
«cdmi_export_».
Элементы структуры протокола экспорта включают:
- используемый протокол;
- идентификатор контейнера в соответствии со стандартом протокола;
- интернет-домен сервера имен протокола для обслуживаемого клиента;
- список тех. кто может монтировать этот контейнер по данному протоколу, определенный в со
ответствии со стандартом протокола или (опционально) посредством протокола установления соответ
ствия имен (см. 13.2.1) с указанием пользователей или названий групп CDMI;
- обязательные параметры экспорта протокола;
- опциональные параметры экспорта протокола;
- параметры управления экспортом.
Настоящий стандарт определяет структуры экспорта в нотации JSON для нескольких широко из
вестных сторонних протоколов. Доступ к контейнеру по нескольким протоколам одновременно зависит
от функции установления соответствия имен пользователей и групп. Тем не менее, установление соот
ветствия имен не является необходимым, если CDMI используется только для подготовки контейнера, с
которым работает исключительно сторонний протокол.
Реализации, которые поддерживают аутентификацию и авторизацию доступа к объектам CDMI
как через CDMI, так и через сторонние протоколы, нуждается в поддержке функции безопасности для
объектов. Многочисленные соответствующие методы включают:
- определения и принятие схемы безопасности и отображения всех запросов в эту схему. Реали
зации CDMI, принимающие такую схему, должны использовать процедуру установления соответствия
имен, так как:
a) оно проще для управления администраторами, чем прямое установление соответствия иден
тификаторов:
b
) кроме того, желательно, чтобы различные реализации CDMI воли себя схожим образом в этом
отношении.
Это означает, что для имени принципала входящего запроса устанавливается соответствующее
имя принципала в домене безопасности, а затем полученный идентификаторов принципала использу
ется для авторизации;
- каждый протокол может устанавливать собственную систему безопасности; это означает, что
объект может быть доступен конкретному пользователю только через один из протоколов, но не через
любой;
- использование схемы безопасности последнего протокола, который использовался для на
стройки разрешения доступа к объекту. Этот метод также требует устанвления соответствия между
именем принципала входящего запроса и именем принципала из домена безопасности объекта. Как и в
первом случае, сервер должен использовать процедуру установления соответствия имен для автори
зации пользователя согласно спискуACL объекта.
CDMI не определяет, какой метод будет использован. Он, однако, определяет, как пользователи и
группы должны быть отображаться между протоколами.
13.2.1 Установка соответствия имен между CDMI и другим протоколом
Если клиенту необходимо ограничить экспорт чероз сторонние протоколы, разрешив подключе
ние лишь отдельным пользователям или группам, может быть необходимо передать информацию об
установлении соответствия имен групп и пользователей на сервер. Такая информация также
необ ходима для доступа к контейнеру по нескольким протоколам (например, CDMI. и NFS).
Соответствие устанавливается следующим образом.
111