مشاركة عبر

تكوين قوائم التحكم بالوصول على وحدات تخزين NFSv4.1 لملفات Azure NetApp

  • مقالة

تدعم Azure NetApp Files قوائم التحكم في الوصول (ACLs) على وحدات تخزين NFSv4.1. توفر قوائم التحكم بالوصول أمان ملف متعدد المستويات عبر NFSv4.1.

تحتوي قوائم التحكم في الوصول على كيانات التحكم في الوصول (ACEs)، والتي تحدد أذونات (قراءة وكتابة وما إلى ذلك) للمستخدمين الفرديين أو المجموعات. عند تعيين أدوار المستخدم، قم بتوفير عنوان البريد الإلكتروني للمستخدم إذا كنت تستخدم جهازا ظاهريا يعمل بنظام Linux مرتبطا بمجال Active Directory. وإلا، قم بتوفير معرفات المستخدم لتعيين الأذونات.

لمعرفة المزيد حول قوائم التحكم بالوصول في Azure NetApp Files، راجع فهم NFSv4.x ACLs.

المتطلبات

  • يمكن تكوين قوائم التحكم بالوصول فقط على وحدات تخزين NFS4.1. يمكنك تحويل وحدة تخزين من NFSv3 إلى NFSv4.1.

  • يجب أن يكون لديك حزمتان مثبتتان:

    1. nfs-utils لتحميل وحدات تخزين NFS
    2. nfs-acl-tools لعرض وتعديل NFSv4 ACLs. إذا لم يكن لديك أي منهما، فقم بتثبيتهما:
      • على مثيل Red Hat Enterprise Linux أو SuSE Linux:
      sudo yum install -y nfs-utils
sudo yum install -y nfs4-acl-tools
      • في مثيل Ubuntu أو Debian:
      sudo apt-get install nfs-common
sudo apt-get install nfs4-acl-tools

تكوين قوائم التحكم بالوصول

  1. إذا كنت ترغب في تكوين قوائم التحكم في الوصول لجهاز Linux الظاهري المنضم إلى Active Directory، فأكمل الخطوات الواردة في الانضمام إلى جهاز Linux الظاهري إلى مجال Microsoft Entra.

  2. تحميل وحدة التخزين.

  3. استخدم الأمر nfs4_getfacl <path> لعرض قائمة التحكم بالوصول الموجودة على دليل أو ملف.

    NFSv4.1 ACL الافتراضي هو تمثيل وثيق لأذونات POSIX ل 770.

    • A::OWNER@:rwaDxtTnNcCy - المالك لديه حق الوصول الكامل (RWX)
    • A:g:GROUP@:rwaDxtTnNcy - المجموعة لديها وصول كامل (RWX)
    • A::EVERYONE@:tcy - أي شخص آخر ليس لديه حق الوصول

  4. لتعديل ACE لمستخدم، استخدم nfs4_setfacl الأمر : nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

    • استخدم -a لإضافة إذن. استخدم -x لإزالة الإذن.
    • A إنشاء الوصول؛ D رفض الوصول.
    • في إعداد مرتبط ب Active Directory، أدخل عنوان بريد إلكتروني للمستخدم. وإلا، أدخل معرف المستخدم الرقمي.
    • تتضمن الأسماء المستعارة للأذونات القراءة والكتابة والإلحاق والتنفيذ وما إلى ذلك. في المثال التالي المرتبط ب Active Directory، يتم منح المستخدم regan@contoso.com حق الوصول للقراءة والكتابة والتنفيذ إلى /nfsldap/engineering:
    nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering

الخطوات التالية