Sdílet prostřednictvím

Konfigurace seznamů řízení přístupu na svazcích NFSv4.1 pro Azure NetApp Files

Azure NetApp Files podporuje seznamy řízení přístupu (ACL) na svazcích NFSv4.1. ACL poskytují jemné zabezpečení souborů prostřednictvím NFSv4.1.

Seznamy ACL obsahují entity řízení přístupu (ACL), které určují oprávnění (čtení, zápis atd.) jednotlivých uživatelů nebo skupin. Při přiřazování rolí uživatelů zadejte e-mailovou adresu uživatele, pokud používáte virtuální počítač s Linuxem připojený k Doména služby Active Directory. V opačném případě zadejte ID uživatelů k nastavení oprávnění.

Další informace o seznamech ACL v Azure NetApp Files najdete v tématu Vysvětlení seznamů ACL NFSv4.x.

Požadavky

  • ACL je možné konfigurovat pouze na svazcích NFS4.1. Svazek můžete převést z NFSv3 na NFSv4.1.

  • Musíte mít nainstalované dva balíčky:

    1. nfs-utils připojení svazků NFS
    2. nfs-acl-tools pro zobrazení a úpravu seznamů ACL NFSv4 Pokud ani jeden nemáte, nainstalujte je:
      • V instanci Red Hat Enterprise Linuxu nebo SUSE Linuxu:
      sudo yum install -y nfs-utils
sudo yum install -y nfs4-acl-tools
      • Na instanci Ubuntu nebo Debianu:
      sudo apt-get install nfs-common
sudo apt-get install nfs4-acl-tools

Konfigurace seznamů řízení přístupu (ACL)

  1. Pokud chcete nakonfigurovat seznamy ACL pro virtuální počítač s Linuxem připojeného ke službě Active Directory, proveďte kroky v části Připojení virtuálního počítače s Linuxem k doméně Microsoft Entra.

  2. Připojte svazek.

  3. Pomocí příkazu nfs4_getfacl <path> zobrazíte existující seznam ACL v adresáři nebo souboru.

    Výchozí seznam ACL pro NFSv4.1 je blízká reprezentace oprávnění POSIX 770.

    • A::OWNER@:rwaDxtTnNcCy – vlastník má plný přístup (RWX)
    • A:g:GROUP@:rwaDxtTnNcy – skupina má plný přístup (RWX)
    • A::EVERYONE@:tcy - všichni ostatní nemají přístup

  4. Pokud chcete upravit ACE pro uživatele, použijte tento nfs4_setfacl příkaz: nfs4_setfacl -a|x A|D|U::<user|group>:<permissions_alias> <file>

    • Slouží -a k přidání oprávnění. Slouží -x k odebrání oprávnění.
    • A vytváří přístup; D odmítne přístup. U: se používá pro auditní ACE k protokolování pokusů o přístup.
    • V nastavení připojeném ke službě Active Directory zadejte e-mailovou adresu uživatele. V opačném případě zadejte číselné ID uživatele.
    • Aliasy oprávnění zahrnují čtení, zápis, připojení, spuštění a další. Úplný seznam oprávnění najdete v tématu: Oprávnění NFSv4.x. V následujícím příkladu, který je součástí Active Directory, má uživatel regan@contoso.com oprávnění ke čtení, zápisu a spouštění na /nfsldap/engineering.
    nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
    • Pokud konfigurujete ACE pro protokoly přístupu k souborům, musíte použít předponu U:, aby bylo jasné, že ACE je auditní ACE. Následující příklad nakonfiguruje protokol auditu pro všechny úspěšné a neúspěšné pokusy o přístup: nfs4_setfacl -a U:fdiSF:EVERYONE@:rwaDdxtTnNcCoy /<mount_point>.
    • Chcete-li použít seznamy ACL rekurzivně na adresář a jeho obsah, použijte -R volbu s příkazem nfs4_setfacl. Tato možnost zajistí, že se změny seznamu ACL použijí u všech souborů a podadresářů v zadaném adresáři.

Další kroky

  • Last updated on