Konfigurace seznamů řízení přístupu na svazcích NFSv4.1 pro Azure NetApp Files

  • Článek

Azure NetApp Files podporuje seznamy řízení přístupu (ACL) na svazcích NFSv4.1. Seznamy ACL poskytují podrobné zabezpečení souborů prostřednictvím NFSv4.1.

Seznamy ACL obsahují entity řízení přístupu (ACL), které určují oprávnění (čtení, zápis atd.) jednotlivých uživatelů nebo skupin. Při přiřazování rolí uživatelů zadejte e-mailovou adresu uživatele, pokud používáte virtuální počítač s Linuxem připojený k Doména služby Active Directory. V opačném případě zadejte ID uživatelů k nastavení oprávnění.

Další informace o seznamech ACL v Azure NetApp Files najdete v tématu Vysvětlení seznamů ACL NFSv4.x.

Požadavky

  • Seznamy ACL je možné konfigurovat pouze na svazcích NFS4.1. Svazek můžete převést z NFSv3 na NFSv4.1.

  • Musíte mít nainstalované dva balíčky:

    1. nfs-utils připojení svazků NFS
    2. nfs-acl-tools zobrazení a úpravy seznamů ACL NFSv4 Pokud ani jeden nemáte, nainstalujte je:
      • V instanci Red Hat Enterprise Linux nebo SuSE Linux:
      sudo yum install -y nfs-utils
sudo yum install -y nfs4-acl-tools
      • Na instanci Ubuntu nebo Debianu:
      sudo apt-get install nfs-common
sudo apt-get install nfs4-acl-tools

Konfigurace seznamů ACL

  1. Pokud chcete nakonfigurovat seznamy ACL pro virtuální počítač s Linuxem připojeného ke službě Active Directory, proveďte kroky v části Připojení virtuálního počítače s Linuxem k doméně Microsoft Entra.

  2. Připojte svazek.

  3. Pomocí příkazu nfs4_getfacl <path> zobrazíte existující seznam ACL v adresáři nebo souboru.

    Výchozí seznam ACL NFSv4.1 je úzká reprezentace oprávnění POSIX 770.

    • A::OWNER@:rwaDxtTnNcCy – vlastník má plný přístup (RWX)
    • A:g:GROUP@:rwaDxtTnNcy – skupina má plný přístup (RWX)
    • A::EVERYONE@:tcy - všichni ostatní nemají přístup

  4. Pokud chcete upravit ACE pro uživatele, použijte tento nfs4_setfacl příkaz: nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

    • Slouží -a k přidání oprávnění. Slouží -x k odebrání oprávnění.
    • A vytváří přístup; D odmítne přístup.
    • V nastavení připojeném ke službě Active Directory zadejte e-mailovou adresu uživatele. V opačném případě zadejte číselné ID uživatele.
    • Aliasy oprávnění zahrnují čtení, zápis, připojení, spuštění atd. V následujícím příkladu připojeném ke službě Active Directory má uživatel regan@contoso.com přístup ke čtení, zápisu a spuštění přístupu:/nfsldap/engineering
    nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering

Další kroky