Sdílet prostřednictvím

Principy stylu zabezpečení se dvěma protokoly a chování oprávnění ve službě Azure NetApp Files

  • Článek

Protokol SMB a NFS používají pro přístup uživatelů a skupin různé modely oprávnění. V důsledku toho musí být svazek Azure NetApp File nakonfigurovaný tak, aby respektoval požadovaný model oprávnění pro přístup k protokolu. U prostředí jen pro systém souborů NFS je rozhodnutí jednoduché – použijte systém UNIX styly zabezpečení. V prostředích jen pro protokol SMB použijte styly zabezpečení SYSTÉMU SOUBORŮ NTFS.

Pokud jsou vyžadovány soubory NFS a SMB ve stejných datových sadách (duální protokol), mělo by se rozhodnutí provést na základě dvou otázek:

  • Jaký protokol budou uživatelé spravovat oprávnění nejvíce?
  • Jaký je požadovaný koncový bod správy oprávnění? Jinými slovy, vyžadují uživatelé možnost spravovat oprávnění z klientů NFS nebo klientů Systému Windows? Nebo obě?

Styly zabezpečení svazků se ve skutečnosti dají považovat za styly oprávnění, kde požadovaný styl správy seznamu ACL je rozhodujícím faktorem.

Poznámka:

Styly zabezpečení se vybírají při vytváření svazků. Jakmile vyberete styl zabezpečení, nelze ho změnit.

O stylech zabezpečení svazků Azure NetApp Files

Ve službě Azure NetApp Files existují dvě hlavní možnosti pro styly zabezpečení svazků:

systém UNIX – Styl zabezpečení systém UNIX poskytuje oprávnění systém UNIX stylu, jako jsou základní bity režimu POSIX (přístup vlastníka, skupiny nebo všichni se standardními oprávněními pro čtení/zápis/spuštění, například 0755) a seznamy ACL NFSv4.x. Seznamy ACL PRO POSIX nejsou podporované.

NTFS – Styl zabezpečení NTFS poskytuje stejné funkce jako standardní oprávnění systém Windows NT FS s podrobnými oprávněními uživatelů a skupin v seznamech ACL a podrobnými oprávněními zabezpečení/auditu.

V prostředí NAS se dvěma protokoly může být aktivní jenom jeden styl oprávnění zabezpečení. Před zvolením jednoho stylu zabezpečení byste měli vyhodnotit aspekty jednotlivých stylů zabezpečení.

Styl zabezpečení Důležité informace
UNIX – Klienti Systému Windows můžou nastavit pouze atributy oprávnění systém UNIX prostřednictvím databází SMB, které se mapují na atributy systém UNIX (pouze pro čtení, zápis a spuštění; žádná zvláštní oprávnění).
– Seznamy ACL NFSv4.x nemají správu grafického uživatelského rozhraní. Správa se provádí jenom přes rozhraní příkazového řádku pomocí příkazů nfs4_getfacl a nfs4_setfacl.
– Pokud soubor nebo složka obsahuje seznamy ACL NFSv4.x, karta Vlastnosti zabezpečení systému Windows je nemůže zobrazit.
NTFS – systém UNIX klienti nemůžou nastavit atributy prostřednictvím systému souborů NFS prostřednictvím příkazů, jako chown/chmodje například .
– Klienti NFS zobrazují při použití ls příkazů pouze přibližná oprávnění NTFS. Pokud má například uživatel oprávnění v seznamu ACL systém Windows NT FS, který se nedá čistě přeložit do bitu režimu POSIX (například procházení adresáře), přeloží se na nejbližší bitovou hodnotu režimu POSIX (například 1 pro spuštění).

Výběr stylu zabezpečení svazku určuje, jak se provádí mapování názvů pro uživatele. Tato operace je základní součástí toho, jak svazky se dvěma protokoly udržují předvídatelná oprávnění bez ohledu na použitý protokol.

Jako rozhodovací matici použijte následující tabulku pro výběr správných stylů zabezpečení svazků.

Styl zabezpečení Většinou NFS Většinou SMB Potřeba podrobného zabezpečení
UNIX X - X (pomocí seznamů ACL NFSv4.x)
NTFS - X X

Jak funguje mapování názvů ve službě Azure NetApp Files

Ve službě Azure NetApp Files se ověřují a mapují jenom uživatelé. Skupiny nejsou mapované. Místo toho se členství ve skupinách určuje pomocí identity uživatele.

Když se uživatel pokusí o přístup ke svazku Azure NetApp Files, tento pokus předá identitu službě. Tato identita obsahuje uživatelské jméno a jedinečný číselný identifikátor (číslo UID pro NFSv3, řetězec názvu pro NFSv4.1, SID pro SMB). Služba Azure NetApp Files používá tuto identitu k ověření vůči nakonfigurované názvové službě k ověření identity uživatele.

  • Vyhledávání číselNÝCH ID protokolu LDAP se používá k vyhledání uživatelského jména ve službě Active Directory.
  • Řetězce názvů používají k vyhledání uživatelského jména a klienta a serveru nakonfigurovanou doménu ID pro NFSv4.1 , aby se zajistila shoda.
  • Uživatelé Windows se dotazují pomocí standardních volání RPC systému Windows do služby Active Directory.
  • Členství ve skupinách se také dotazuje a všechno se přidá do mezipaměti přihlašovacích údajů pro rychlejší zpracování následných požadavků na svazek.
  • V současné době se vlastní místní uživatelé nepodporují pro použití se službou Azure NetApp Files. Ve službě Active Directory je možné používat pouze uživatele se dvěma protokoly.
  • V současné době jsou kořenem a nfsnobody uživatelem pouze místní uživatelé, kteří je možné použít se svazky se dvěma protokoly.

Po ověření a ověření uživatelského jména službou Azure NetApp Files je dalším krokem pro ověřování svazků se dvěma protokoly mapování uživatelských jmen pro interoperabilitu systém UNIX a Windows.

Styl zabezpečení svazku určuje, jak se v Azure NetApp Files provádí mapování názvů. Sémantika oprávnění pro Windows a systém UNIX se liší. Pokud mapování názvů nejde provést, ověřování selže a přístup ke svazku z klienta se odepře. Běžným scénářem, kdy k této situaci dochází, je pokus o přístup NFSv3 ke svazku se stylem zabezpečení NTFS. Počáteční žádost o přístup od NFSv3 se do služby Azure NetApp Files dostane jako číselné UID. Pokud se uživatel s user1 číselným ID 1001 pokusí o přístup k připojení NFSv3, žádost o ověření přijde jako číselné ID 1001. Azure NetApp Files pak převezme číselné ID 1001 a pokusí se přeložit 1001 na uživatelské jméno. Toto uživatelské jméno se vyžaduje pro mapování na platného uživatele systému Windows, protože oprávnění NTFS na svazku budou obsahovat uživatelská jména systému Windows místo číselného ID. Azure NetApp Files použije nakonfigurovaný server názvové služby (LDAP) k vyhledání uživatelského jména. Pokud se uživatelské jméno nepovedlo najít, ověřování selže a přístup se odepře. Tato operace je navržená tak, aby se zabránilo nežádoucímu přístupu k souborům a složkám.

Mapování názvů na základě stylu zabezpečení

Směr mapování názvů ve službě Azure NetApp Files (Windows na systém UNIX nebo systém UNIX do Windows) závisí nejen na používaném protokolu, ale také na stylu zabezpečení svazku. Klient Systému Windows vždy vyžaduje mapování názvů windows-systém UNIX pro povolení přístupu, ale nemusí vždy potřebovat odpovídající systém UNIX uživatelské jméno. Pokud na serveru nakonfigurované názvové služby neexistuje platné systém UNIX uživatelské jméno, azure NetApp Files poskytuje záložní výchozí systém UNIX uživatele s číselným UID, kterým 65534 povolíte počáteční ověřování připojení SMB. Potom oprávnění k souborům a složce budou řídit přístup. Vzhledem k tomu, že 65534 obecně odpovídá nfsnobody uživateli, je přístup ve většině případů omezený. Naopak klient systému souborů NFS musí používat mapování názvů systém UNIX-windows pouze v případě, že se používá styl zabezpečení systému souborů NTFS. Ve službě Azure NetApp Files není žádný výchozí uživatel Windows. Pokud se například nepodařilo najít platného uživatele Systému Windows, který odpovídá požadovanému názvu, přístup bude odepřen.

Následující tabulka uvádí různé permutace mapování názvů a jejich chování v závislosti na používaném protokolu.

Protokol Styl zabezpečení Směr mapování názvů Použitá oprávnění
SMB UNIX Windows do systém UNIX systém UNIX
(režimové bity nebo seznamy ACL NFSv4.x)
SMB NTFS Windows do systém UNIX Seznamy ACL NTFS
(na základě systému Windows SID přistupující ke sdílené složce)
NFSv3 UNIX Nic systém UNIX
(režimové bity nebo seznamy ACL NFSv4.x*)
NFSv4.x UNIX Číselné ID pro systém UNIX uživatelské jméno systém UNIX
(režimové bity nebo seznamy ACL NFSv4.x)
NFS3/4.x NTFS systém UNIX do Windows Seznamy ACL NTFS
(na základě mapovaného identifikátoru SID uživatele Systému Windows)

Poznámka:

Pravidla mapování názvů ve službě Azure NetApp Files je v současné době možné řídit pouze pomocí protokolu LDAP. Ve službě není možné vytvořit explicitní pravidla mapování názvů.

Názvové služby se svazky se dvěma protokoly

Bez ohledu na to, jaký protokol NAS se používá, používají svazky se dvěma protokoly koncepty mapování názvů ke správnému zpracování oprávnění. Proto názvové služby hrají důležitou roli při údržbě funkcí v prostředích, která používají protokol SMB i NFS pro přístup ke svazkům.

Názvové služby fungují jako zdroje identit pro uživatele a skupiny přistupující ke svazkům NAS. Tato operace zahrnuje službu Active Directory, která může fungovat jako zdroj pro uživatele a skupiny windows i pro systém UNIX pomocí standardních doménových služeb i funkcí LDAP.

Názvové služby nejsou pevným požadavkem, ale důrazně se doporučují pro svazky azure NetApp Files se dvěma protokoly. Neexistuje žádný koncept vytváření vlastních místních uživatelů a skupin v rámci služby. Proto je nutné mít správné ověřování a přesné informace o uživateli a vlastníkech skupin napříč protokoly. Pokud máte jenom několik uživatelů a nepotřebujete naplnit přesné informace o identitě uživatele a skupiny, zvažte použití možnosti Povolit místním uživatelům NFS s PROTOKOLem LDAP přístup ke funkci svazku se dvěma protokoly. Mějte na paměti, že povolení této funkce zakáže rozšířené funkce skupiny.

Když se klienti, názvové služby a úložiště nacházejí v různých oblastech

V některých případech můžou klienti NAS žít v segmentované síti s více rozhraními, která mají izolovaná připojení k úložišti a názvovým službám.

Jedním z takových příkladů je, že se vaše úložiště nachází ve službě Azure NetApp Files, zatímco klienti NAS a doménové služby se nacházejí místně (například hvězdicová architektura v Azure). V těchto scénářích byste museli poskytnout síťový přístup klientům NAS i názvových služeb.

Následující obrázek znázorňuje příklad tohoto typu konfigurace.

Illustration that shows hub spoke architecture with Azure NetApp Files and Active Directory cloud resident, NAS clients on-premises.

Další kroky