Konfigurieren von Zugriffssteuerungslisten auf NFSv4.1-Volumes für Azure NetApp-Dateien

Azure NetApp Files unterstützt Zugriffssteuerungslisten (ACCESS Control Lists, ACLs) auf NFSv4.1-Volumes. ACLs bieten präzise Dateisicherheit über NFSv4.1.

ACLs enthalten Zugriffssteuerungsentitäten (ACCESS Control Entities, ACEs), die die Berechtigungen (Lesen, Schreiben usw.) einzelner Benutzer oder Gruppen angeben. Geben Sie beim Zuweisen von Benutzerrollen die E-Mail-Adresse des Benutzers an, wenn Sie eine Linux-VM verwenden, die mit einer Active Directory-Domäne verbunden ist. Stellen Sie andernfalls Benutzer-IDs zum Festlegen von Berechtigungen bereit.

Weitere Informationen zu ACLs in Azure NetApp Files finden Sie unter "Grundlegendes zu NFSv4.x ACLs".

Anforderungen

• ACLs können nur auf NFS4.1-Volumes konfiguriert werden. Sie können ein Volume von NFSv3 in NFSv4.1 konvertieren.

• Sie müssen zwei Pakete installiert haben:

  1. nfs-utils zum Bereitstellen von NFS-Volumes
  2. nfs-acl-tools um NFSv4 ACLs anzuzeigen und zu ändern. Wenn Sie keines haben, installieren Sie sie:
     • Auf einer Red Hat Enterprise Linux- oder SuSE Linux-Instanz:

     sudo yum install -y nfs-utils
     sudo yum install -y nfs4-acl-tools
     

     • Auf Ubuntu- oder Debian-Instanz:

     sudo apt-get install nfs-common
     sudo apt-get install nfs4-acl-tools
     

Konfigurieren von ACLs

1. Wenn Sie ACLs für eine linux-VM konfigurieren möchten, die mit Active Directory verbunden ist, führen Sie die Schritte unter "Verbinden einer Linux-VM mit einer Microsoft Entra Do Standard aus.

2. Stellen Sie das Volume fest.

3. Verwenden Sie den Befehl nfs4_getfacl <path> , um die vorhandene ACL in einem Verzeichnis oder einer Datei anzuzeigen.

   Die STANDARDMÄßIGe NFSv4.1 ACL ist eine enge Darstellung der POSIX-Berechtigungen von 770.

   • A::OWNER@:rwaDxtTnNcCy - Besitzer hat vollständigen Zugriff (RWX)
   • A:g:GROUP@:rwaDxtTnNcy - Gruppe hat vollen Zugriff (RWX)
   • A::EVERYONE@:tcy - Jeder andere hat keinen Zugriff

4. Um eine ACE für einen Benutzer zu ändern, verwenden Sie den nfs4_setfacl Folgenden Befehl: nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

   • Dient -a zum Hinzufügen von Berechtigungen. Verwenden Sie -x diese Option, um die Berechtigung zu entfernen.
   • A schafft Zugriff; D verweigert den Zugriff.
   • Geben Sie in einer in Active Directory eingebundenen Einrichtung eine E-Mail-Adresse für den Benutzer ein. Geben Sie andernfalls die numerische Benutzer-ID ein.
   • Berechtigungsaliasen umfassen Lese-, Schreib-, Anfüge-, Ausführung usw. Im folgenden Active Directory-eingebundenen Beispiel erhält der Benutzer regan@contoso.com Lese-, Schreib- und Ausführungszugriff auf /nfsldap/engineering:

   nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
   

Nächste Schritte

• Konfigurieren von NFS-Clients
• Grundlegendes zu NFSv4.x ACLs.