Configuración de listas de control de acceso en volúmenes NFSv4.1 para Azure NetApp Files

Azure NetApp Files admite listas de control de acceso (ACL) en volúmenes NFSv4.1. Las ACL proporcionan seguridad de archivos granular a través de NFSv4.1.

Las ACL contienen entidades de control de acceso (ACE), que especifican los permisos (lectura, escritura, etc.) de usuarios o grupos individuales. Al asignar roles de usuario, proporcione la dirección de correo electrónico del usuario si usa una máquina virtual Linux unida a un Dominio de Active Directory. De lo contrario, proporcione identificadores de usuario para establecer permisos.

Para más información sobre las ACL en Azure NetApp Files, consulte Descripción de las ACL nfSv4.x.

Requisitos

• Las ACL solo se pueden configurar en volúmenes NFS4.1. Puede convertir un volumen de NFSv3 a NFSv4.1.

• Debe tener dos paquetes instalados:

  1. nfs-utils para montar volúmenes NFS
  2. nfs-acl-tools para ver y modificar las ACL de NFSv4. Si no tiene ninguno de ellos, instálelos:
     • En una instancia de Red Hat Enterprise Linux o SuSE Linux:

     sudo yum install -y nfs-utils
     sudo yum install -y nfs4-acl-tools
     

     • En la instancia de Ubuntu o Debian:

     sudo apt-get install nfs-common
     sudo apt-get install nfs4-acl-tools
     

Configuración de ACL

1. Si desea configurar las ACL para una máquina virtual Linux unida a Active Directory, complete los pasos descritos en Unión de una máquina virtual Linux a un dominio de Microsoft Entra.

2. Monte el volumen.

3. Use el comando nfs4_getfacl <path> para ver la ACL existente en un directorio o archivo.

   La ACL NFSv4.1 predeterminada es una representación cercana de los permisos POSIX de 770.

   • A::OWNER@:rwaDxtTnNcCy - el propietario tiene acceso completo (RWX)
   • A:g:GROUP@:rwaDxtTnNcy - el grupo tiene acceso completo (RWX)
   • A::EVERYONE@:tcy - todos los demás no tienen acceso

4. Para modificar una ACE para un usuario, use el nfs4_setfacl comando : nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

   • Use -a para agregar permiso. Use -x para quitar el permiso.
   • A crea acceso; D deniega el acceso.
   • En una configuración unida a Active Directory, escriba una dirección de correo electrónico para el usuario. De lo contrario, escriba el identificador numérico de usuario.
   • Los alias de permisos incluyen lectura, escritura, anexar, ejecutar, etc. En el siguiente ejemplo unido a Active Directory, el usuario regan@contoso.com recibe acceso de lectura, escritura y ejecución a /nfsldap/engineering:

   nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
   

Pasos siguientes

• Configuración de clientes NFS
• Comprenda las ACL de NFSv4.x.