Configurer des listes de contrôle d’accès sur des volumes NFSv4.1 pour Azure NetApp Files

  • Article

Azure NetApp Files prend en charge les listes de contrôle d’accès (ACL) sur les volumes NFSv4.1. Les listes de contrôle d’accès fournissent une sécurité de fichier granulaire via NFSv4.1.

Les listes de contrôle d’accès contiennent des entités de contrôle d’accès (ACL), qui spécifient les autorisations (lecture, écriture, etc.) d’utilisateurs ou de groupes individuels. Lorsque vous attribuez des rôles d’utilisateur, indiquez l’adresse e-mail de l’utilisateur si vous utilisez une machine virtuelle Linux jointe à un domaine Active Directory. Sinon, fournissez des ID utilisateur pour définir des autorisations.

Pour en savoir plus sur les listes de contrôle d’accès dans Azure NetApp Files, consultez Comprendre les ACL NFSv4.x.

Spécifications

  • Les listes de contrôle d’accès ne peuvent être configurées que sur les volumes NFS4.1. Vous pouvez convertir un volume de NFSv3 en NFSv4.1.

  • Deux packages doivent être installés :

    1. nfs-utils pour monter des volumes NFS
    2. nfs-acl-tools pour afficher et modifier les listes de contrôle d’accès NFSv4. Si vous n’en avez pas, installez-les :
      • Sur une instance Red Hat Enterprise Linux ou SuSE Linux :
      sudo yum install -y nfs-utils
sudo yum install -y nfs4-acl-tools
      • Sur une instance Ubuntu ou Debian :
      sudo apt-get install nfs-common
sudo apt-get install nfs4-acl-tools

Configurer des listes de contrôle d’accès

  1. Si vous souhaitez configurer des listes de contrôle d’accès pour une machine virtuelle Linux jointe à Active Directory, suivez les étapes décrites dans Joindre une machine virtuelle Linux à un domaine Microsoft Entra.

  2. Montez le volume.

  3. Utilisez la commande nfs4_getfacl <path> pour afficher la liste de contrôle d’accès existante sur un répertoire ou un fichier.

    La liste de contrôle d’accès NFSv4.1 par défaut est une représentation étroite des autorisations POSIX de 770.

    • A::OWNER@:rwaDxtTnNcCy - le propriétaire dispose d’un accès complet (RWX)
    • A:g:GROUP@:rwaDxtTnNcy - le groupe dispose d’un accès complet (RWX)
    • A::EVERYONE@:tcy - Tout le monde n’a aucun accès

  4. Pour modifier un ACE pour un utilisateur, utilisez la nfs4_setfacl commande : nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

    • Permet -a d’ajouter une autorisation. Permet -x de supprimer l’autorisation.
    • A crée l’accès ; D refuse l’accès.
    • Dans une configuration jointe à Active Directory, entrez une adresse e-mail pour l’utilisateur. Dans le cas contraire, entrez l’ID d’utilisateur numérique.
    • Les alias d’autorisation incluent la lecture, l’écriture, l’ajout, l’exécution, etc. Dans l’exemple de jointure Active Directory suivant, l’utilisateur regan@contoso.com reçoit un accès en lecture, en écriture et en exécution à /nfsldap/engineering:
    nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering

Étapes suivantes