Mengonfigurasi daftar kontrol akses pada volume NFSv4.1 untuk Azure NetApp Files

Azure NetApp Files mendukung daftar kontrol akses (ACL) pada volume NFSv4.1. ACL menyediakan keamanan file terperinci melalui NFSv4.1.

ACL berisi entitas kontrol akses (ACL), yang menentukan izin (baca, tulis, dll.) pengguna atau grup individu. Saat menetapkan peran pengguna, berikan alamat email pengguna jika Anda menggunakan VM Linux yang bergabung ke Domain Direktori Aktif. Jika tidak, berikan ID pengguna untuk mengatur izin.

Untuk mempelajari selengkapnya tentang ACL di Azure NetApp Files, lihat Memahami ACL NFSv4.x.

Persyaratan

• ACL hanya dapat dikonfigurasi pada volume NFS4.1. Anda dapat mengonversi volume dari NFSv3 ke NFSv4.1.

• Anda harus menginstal dua paket:

  1. nfs-utils untuk memasang volume NFS
  2. nfs-acl-tools untuk melihat dan memodifikasi ACL NFSv4. Jika Anda tidak memilikinya, instal:
     • Pada instans Red Hat Enterprise Linux atau SuSE Linux:

     sudo yum install -y nfs-utils
     sudo yum install -y nfs4-acl-tools
     

     • Pada instans Ubuntu atau Debian:

     sudo apt-get install nfs-common
     sudo apt-get install nfs4-acl-tools
     

Mengonfigurasi ACL

1. Jika Anda ingin mengonfigurasi ACL untuk VM Linux yang bergabung ke Direktori Aktif, selesaikan langkah-langkah dalam Menggabungkan VM Linux ke Domain Microsoft Entra.

2. Pasang volume.

3. Gunakan perintah nfs4_getfacl <path> untuk melihat ACL yang ada pada direktori atau file.

   ACL NFSv4.1 default adalah representasi dekat dari izin POSIX 770.

   • A::OWNER@:rwaDxtTnNcCy - pemilik memiliki akses penuh (RWX)
   • A:g:GROUP@:rwaDxtTnNcy - grup memiliki akses penuh (RWX)
   • A::EVERYONE@:tcy - orang lain tidak memiliki akses

4. Untuk mengubah ACE untuk pengguna, gunakan nfs4_setfacl perintah : nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

   • Gunakan -a untuk menambahkan izin. Gunakan -x untuk menghapus izin.
   • A membuat akses; D menolak akses.
   • Dalam penyiapan yang bergabung dengan Direktori Aktif, masukkan alamat email untuk pengguna. Jika tidak, masukkan ID pengguna numerik.
   • Alias izin termasuk baca, tulis, tambahkan, jalankan, dll. Dalam contoh yang bergabung dengan Direktori Aktif berikut, pengguna regan@contoso.com diberikan akses baca, tulis, dan jalankan ke /nfsldap/engineering:

   nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
   

Langkah berikutnya

• Mengonfigurasi klien NFS
• Pahami ACL NFSv4.x.