Azure NetApp Files용 NFSv4.1 볼륨에서 액세스 제어 목록 구성

Azure NetApp Files는 NFSv4.1 볼륨에서 ACL(액세스 제어 목록)을 지원합니다. ACL은 NFSv4.1을 통해 세분화된 파일 보안을 제공합니다.

ACL에는 개별 사용자 또는 그룹의 권한(읽기, 쓰기 등)을 지정하는 ACE(액세스 제어 엔터티)가 포함되어 있습니다. 사용자 역할을 할당할 때 Active Directory 도메인에 조인된 Linux VM을 사용하는 경우 사용자 이메일 주소를 제공합니다. 그렇지 않으면 사용자 ID를 제공하여 권한을 설정합니다.

Azure NetApp Files의 ACL에 대해 자세히 알아보려면 NFSv4.x ACL 이해를 참조하세요.

요구 사항

• ACL은 NFS4.1 볼륨에서만 구성할 수 있습니다. NFSv3에서 NFSv4.1로 볼륨을 변환할 수 있습니다.

• 두 개의 패키지가 설치되어 있어야 합니다.

  1. NFS 볼륨을 탑재하는 nfs-utils
  2. nfs-acl-tools NFSv4 ACL을 보고 수정합니다. 둘 중 하나가 없으면 다음을 설치합니다.
     • Red Hat Enterprise Linux 또는 SuSE Linux 인스턴스:

     sudo yum install -y nfs-utils
     sudo yum install -y nfs4-acl-tools
     

     • Ubuntu 또는 Debian 인스턴스에서:

     sudo apt-get install nfs-common
     sudo apt-get install nfs4-acl-tools
     

ACL 구성

1. Active Directory에 조인된 Linux VM에서 ACL을 구성하려면 Microsoft Entra 도메인에 Linux VM 조인 단계를 완료합니다.

2. 볼륨을 탑재합니다.

3. 디렉터리 또는 파일의 기존 ACL을 보려면 nfs4_getfacl <path> 명령을 사용합니다.

   기본 NFSv4.1 ACL은 770의 POSIX 권한을 가깝게 표현한 것입니다.

   • A::OWNER@:rwaDxtTnNcCy - 소유자에 전체(RWX) 액세스 권한이 있음
   • A:g:GROUP@:rwaDxtTnNcy - 그룹에 전체(RWX) 액세스 권한이 있음
   • A::EVERYONE@:tcy - 다른 사람은 액세스할 수 없음

4. 사용자에 대한 ACE를 수정하려면 nfs4_setfacl 명령을 사용합니다. nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

   • -a를 사용하여 권한을 추가합니다. -x를 사용하여 권한을 제거합니다.
   • A는 액세스를 만듭니다. D는 액세스를 거부합니다.
   • Active Directory 조인 설정에서 사용자의 이메일 주소를 입력합니다. 그렇지 않으면 숫자로 된 사용자 ID를 입력합니다.
   • 권한 별칭에는 읽기, 쓰기, 추가, 실행 등이 포함됩니다. 다음 Active Directory 조인 예제에서는 사용자 regan@contoso.com에게 /nfsldap/engineering에 대한 읽기, 쓰기, 실행 액세스 권한이 부여됩니다.

   nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
   

다음 단계

• NFS 클라이언트 구성
• NFSv4.x ACL 이해