你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 NFSv4.1 卷上为Azure NetApp 文档配置访问控制列表

Azure NetApp 文档支持 NFSv4.1 卷上的访问控制列表(ACL)。 ACL 通过 NFSv4.1 提供精细的文件安全性。

ACL 包含访问控制实体(ACE),这些实体指定单个用户或组的权限(读取、写入等)。 分配用户角色时,如果使用已加入 Active Directory 域的 Linux VM,请提供用户电子邮件地址。 否则,请提供用户 ID 以设置权限。

若要详细了解 Azure NetApp 文档 中的 ACL,请参阅了解 NFSv4.x ACL

要求

  • ACL 只能在 NFS4.1 卷上配置。 可以将 卷从 NFSv3 转换为 NFSv4.1

  • 必须安装两个包:

    1. nfs-utils 装载 NFS 卷
    2. nfs-acl-tools 查看和修改 NFSv4 ACL。 如果没有,请安装它们:
      • 在 Red Hat Enterprise Linux 或 Su标准版 Linux 实例上:
      sudo yum install -y nfs-utils
      sudo yum install -y nfs4-acl-tools
      
      • 在 Ubuntu 或 Debian 实例上:
      sudo apt-get install nfs-common
      sudo apt-get install nfs4-acl-tools
      

配置 ACL

  1. 如果要为加入 Active Directory 的 Linux VM 配置 ACL,请完成将 Linux VM 加入 Microsoft Entra 域的步骤

  2. 装载卷

  3. 使用命令 nfs4_getfacl <path> 查看目录或文件上的现有 ACL。

    默认的 NFSv4.1 ACL 表示 POSIX 权限为 770。

    • A::OWNER@:rwaDxtTnNcCy - 所有者具有完全(RWX)访问权限
    • A:g:GROUP@:rwaDxtTnNcy - 组具有完全访问权限(RWX)
    • A::EVERYONE@:tcy - 其他人没有访问权限
  4. 若要修改用户的 ACE,请使用 nfs4_setfacl 以下命令: nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

    • 用于 -a 添加权限。 用于 -x 删除权限。
    • A 创建访问权限; D 拒绝访问。
    • 在已加入 Active Directory 的设置中,输入用户的电子邮件地址。 否则,请输入数字用户 ID。
    • 权限别名包括读取、写入、追加、执行等。在以下已加入 Active Directory 的示例中,向用户 regan@contoso.com 提供对以下内容的读取、写入和执行访问权限 /nfsldap/engineering
    nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
    

后续步骤