在 Azure NetApp Files 的 NFSv4.1 磁碟區上設定存取控制清單

Azure NetApp Files 支援 NFSv4.1 磁碟區上的存取控制清單 (ACL)。 ACL 透過 NFSv4.1 提供細微的檔案安全性。

ACL 包含存取控制實體 (ACE)，而存取控制實體指定個別使用者或群組的權限 (讀取、寫入等)。 指派使用者角色時，若要使用已加入 Active Directory 網域的 Linux VM，則請提供使用者電子郵件地址。 否則，請提供使用者識別碼來設定權限。

若要深入了解 Azure NetApp Files 中的 ACL，請參閱了解 NFSv4.x ACL。

需求

• ACL 只能在 NFS4.1 磁碟區上進行設定。 您可以將磁碟區從 NFSv3 轉換為 NFSv4.1。

• 您必須安裝兩個套件：

  1. nfs-utils 以掛接 NFS 磁碟區
  2. nfs-acl-tools 以檢視和修改 NFSv4 ACL。 若兩者都沒有，則請予以安裝：
     • 在 Red Hat Enterprise Linux 或 SUSE Linux 實例上：

     sudo yum install -y nfs-utils
     sudo yum install -y nfs4-acl-tools
     

     • 在 Ubuntu 或 Debian 執行個體上：

     sudo apt-get install nfs-common
     sudo apt-get install nfs4-acl-tools
     

設定 ACL

1. 若要設定已加入 Active Directory 之 Linux VM 的 ACL，則請完成將 Linux VM 加入 Microsoft Entra 網域中的步驟。

2. 掛接磁碟區。

3. 使用 nfs4_getfacl <path> 命令來檢視目錄或檔案上的現有 ACL。

   預設 NFSv4.1 ACL 是 POSIX 權限 770 的近似呈現。

   • A::OWNER@:rwaDxtTnNcCy - 擁有者具有完整 (RWX) 存取權
   • A:g:GROUP@:rwaDxtTnNcy - 群組具有完整 (RWX) 存取權
   • A::EVERYONE@:tcy - 其他人沒有存取權

4. 若要修改使用者的 ACE，請使用 nfs4_setfacl 命令：nfs4_setfacl -a|x A|D|U::<user|group>:<permissions_alias> <file>

   • 使用 -a 來新增權限。 使用 -x 來移除權限。
   • A 會建立存取；D 會拒絕存取。 U: 用於稽核 ACE 來記錄存取嘗試。
   • 在已加入 Active Directory 的設定中，輸入使用者的電子郵件地址。 否則，請輸入數值使用者識別碼。
   • 許可權別名包括讀取權限、寫入權限、附加權限、執行權限等。 如需許可權的完整清單，請參閱： NFSv4.x 許可權。 在下列已加入 Active Directory 的範例中，使用者 regan@contoso.com 被授予對 /nfsldap/engineering 的讀取、寫入和執行權限。

   nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
   

   • 如果您要為 檔案存取記錄設定 ACE，則必須使用 U: 前置詞來表示 ACE 是稽核 ACE。 下列範例會為每個人設定稽核記錄，以進行成功和失敗的存取嘗試： nfs4_setfacl -a U:fdiSF:EVERYONE@:rwaDdxtTnNcCoy /<mount_point>。
   • 若要以遞歸方式在目錄及其內容上套用 ACL，請使用 -R 選項搭配 nfs4_setfacl 命令。 此選項可確保 ACL 變更會套用至指定目錄內的所有檔案和子目錄。

後續步驟

• 設定 NFS 用戶端
• 瞭解 NFSv4.x ACL