Partager via

Configurer des listes de contrôle d’accès sur des volumes NFSv4.1 pour Azure NetApp Files

  • Article

Azure NetApp Files prend en charge les listes de contrôle d’accès (ACL) sur les volumes NFSv4.1. Les ACL fournissent une sécurité de fichier granulaire via NFSv4.1.

Les ACL contiennent des entités de contrôle d’accès (ACE), qui spécifient les autorisations (lecture, écriture, etc.) d’utilisateurs individuels ou de groupes. Lorsque vous attribuez des rôles d’utilisateur, indiquez l’adresse e-mail de l’utilisateur si vous utilisez une machine virtuelle Linux jointe à un domaine Active Directory. Sinon, fournissez des ID utilisateur pour définir des autorisations.

Pour en savoir plus sur les ACL dans Azure NetApp Files, consultez Comprendre les ACL NFSv4.x.

Spécifications

  • Les ACL peuvent être configurées uniquement sur les volumes NFS4.1. Vous pouvez convertir un volume NFSv3 en NFSv4.1.

  • Vous devez avoir installé deux packages :

    1. nfs-utils pour monter les volumes NFS
    2. nfs-acl-tools pour voir et modifier les ACL NFSv4. Si vous ne les avez pas, installez-les :
      • Sur une instance Red Hat Enterprise Linux ou SUSE Linux :
      sudo yum install -y nfs-utils
sudo yum install -y nfs4-acl-tools
      • Sur une instance Ubuntu ou Debian :
      sudo apt-get install nfs-common
sudo apt-get install nfs4-acl-tools

Configurer des ACL

  1. Si vous souhaitez configurer des ACL pour une machine virtuelle Linux jointe à Active Directory, suivez les étapes décrites dans Joindre une machine virtuelle Linux à un domaine Microsoft Entra.

  2. Montez le volume.

  3. Utilisez la commande nfs4_getfacl <path> pour voir l’ACL existante sur un répertoire ou un fichier.

    L’ACL NFSv4.1 par défaut est une représentation proche des autorisations POSIX 770.

    • A::OWNER@:rwaDxtTnNcCy : le propriétaire a un accès complet (RWX)
    • A:g:GROUP@:rwaDxtTnNcy : le groupe a un accès complet (RWX)
    • A::EVERYONE@:tcy - le reste des utilisateurs n’a aucun accès

  4. Pour modifier une ACE pour un utilisateur, utilisez la commande nfs4_setfacl : nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

    • Utilisez -a pour ajouter une autorisation. Utilisez -x pour supprimer une autorisation.
    • A crée l’accès ; D refuse l’accès.
    • Dans une configuration jointe à Active Directory, entrez une adresse e-mail pour l’utilisateur. Dans le cas contraire, entrez l’ID d’utilisateur numérique.
    • Les alias d’autorisation incluent la lecture, l’écriture, l’ajout, l’exécution, etc. Dans l’exemple joint à Active Directory suivant, l'utilisateur regan@contoso.com reçoit un accès en lecture, en écriture et en exécution sur /nfsldap/engineering :
    nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering

Étapes suivantes