Configurare gli elenchi di controllo di accesso nei volumi NFSv4.1 per Azure NetApp Files

Azure NetApp Files supporta elenchi di controllo di accesso (ACL) nei volumi NFSv4.1. Gli ACL offrono una sicurezza granulare dei file tramite NFSv4.1.

Gli ACL contengono entità di controllo di accesso (ACL), che specificano le autorizzazioni (lettura, scrittura e così via) di singoli utenti o gruppi. Quando si assegnano ruoli utente, specificare l'indirizzo di posta elettronica dell'utente se si usa una macchina virtuale Linux aggiunta a un Dominio di Active Directory. In caso contrario, specificare gli ID utente per impostare le autorizzazioni.

Per altre informazioni sugli ACL in Azure NetApp Files, vedere Informazioni sugli ACL NFSv4.x.

Requisiti

• Gli elenchi di controllo di accesso possono essere configurati solo nei volumi NFS4.1. È possibile convertire un volume da NFSv3 a NFSv4.1.

• È necessario che siano installati due pacchetti:

  1. nfs-utils per montare volumi NFS
  2. nfs-acl-tools per visualizzare e modificare gli ACL NFSv4. Se non sono disponibili, installarli:
     • In un'istanza di Red Hat Enterprise Linux o Su edizione Standard Linux:

     sudo yum install -y nfs-utils
     sudo yum install -y nfs4-acl-tools
     

     • Nell'istanza Ubuntu o Debian:

     sudo apt-get install nfs-common
     sudo apt-get install nfs4-acl-tools
     

Configurare gli elenchi di controllo di accesso

1. Per configurare gli elenchi di controllo di accesso per una macchina virtuale Linux aggiunta ad Active Directory, completare la procedura descritta in Aggiungere una macchina virtuale Linux a un dominio Microsoft Entra.

2. Montare il volume.

3. Usare il comando nfs4_getfacl <path> per visualizzare l'ACL esistente in una directory o in un file.

   L'ACL predefinito NFSv4.1 è una rappresentazione di chiusura delle autorizzazioni POSIX di 770.

   • A::OWNER@:rwaDxtTnNcCy - proprietario ha accesso completo (RWX)
   • A:g:GROUP@:rwaDxtTnNcy - il gruppo ha accesso completo (RWX)
   • A::EVERYONE@:tcy - tutti gli altri utenti non hanno accesso

4. Per modificare un ace per un utente, usare il nfs4_setfacl comando : nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

   • Usare -a per aggiungere l'autorizzazione. Usare -x per rimuovere l'autorizzazione.
   • A crea l'accesso; D nega l'accesso.
   • In una configurazione aggiunta ad Active Directory immettere un indirizzo di posta elettronica per l'utente. In caso contrario, immettere l'ID utente numerico.
   • Gli alias di autorizzazione includono lettura, scrittura, accodamento, esecuzione e così via. Nell'esempio seguente aggiunto ad Active Directory, all'utente viene assegnato l'accesso regan@contoso.com in lettura, scrittura ed esecuzione a /nfsldap/engineering:

   nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
   

Passaggi successivi

• Configurare i client NFS
• Informazioni sugli ACL NFSv4.x.