Compartilhar via

Configurar listas de controle de acesso em volumes NFSv4.1 para o Azure NetApp Files

  • Artigo

O Azure NetApp Files dá suporte a ACLs (listas de controle de acesso) em volumes NFSv4.1. As ACLs fornecem segurança de arquivo granular por meio do NFSv4.1.

As ACLs contêm ACEs (entidades de controle de acesso), que especificam as permissões (leitura, gravação etc.) de usuários ou grupos individuais. Ao atribuir funções de usuário, forneça o endereço de email do usuário se você estiver usando uma VM Linux ingressada em um Domínio do Active Directory. Caso contrário, forneça IDs de usuário para definir permissões.

Para saber mais sobre ACLs no Azure NetApp Files, consulte Entender ACLs NFSv4.x.

Requisitos

  • As ACLs só podem ser configuradas em volumes NFS4.1. Você pode converter um volume de NFSv3 para NFSv4.1.

  • Você deve ter dois pacotes instalados:

    1. nfs-utils para montar volumes NFS
    2. nfs-acl-tools para exibir e modificar ACLs NFSv4. Se você também não tiver, instale-os:
      • Em uma instância do Red Hat Enterprise Linux ou do SuSE Linux:
      sudo yum install -y nfs-utils
sudo yum install -y nfs4-acl-tools
      • Na instância do Ubuntu ou do Debian:
      sudo apt-get install nfs-common
sudo apt-get install nfs4-acl-tools

Configurar ACLs

  1. Se você quiser configurar ACLs para uma VM Linux ingressada no Active Directory, conclua as etapas em Ingressar uma VM do Linux em um Domínio do Microsoft Entra.

  2. Monte o volume.

  3. Use o comando nfs4_getfacl <path> para exibir a ACL existente em um diretório ou arquivo.

    A ACL NFSv4.1 padrão é uma representação próxima das permissões POSIX de 770.

    • A::OWNER@:rwaDxtTnNcCy - o proprietário tem acesso completo (RWX)
    • A:g:GROUP@:rwaDxtTnNcy - o grupo tem acesso completo (RWX)
    • A::EVERYONE@:tcy - todos os outros não têm acesso

  4. Para modificar um ACE para um usuário, use o comando nfs4_setfacl: nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

    • Use -a para adicionar permissão. Use -x para remover a permissão.
    • A cria acesso; D nega o acesso.
    • Em uma configuração ingressada no Active Directory, insira um endereço de email para o usuário. Caso contrário, insira a ID de usuário numérica.
    • Os aliases de permissão incluem leitura, gravação, acréscimo, execução etc. No seguinte exemplo ingressado no Active Directory, o usuário regan@contoso.com recebe acesso de leitura, gravação e execução a /nfsldap/engineering:
    nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering

Próximas etapas