Поделиться через

Настройка списков управления доступом в томах NFSv4.1 для Azure NetApp Files

  • Статья

Azure NetApp Files поддерживает списки управления доступом (ACL) на томах NFSv4.1. Списки управления доступом обеспечивают детализированную безопасность файлов через NFSv4.1.

Списки управления доступом содержат сущности управления доступом (ACEs), которые указывают разрешения (чтение, запись и т. д.) отдельных пользователей или групп. При назначении ролей пользователей укажите адрес электронной почты пользователя, если вы используете виртуальную машину Linux, присоединенную к домен Active Directory. В противном случае укажите идентификаторы пользователей для задания разрешений.

Дополнительные сведения о списках управления доступом в Azure NetApp Files см. в статье "Общие сведения о списках управления доступом NFSv4.x".

Requirements

  • Списки управления доступом можно настроить только в томах NFS4.1. Том можно преобразовать из NFSv3 в NFSv4.1.

  • Необходимо установить два пакета:

    1. nfs-utils подключение томов NFS
    2. nfs-acl-tools для просмотра и изменения списков управления доступом NFSv4. Если у вас нет их, установите их:
      • На экземпляре Red Hat Enterprise Linux или SuSE Linux:
      sudo yum install -y nfs-utils
sudo yum install -y nfs4-acl-tools
      • В экземпляре Ubuntu или Debian:
      sudo apt-get install nfs-common
sudo apt-get install nfs4-acl-tools

Настройка списков управления доступом

  1. Если вы хотите настроить списки управления доступом для виртуальной машины Linux, присоединенной к Active Directory, выполните действия, описанные в разделе "Присоединение виртуальной машины Linux к домену Microsoft Entra".

  2. Подключите том.

  3. Используйте команду nfs4_getfacl <path> для просмотра существующего списка ACL в каталоге или файле.

    ACL по умолчанию NFSv4.1 — это близкое представление разрешений POSIX 770.

    • A::OWNER@:rwaDxtTnNcCy — владелец имеет полный доступ (RWX)
    • A:g:GROUP@:rwaDxtTnNcy — группа имеет полный доступ (RWX)
    • A::EVERYONE@:tcy - у всех остальных нет доступа

  4. Чтобы изменить ACE для пользователя, используйте nfs4_setfacl команду: nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

    • Используйте -a для добавления разрешений. Используется -x для удаления разрешений.
    • A создает доступ; D запрещает доступ.
    • В настройке, присоединенной к Active Directory, введите адрес электронной почты пользователя. В противном случае введите числовый идентификатор пользователя.
    • Псевдонимы разрешений включают чтение, запись, добавление, выполнение и т. д. В следующем примере, присоединенном к Active Directory, пользователь regan@contoso.com получает доступ на чтение, запись и выполнение доступа к /nfsldap/engineering:
    nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering

Следующие шаги