Dela via

Konfigurera åtkomstkontrollistor på NFSv4.1-volymer för Azure NetApp Files

  • Artikel

Azure NetApp Files stöder åtkomstkontrollistor (ACL: er) på NFSv4.1-volymer. ACL:er ger detaljerad filsäkerhet via NFSv4.1.

ACL:er innehåller åtkomstkontrollentiteter (ACL), som anger behörigheter (läsning, skrivning osv.) för enskilda användare eller grupper. När du tilldelar användarroller anger du användarens e-postadress om du använder en virtuell Linux-dator som är ansluten till en Active Directory-domän. Annars anger du användar-ID:t för att ange behörigheter.

Mer information om ACL:er i Azure NetApp Files finns i Förstå ACL:er för NFSv4.x.

Behov

  • ACL:er kan bara konfigureras på NFS4.1-volymer. Du kan konvertera en volym från NFSv3 till NFSv4.1.

  • Du måste ha två paket installerade:

    1. nfs-utils montera NFS-volymer
    2. nfs-acl-tools för att visa och ändra NFSv4-ACL:er. Om du inte har någon av dem installerar du dem:
      • På en Red Hat Enterprise Linux- eller SuSE Linux-instans:
      sudo yum install -y nfs-utils
sudo yum install -y nfs4-acl-tools
      • På Ubuntu- eller Debian-instansen:
      sudo apt-get install nfs-common
sudo apt-get install nfs4-acl-tools

Konfigurera ACL:er

  1. Om du vill konfigurera ACL:er för en virtuell Linux-dator som är ansluten till Active Directory slutför du stegen i Anslut en virtuell Linux-dator till en Microsoft Entra-domän.

  2. Montera volymen.

  3. Använd kommandot nfs4_getfacl <path> för att visa den befintliga ACL:en i en katalog eller fil.

    Standard-NFSv4.1 ACL är en nära representation av POSIX-behörigheterna på 770.

    • A::OWNER@:rwaDxtTnNcCy – ägaren har fullständig åtkomst (RWX)
    • A:g:GROUP@:rwaDxtTnNcy - gruppen har fullständig (RWX) åtkomst
    • A::EVERYONE@:tcy - Alla andra har ingen åtkomst

  4. Om du vill ändra ett ACE för en användare använder du nfs4_setfacl kommandot: nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

    • Använd -a för att lägga till behörighet. Använd -x för att ta bort behörighet.
    • A skapar åtkomst; D nekar åtkomst.
    • I en Active Directory-ansluten konfiguration anger du en e-postadress för användaren. Annars anger du det numeriska användar-ID:t.
    • Behörighetsalias omfattar läsning, skrivning, tillägg, körning osv. I följande Active Directory-anslutna exempel ges användaren regan@contoso.com läs-, skriv- och körningsåtkomst till /nfsldap/engineering:
    nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering

Nästa steg