你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 NFSv4.1 卷上配置 Azure NetApp 文件的访问控制列表

Azure NetApp 文件支持 NFSv4.1 卷上的访问控制列表 (ACL)。 ACL 通过 NFSv4.1 提供精细的文件安全性。

ACL 包含访问控制实体 (ACE)，后者指定单个用户或组的权限（读取、写入等）。 如果你使用的是联接到 Active Directory 域的 Linux VM，则在分配用户角色时，请提供用户电子邮件地址。 否则，请提供用户 ID 来设置权限。

若要了解有关 Azure NetApp 文件中的 ACL 的详细信息，请参阅了解 NFSv4.x ACL。

要求

• ACL 只能在 NFS4.1 卷上配置。 可以将卷从 NFSv3 转换为 NFSv4.1。

• 必须安装两个包：

  1. nfs-utils，用于装载 NFS 卷
  2. nfs-acl-tools，用于查看和修改 NFSv4 ACL。 如果两者都没有，请安装它们：
     • 在 Red Hat Enterprise Linux 或 SuSE Linux 实例上:

     sudo yum install -y nfs-utils
     sudo yum install -y nfs4-acl-tools
     

     • 在 Ubuntu 或 Debian 实例上:

     sudo apt-get install nfs-common
     sudo apt-get install nfs4-acl-tools
     

配置 ACL

1. 如果要为联接到 Active Directory 的 Linux VM 配置 ACL，请完成将 Linux VM 联接到 Microsoft Entra 域中的步骤。

2. 装载卷。

3. 使用命令 nfs4_getfacl <path> 查看目录或文件上的现有 ACL。

   默认 NFSv4.1 ACL 是 770 的 POSIX 权限的近似表示。

   • A::OWNER@:rwaDxtTnNcCy - 所有者拥有完全 (RWX) 访问权限
   • A:g:GROUP@:rwaDxtTnNcy - 组拥有完全 (RWX) 访问权限
   • A::EVERYONE@:tcy - 其他人没有访问权限

4. 若要修改用户的 ACE，请使用 nfs4_setfacl 命令：nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

   • 使用 -a 来添加权限。 使用 -x 来删除权限。
   • A 创建访问权限；D 拒绝访问。
   • 在联接到 Active Directory 的设置中，输入用户的电子邮件地址。 否则，请输入数字用户 ID。
   • 权限别名包括读取、写入、追加、执行等。在以下联接到 Active Directory 的示例中，用户 regan@contoso.com 被授予对 /nfsldap/engineering 的读取、写入和执行访问权限：

   nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
   

后续步骤

• 配置 NFS 客户端
• 了解 NFSv4.x ACL。