在 Azure NetApp Files 的 NFSv4.1 磁碟區上設定存取控制清單

Azure NetApp Files 支援 NFSv4.1 磁碟區上的存取控制清單 (ACL)。 ACL 透過 NFSv4.1 提供細微的檔案安全性。

ACL 包含存取控制實體 (ACE)，而存取控制實體指定個別使用者或群組的權限 (讀取、寫入等)。 指派使用者角色時，若要使用已加入 Active Directory 網域的 Linux VM，則請提供使用者電子郵件地址。 否則，請提供使用者識別碼來設定權限。

若要深入了解 Azure NetApp Files 中的 ACL，請參閱了解 NFSv4.x ACL。

需求

• ACL 只能在 NFS4.1 磁碟區上進行設定。 您可以將磁碟區從 NFSv3 轉換為 NFSv4.1。

• 您必須安裝兩個套件：

  1. nfs-utils 以掛接 NFS 磁碟區
  2. nfs-acl-tools 以檢視和修改 NFSv4 ACL。 若兩者都沒有，則請予以安裝：
     • 在 Red Hat Enterprise Linux 或 SuSE Linux 執行個體上：

     sudo yum install -y nfs-utils
     sudo yum install -y nfs4-acl-tools
     

     • 在 Ubuntu 或 Debian 執行個體上：

     sudo apt-get install nfs-common
     sudo apt-get install nfs4-acl-tools
     

設定 ACL

1. 若要設定已加入 Active Directory 之 Linux VM 的 ACL，則請完成將 Linux VM 加入 Microsoft Entra 網域中的步驟。

2. 掛接磁碟區。

3. 使用 nfs4_getfacl <path> 命令來檢視目錄或檔案上的現有 ACL。

   預設 NFSv4.1 ACL 是 POSIX 權限 770 的近似呈現。

   • A::OWNER@:rwaDxtTnNcCy - 擁有者具有完整 (RWX) 存取權
   • A:g:GROUP@:rwaDxtTnNcy - 群組具有完整 (RWX) 存取權
   • A::EVERYONE@:tcy - 其他人沒有存取權

4. 若要修改使用者的 ACE，請使用 nfs4_setfacl 命令：nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

   • 使用 -a 來新增權限。 使用 -x 來移除權限。
   • A 會建立存取；D 會拒絕存取。
   • 在已加入 Active Directory 的設定中，輸入使用者的電子郵件地址。 否則，請輸入數值使用者識別碼。
   • 權限別名包括讀取、寫入、附加、執行等。在下列已加入 Active Directory 的範例中，會對使用者 regan@contoso.com 授與 /nfsldap/engineering 的讀取、寫入和執行存取權：

   nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
   

下一步

• 設定 NFS 用戶端
• 了解 NFSv4.x ACL。