この投稿は5年以上前のものです
3 Apprentice
•
1.3K メッセージ
0
1509
Isilon ABEに関して
掲題の件に関してご教授ください。
今回Isilonでaccess-based-enumerationを有効にして運用したいと考えています。
Isilon上すべての領域でABEを有効にしShare追加・Access Zone追加時に設定を毎回行いたくないため以下コマンドを実行しました。
・isi smb settings shares modify --access-based-enumeration=yes
コマンド実行後以下コマンドで設定が変更されたことを確認しました。
・isi smb settings shares view
実行結果
Access Based Enumeration: Yes
Access Based Enumeration Root Only: No
Allow Delete Readonly: No
Allow Execute Always: No
Change Notify: norecurse
Create Permissions: default acl
Directory Create Mask: 0700
Directory Create Mode: 0000
File Create Mask: 0700
File Create Mode: 0100
Hide Dot Files: No
Host ACL: -
Impersonate Guest: never
Impersonate User:
Mangle Byte Start: 0XED00
Mangle Map: 0x01-0x1F:-1, 0x22:-1, 0x2A:-1, 0x3A:-1, 0x3C:-1, 0x3E:-1, 0x3F:-1, 0x5C:-1
Ntfs ACL Support: Yes
Oplocks: Yes
Strict Flush: Yes
Strict Locking: No
これでABEが有効になりアクセス権の無いフォルダは表示されないと思ったのですがうまく動作せずアクセス権の無いフォルダもすべて表示されている状況です。
isi smb settings shares modify --access-based-enumeration=yesこのコマンドではABEは有効に働かないのでしょうか。
また試しに
・isi smb settings shares modify --zone=アクセスゾーン名 --access-based-enumeration=yes
上記コマンドでアクセスゾーンを指定してABEを有効にした場合正常にアクセス権の無いフォルダは表示されなくなりました。
ABEを設定するにはアクセスゾーン・Shareを指定しないと有効に働かないのでしょうか?
isi smb settings shares modify --access-based-enumeration=yesこのコマンドはどういった意味なのでしょうか。
Go.Y
2 Intern
2 Intern
•
293 メッセージ
1
2015年6月3日 03:00
isi smb settings shares modify --access-based-enumeration=yes はSystemゾーンの共有のデフォルト設定を変更する為にあります。
マルチゾーンの時にはZone毎に異なるデフォルト設定を定義可能ですので、Kingさんが作った共有がSystemゾーン以外の共有の場合は有効ではありません。
以下例です。
X200ISLAND-2# isi zone zones list
Name Path
----------------
System /ifs
Zone-X /ifs/data
----------------
Total: 2
Test-2# isi smb settings shares view
Access Based Enumeration: Yes
Test-2# isi smb settings shares view --zone System
Access Based Enumeration: Yes
Test-2# isi smb settings shares view --zone Zone-X
Access Based Enumeration: No
Test-2# isi smb shares create ifsnew --path=/ifs/data
Test-2# isi smb shares view ifsnew
Share Name: ifsnew
Path: /ifs/data
(中略)
Access Based Enumeration: Yes
Test-2# isi smb shares create pkgnew --path=/ifs/data --zone=Zone-X
Test-2# isi smb shares view --zone=Zone-X pkgnew
Share Name: pkgnew
Path: /ifs/data
(中略)
Access Based Enumeration: No
Uehara Y.
Community Manager
Community Manager
•
5.1K メッセージ
0
2015年5月24日 22:00
King@NWさん
以下のコマンド実行でご希望されている「Isilon上すべての領域でABEを有効」に出来るかをご確認頂けないでしょうか。
isi smb settings global modify -access-based-share-enum=yes
今回実行して頂いている、isi smb settings shares modify --access-based-enumeration=yesは、CLIガイドによると「Modifies default settings for SMB shares.」とのことなので、「シェア作成時にABEの有効/無効が指定されていない場合にはABEを有効にするよ」という意味かと。
mawatarai
3 Apprentice
3 Apprentice
•
1.3K メッセージ
0
2015年6月2日 20:00
すみませんその後いろいろ試してみたのですが何点か再度教えてください。
・isi smb settings global modify --access-based-share-enum=yes
こちらのコマンドですが、「access-based-share-enum」自体は共有のアクセス権が無い共有は表示させないというものだと思います。
ためしに上記コマンド実行したところアクセス権の無い共有は見えなくなり、フォルダに関しては表示されたままでした。
・isi smb settings shares modify --access-based-enumeration=yes
こちらのコマンドを実行した後に共有を作成したのですが、それでもやはりABEが有効にならず権限の無いフォルダも表示されてしまいました。
ためしにAccess Zoneも一度作りなおしたのですがABEは有効になりませんでした・・・
・isi smb settings shares modify --access-based-enumeration=yes
このコマンドは何に使うのでしょうか?