PowerScale: OneFS: Comprobación de travesía en OneFS y cómo aplicarla
Summary: ¿Qué es la comprobación de Traverse, cómo funciona y cómo se aplica en OneFS?
Instructions
Comprobación del trazado poligonal
De manera predeterminada, en OneFS, se cumple lo siguiente con respecto al recorrido de rutas:
- Si existe una ACL en un directorio, se concede el permiso de trazado poligonal (omitir comprobación de trazado poligonal),
- El permiso "Traverse" permite recorrer la ruta. Esto permite que el usuario navegue sin la necesidad de un permiso de "ejecución".
- El permiso "Traverse" es diferente al permiso "execute" y solo existe en una ACL
- Si no existe ninguna ACL (sintética/POSIX), se requiere un permiso de ejecución explícito.
- Esto significa que la capacidad de moverse a una ruta determinada requiere un mínimo de permisos de "ejecución" en el directorio principal para que se pueda permitir el recorrido.
Omitir comprobación de trazado poligonal
Un entorno de Microsoft Windows tiene un GPO denominado "omitir comprobación de desplazamiento", que permite a los usuarios acceder a una ruta de directorio (\\server\root\folder\path). Aquí es donde las rutas intermedias se "omiten" para la "comprobación de poligonal" (se concede la validación del derecho de poligonal/ejecución).
OneFS no aplica el GPO de Microsoft establecido en Active Directory, pero implementa la "omisión de la comprobación de recorrido" a través de la existencia de una ACL NTFS.
Cómo desactivar la "Omitir comprobación de poligonal" / Cómo aplicar la comprobación de poligonal:
Es posible que algunos usuarios deseen deshabilitar "omitir la comprobación del trazado poligonal" para aplicar la comprobación del permiso de trazado poligonal en cada directorio intermedio. Esto aplica un "Acceso denegado" cuando el permiso no se concede explícitamente. Este cambio no se debe realizar a la ligera, ya que es una configuración global y afectará a todos los clientes que accedan al clúster.
La capacidad de modificar el comportamiento a través de la interfaz de usuario/CLI se agregó desde la versión 8.2 y después del código. Consulte la guía administrativa de su nivel de código aquí: Manuales y documentos de PowerScale OneFS
Additional Information
Si se desea utilizar los protocolos SMB o NFSv4 en un clúster, es posible que se requieran permisos específicos para facilitar esto en todas las rutas principales que conducen al recurso compartido o la exportación pertinentes. Los administradores del clúster deben asegurarse de que los permisos se establezcan según corresponda antes de habilitar e implementar protocolos para el acceso de clientes. Si no lo hace, es posible que los clientes no puedan acceder a los recursos compartidos ni a las exportaciones. NFSv3 no requiere esto.
Permisos que OneFS tiene para las ACL de estilo NTFS (solo directorios):
- traverse : el derecho a atravesar el directorio. En Windows, este sería el permiso FILE_TRAVERSE.
- dir_gen_execute - Esto incluye los permisos de poligonal, std_read_dac y std_synchronize.
El equivalente de estilo POSIX al anterior sería el permiso execute (visto como una "x") en los bits de modo para los permisos de un directorio.
Consulte el siguiente ejemplo, donde la "x" indica permisos de ejecución para el propietario (raíz) y otros (todos).
# ls -led /ifs/data/test1
drwx-----x 2 root wheel 0 Apr 28 18:09 /ifs/data/test1
OWNER: user:root
GROUP: group:wheel
SYNTHETIC ACL
0: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
1: group:wheel allow std_read_dac,std_synchronize,dir_read_attr
2: everyone allow dir_gen_execute,dir_read_attr
Los detalles sobre los permisos y la autenticación están disponibles en la siguiente documentación técnica: Dell PowerScale OneFS: Autenticación, administración de identidades y autorización