PowerScale：OneFS：OneFSでのチェックを横断し、その適用方法

トラバースチェック

デフォルトでは、OneFSでは、パス トラバーサルに関して次のことが当てはまります。   

• ディレクトリに ACL が存在する場合は、トラバース権限が付与されます (トラバース チェックをバイパスします)。
  • 「トラバース」権限は、パストラバーサルを許可します。これにより、ユーザーは「実行」権限を必要とせずにナビゲートできます。
  • 「トラバース」権限は「実行」権限とは異なり、ACLにのみ存在します
• ACLが存在しない場合(合成/POSIX)、明示的な実行権限が必要です。 
  • つまり、特定のパスに移動するには、トラバーサルを許可するために、親ディレクトリに対する少なくとも「実行」権限が必要です。

トラバース チェックのバイパス(Bypass Traverse Checking)

Microsoft Windows環境には、ユーザーがディレクトリー パス(\\server\root\folder\path)にアクセスできる「バイパス走査」と呼ばれるGPOがあります。これは、「トラバース チェック」のために中間パスが「バイパス」される場所です(トラバース/実行権限が付与されていることを検証します)。
OneFSは、Active Directoryに規定されているMicrosoft GPOを強制しませんが、NTFS ACLの存在によって「バイパス トラバース チェック」を実装します。
 

「トラバース チェックのバイパス」を無効にする方法/トラバース チェックを強制する方法:

一部のユーザーは、各中間ディレクトリでトラバース権限のチェックを強制するために、「トラバースチェックのバイパス」を無効にしたい場合があります。これにより、アクセス許可が明示的に付与されていない場合に "アクセス拒否" が適用されます。この変更は、グローバル構成であり、クラスターにアクセスするすべてのクライアントに影響を与えるため、軽々しく行うべきではありません


UI/CLIインターフェイスを使用して動作を変更する機能は、8.2以降のコードで追加されました。次のコード レベルの管理ガイドを参照してください。PowerScale OneFSマニュアルおよびドキュメント

クラスターでSMBまたはNFSv4プロトコルを使用する場合は、関連する共有またはエクスポートに至るまでのすべての親パスでこれを容易にするために、特定の権限が必要になる場合があります。クライアント アクセス用のプロトコルを有効にして実装する前に、権限が適切に設定されていることを確認するのは、クラスターの管理者の責任です。これを行わないと、クライアントが共有またはエクスポートにアクセスできなくなる可能性があります。NFSv3では、これは必要ありません。

NTFSスタイルのACLに対してOneFSが持つ権限(ディレクトリーのみ):

• traverse - ディレクトリをトラバースする権限。Windowsでは、これはFILE_TRAVERSE権限になります。
• dir_gen_execute - これには、トラバース、std_read_dac、およびstd_synchronize権限が含まれます。

上記と同等のPOSIXスタイルは、ディレクトリのパーミッションのモードビットにおける実行パーミッション(「x」として見られる)です。

以下の例を参照してください。ここで、「x」は所有者(root)とその他(すべてのユーザー)の実行権限を示します。

# ls -led /ifs/data/test1
drwx-----x     2 root  wheel  0 Apr 28 18:09 /ifs/data/test1
 OWNER: user:root
 GROUP: group:wheel
 SYNTHETIC ACL
 0: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
 1: group:wheel allow std_read_dac,std_synchronize,dir_read_attr
 2: everyone allow dir_gen_execute,dir_read_attr

権限と認証の詳細については、次のホワイト ペーパーを参照してください。Dell PowerScale OneFS: 認証、ID管理、許可