PowerScale. OneFS. Обход возврата в OneFS и его принудительное применение
Summary: Что такое проверка Traverse, как она работает и как ее применять в OneFS?
Instructions
Проверка теодолитного хода
По умолчанию в OneFS выполняется следующее в отношении обхода пути:
- Если ACL существует в каталоге, предоставляется разрешение на обход (обход проверки обхода),
- Разрешение "Теодолитный ход" позволяет выполнять обход пути. Это позволяет пользователю перемещаться без необходимости получения разрешения «execute».
- Разрешение «Traverse» отличается от разрешения «execute» и существует только в ACL
- Если ACL не существует (synthetic/POSIX), требуется явное разрешение на выполнение.
- Это означает, что возможность перехода к определенному пути требует минимальных разрешений «execute» в родительском каталоге, чтобы можно было разрешить обход.
Проверка обхода теодолитного хода
В среде Microsoft Windows имеется объект групповой политики, называемый «bypass traverse checking», который позволяет пользователям получать доступ к пути к каталогу (\\server\root\folder\path). В этом случае промежуточные пути "обойдаются" для "проверки теодолитного хода" (предоставляется подтверждение права на обход хода/выполнение).
OneFS не применяет объекты групповой политики Microsoft, установленные в Active Directory, но реализует «проверку обхода обхода» благодаря наличию списка контроля доступа NTFS.
Как отключить "Bypass Traverse Checking" / Как включить проверку теодолитного хода:
Некоторые пользователи могут захотеть отключить "bypass traverse checking", чтобы принудительная проверка прав обхода в каждом промежуточном каталоге. Это приводит к применению команды «Access denied», если разрешение не предоставлено явно. Это изменение не должно быть легкомысленным, так как это глобальная конфигурация, которая повлияет на всех клиентов, обращающихся к кластеру.
Возможность изменять поведение через интерфейс UI/CLI была добавлена начиная с версии 8.2 и после кода. См. руководство по администрированию для вашего уровня кода здесь: Руководства и документы по PowerScale OneFS
Additional Information
Если в кластере необходимо использовать протоколы SMB или NFSv4, могут потребоваться специальные разрешения на всех родительских путях, ведущих к соответствующему общему ресурсу или экспорту. Администраторы кластера должны убедиться, что разрешения установлены соответствующим образом, прежде чем включать и внедрять протоколы клиентского доступа. В противном случае клиенты могут не иметь доступа к общим или экспортируемым каталогам. NFSv3 этого не требует.
Разрешения, которыми обладает OneFS для списков контроля доступа в стиле NTFS (только каталоги):
- traverse - Право на обход каталога. В Windows это будет FILE_TRAVERSE разрешение.
- dir_gen_execute — включает в себя разрешения на теодолитный ход, std_read_dac и std_synchronize.
Эквивалентом предыдущего в стиле POSIX будет разрешение на выполнение (видимое как "x") в битах режимов для разрешений каталога.
См. пример ниже, где "x" обозначает разрешения на выполнение для владельца (root) и других (для всех).
# ls -led /ifs/data/test1
drwx-----x 2 root wheel 0 Apr 28 18:09 /ifs/data/test1
OWNER: user:root
GROUP: group:wheel
SYNTHETIC ACL
0: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
1: group:wheel allow std_read_dac,std_synchronize,dir_read_attr
2: everyone allow dir_gen_execute,dir_read_attr
Подробные сведения о разрешениях и аутентификации см. в следующем техническом документе: Dell PowerScale OneFS. Аутентификация, управление персональными данными и авторизация