PowerScale: OneFS: Traverskontroll i OneFS och hur du framtvingar den
Summary: Vad är Traverse-kontroll, hur fungerar det och hur tillämpar du det i OneFS?
Instructions
Kontroll av bläddring
I OneFS gäller som standard följande för sökvägsbläddring:
- Om det finns en ACL i en katalog beviljas bläddringsbehörigheten (kringgå bläddringskontroll),
- Behörigheten "Traverse" gör det möjligt att gå igenom sökvägar. Detta gör att användaren kan navigera utan att behöva en "kör"-behörighet.
- Behörigheten "Traverse" skiljer sig från behörigheten "execute" och finns bara i en ACL
- Om det inte finns någon ACL (syntetisk/POSIX) krävs en explicit körningsbehörighet.
- Det innebär att möjligheten att flytta till en viss sökväg kräver minst "kör"-behörigheter för den överordnade katalogen så att bläddring kan tillåtas.
Kringgå bläddringskontroll
En Microsoft Windows-miljö har ett grupprincipobjekt som kallas "bypass traverse checking" som gör det möjligt för användare att komma åt en katalogsökväg (\\server\root\folder\path). Det är här mellanliggande sökvägar "kringgås" för "bläddringskontroll" (validering av bläddrings-/körningsrättighet beviljas).
OneFS tillämpar inte Microsofts grupprincipobjekt som anges i Active Directory, men implementerar "bypass traverse checking" genom att det finns en NTFS-ACL.
Så här inaktiverar du "Bypass Traverse Checking" / Hur man tvingar Traverse Checking:
En del användare kanske vill inaktivera "bypass traverse checking" för att tvinga fram kontroll av bläddringsbehörigheten för varje mellanliggande katalog. Detta framtvingar en "Åtkomst nekad" när behörigheten inte beviljas uttryckligen. Den här ändringen bör inte göras lättvindigt, eftersom det är en global konfiguration och påverkar alla klienter som har åtkomst till klustret.
Möjligheten att ändra beteendet via UI/CLI-gränssnittet har lagts till sedan 8.2 och efter kod. Se den administrativa manualen för din kodnivå här: Manualer och dokument för PowerScale OneFS
Additional Information
Om du vill använda SMB- eller NFSv4-protokoll i ett kluster kan specifika behörigheter krävas för att underlätta detta på alla överordnade sökvägar som leder fram till den relevanta resursen eller exporten. Det är upp till klustrets administratörer att se till att behörigheterna anges i enlighet med detta innan protokoll för klientåtkomst aktiveras och implementeras. Om du inte gör det kan det leda till att klienter inte kan komma åt resurser eller exporter. NFSv3 kräver inte detta.
Behörigheter som OneFS har för ACL:er i NTFS-format (endast kataloger):
- traverse – Rätten att bläddra i katalogen. I Windows skulle detta vara den FILE_TRAVERSE behörigheten.
- dir_gen_execute – Detta inkluderar behörigheterna bläddring, std_read_dac och std_synchronize.
POSIX-stilens motsvarighet till ovanstående skulle vara körningsbehörigheten (ses som ett "x") i lägesbitarna för behörigheter för en katalog.
Se exemplet nedan, där "x" anger körningsbehörigheter för ägaren (roten) och andra (alla).
# ls -led /ifs/data/test1
drwx-----x 2 root wheel 0 Apr 28 18:09 /ifs/data/test1
OWNER: user:root
GROUP: group:wheel
SYNTHETIC ACL
0: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
1: group:wheel allow std_read_dac,std_synchronize,dir_read_attr
2: everyone allow dir_gen_execute,dir_read_attr
Information om behörigheter och autentisering finns i följande informationsdokument: Dell PowerScale OneFS: Autentisering, identitetshantering och auktorisering