PowerScale OneFS: Konfigurace SFTP a nastavení chroot

Tento dokument popisuje, jak povolit přístup ke clusteru PowerScale přes protokol SFTP. Při zahájení tohoto procesu je třeba mít na paměti určitá omezení a úvahy.

• Uživatelé/skupiny, které potřebují přístup SFTP, musí mít ISI_PRIV_LOGIN_SSH oprávnění spojená s jejich uživatelem.
• Přístup SSH a SFTP funguje pouze v systémové zóně.
• Nejsou k dispozici všechny možnosti konfigurace ssh; PowerScale podporuje příkazy Match a Subsystem přes isi ssh modify sada příkazů.

Mimo tyto faktory funguje PowerScale jako jakýkoli jiný server FreeBSD OpenSSH. Pomocí následujícího příkazu zkontrolujte verzi OpenSSH v clusteru ssh -V.

Pokyny k nastavení rolí a oprávnění naleznete v příručce CLI nebo webové správě v části Role a oprávnění správce.

Kontrola, zda má uživatel nebo skupina ISI_PRIV_LOGIN_SSH

Ověřte, zda má dotyčný uživatel ISI_PRIV_LOGIN_SSH. Níže je uveden příklad s výchozím správcem.

p930-1# isi auth mapping token admin | grep "LOGIN_SSH"
            ISI_PRIV_LOGIN_SSH

Pokud není k dispozici žádný výstup, musí být uživateli přiřazena role, která toto oprávnění zahrnuje. Další podrobnosti o tom, jak to udělat, najdete v našich příručkách pro správu pro příslušnou verzi v části "Role a oprávnění správce"

Základní SFTP přístup pro místní uživatele

Po ověření správných oprávnění by uživatelé měli mít přístup SFTP k částem souborového systému na základě tokenu mapování uživatele.

p930-1# sftp admin@localhost
(admin@localhost) Password:
Connected to localhost.
sftp> dir
sftp> cd ..
sftp> dir
admin  ftp

Základní přístup Chroot SFTP

Chcete-li omezit uživatele na určitou podmnožinu souborového systému, použijte OpenSSH ChrootDirectory funkce v rámci Match příkazu. To způsobí, že klient uvidí svou přihlašovací cestu jako / a zařídí tak, aby nemohli tuto podmnožinu souborového systému opustit. ChrootDirectory má však přísné požadavky na oprávnění k adresáři na celé cestě k ChrootDirectory že každý adresář v cestě má oprávnění Posix root:wheel drwxr-xr-x více podrobností najdete v manuálové stránce správců OpenSSH.

Zde je běžné prohlášení Match pro implementaci ChrootDirectory. První dva řádky jsou vyžadovány pro ChrootDirectory bez podpůrných souborů. Druhé dva řádky omezují možnosti uživatele TCPForwarding funkcí X11Forwarding v rámci OpenSSH.

Match Group admin
ChrootDirectory /ifs/sftp
ForceCommand internal-sftp"
X11Forwarding no

Níže je uveden základní příklad přípravy cesty pro chroot, když do něj mohou zapisovat všichni odpovídající uživatelé /ifs/sftp/home adresáře. root:wheel Vlastní adresáře. /ifs a /ifs/sftps oprávněními nastavenými na 755 pro ChrootDirectory Zatímco /ifs/sftp/home Má oprávnění 777, což uživateli umožňuje přístup k zápisu.

p930-1# isi auth settings acls modify --calcmode-group=group_only --calcmode-owner=owner_only
p930-1# mkdir -p /ifs/sftp/home
p930-1# chmod 755 /ifs/
p930-1# chmod 755 /ifs/sftp
p930-1# chmod 777 /ifs/sftp/home
p930-1# isi ssh settings modify --match="Match Group admin
dquote>     ChrootDirectory /ifs/sftp
dquote>     ForceCommand internal-sftp"
p930-1# sftp admin@localhost
(admin@localhost) Password:
Connected to localhost.
sftp> ls
home
sftp> pwd
Remote working directory: /

Konfigurace více řetězců shody

Je jednodušší spravovat více shod v souboru a poté je předat našemu isi ssh . Použití tohoto procesu zajišťuje sshd Ověří soubor a použije změnu pouze v případě, že je platná.

Níže jsou uvedeny příklady úspěchu a neúspěchu.

p930-1# cat /ifs/sshMatches
Match Group admin
ChrootDirectory /ifs/sftp
ForceCommand internal-sftp
X11Forwarding no
Match All
X11Forwarding no
p930-1# sshd -t -f /ifs/sshMatches && isi ssh settings modify --match="$(cat /ifs/sshMatches)"
p930-1# sshd -t -f /ifs/sshMatchBad && isi ssh settings modify --match="$(cat /ifs/sshMatchBad)"
Missing Match criteria for Allk
/ifs/sshMatchBad line 6: Bad Match condition

Důležité informace o řetězci shody.

Při nastavování možnosti Match Strings lze použít libovolný identifikátor uživatele nebo skupiny, který je clusteru známý. Odkazování na skupiny služby Active Directory lze tedy provádět pomocí RFC2307 domain\user.

Pokud uživatel nesměruje na správnou cestu nebo nastavení v řetězci Porovnat uživatele, ověřte, zda lze uživatele vyhledat v clusteru pomocí příkazu isi auth mapping token <username> přebírání uživatelského jména z vašeho Match String.

Pokud uživatel není směrován na správnou cestu nebo nastavení v řetězci Match Group, ověřte pomocí příkazu, zda je uživatel členem dané skupiny isi auth mapping token <username> | grep <groupname>.

Zadejte uživatelské jméno a název skupiny z odpovídajícího řetězce.

Níže je uveden příklad uživatele, který není správně směrován na cestu kvůli chybě v příkazu Match Group. Uživatel stateroot nefunguje správně, když uživatel prodroot je, opravte chybu v názvu skupiny použitou v příkazu Match Group, abyste to napravili.

p930-1# isi auth mapping token stageroot | grep "LOGIN_SSH"
            ISI_PRIV_LOGIN_SSH
p930-1# isi auth mapping token prodroot | grep "LOGIN_SSH"
            ISI_PRIV_LOGIN_SSH
p930-1# cat /ifs/sshMatches
Match Group Stage-Root-SFTP
ChrootDirectory /ifs/home/Stage-Root
X11Forwarding no
ForceCommand internal-sftp
Match Group Prod-Root
ChrootDirectory /ifs/home/Prod-Root
X11Forwarding no
ForceCommand internal-sftp
p930-1# isi auth mapping token stageroot | grep "Stage-Root-SFTP"
p930-1# isi auth mapping token prodroot | grep "Prod-Root"
          Name: Prod-Root
p930-1# isi auth mapping token stageroot | grep "Stage-Root"
          Name: Stage-Root

Starší konfigurace

Před OneFS 8.2 bylo možné dosáhnout stejné funkce, ale isi ssh velení ještě neexistovalo. Namísto použití isi ssh settings modify --match="" Úprava souboru /etc/mcp/templates/sshd_config se stejnými Match Strings, které by výše uvedené kroky použily. Přidejte je na konec /etc/mcp/templates/sshd_config.

Uvedené pokyny by měly fungovat pro verze OneFS starší než OneFS 8.2, ale po upgradu na verzi OneFS s podporou rozhraní API (Application Programming Interface) budou veškeré úpravy konfigurace provedené tímto způsobem odstraněny. Uživatelé, kteří používají přístup SFTP, stále vyžadují ISI_PRIV_LOGIN_SSH Oprávnění.