PowerScale OneFS: SFTP:n määrittäminen ja chrootin määrittäminen

Summary: Tässä asiakirjassa kuvataan, miten PowerScale-klusteriin sallitaan pääsy SFTP (Secure File Transfer Protocol) -protokollan kautta.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Tässä asiakirjassa kuvataan, miten PowerScale-klusteriin sallitaan pääsy SFTP:n kautta. On joitain rajoituksia ja näkökohtia, jotka on pidettävä mielessä tätä prosessia aloitettaessa.

  • SFTP-käyttöoikeutta tarvitsevilla käyttäjillä/ryhmillä on oltava ISI_PRIV_LOGIN_SSH niiden käyttäjään liittyvät oikeudet.
  • SSH- ja SFTP-yhteydet toimivat vain järjestelmävyöhykkeellä.
  • Kaikki ssh-määritysvaihtoehdot eivät ole käytettävissä. PowerScale tukee vastaavuus- ja alijärjestelmälausekkeita isi ssh modify komentosarja.

Näiden tekijöiden lisäksi PowerScale toimii kuten mikä tahansa FreeBSD OpenSSH -palvelin. Tarkista klusterin OpenSSH-versio komennolla ssh -V.

Lisätietoja roolien ja oikeuksien määrittämisestä on julkaisua koskevissa komentoriviliittymän tai verkkohallinnan oppaissa, jotka kuuluvat Järjestelmänvalvojan roolit ja oikeudet -osaan.

Tarkistetaan, onko käyttäjällä/ryhmällä ISI_PRIV_LOGIN_SSH

Varmista, että kyseisellä käyttäjällä on ISI_PRIV_LOGIN_SSH. Alla on esimerkki oletusarvoisesta järjestelmänvalvojakäyttäjästä.

p930-1# isi auth mapping token admin | grep "LOGIN_SSH"
            ISI_PRIV_LOGIN_SSH

Jos tulosta ei ole, käyttäjä on määritettävä rooliin, joka sisältää kyseisen oikeuden. Ohjeet tähän ovat julkaisun hallintaoppaissa kohdassa "Hallintaroolit ja oikeudet"

SFTP-peruskäyttöoikeus paikallisille käyttäjille

Kun oikeat käyttöoikeudet on tarkistettu, käyttäjillä pitäisi olla SFTP-käyttöoikeus tiedostojärjestelmän osiin käyttäjän kartoitustunnuksen perusteella.

p930-1# sftp admin@localhost
(admin@localhost) Password:
Connected to localhost.
sftp> dir
sftp> cd ..
sftp> dir
admin  ftp

Chroot SFTP -peruskäyttö

Jos haluat rajoittaa käyttäjän tiettyyn tiedostojärjestelmän osajoukkoon, käytä OpenSSH:ta ChrootDirectory toiminnallisuus Match Statementissa. Tämä saa asiakkaan näkemään kirjautumispolkunsa seuraavasti: / ja tekee sen niin, että he eivät voi poistua tiedostojärjestelmän osajoukosta. ChrootDirectory sillä on kuitenkin tiukat hakemiston käyttöoikeusvaatimukset koko polulle, joka johtaa ChrootDirectory että polun jokaisella hakemistolla on Posix-käyttöoikeudet root:wheel drwxr-xr-x Lisätietoja tästä on OpenSSH-ylläpitäjien man-sivulla.

Tässä on yleinen vastaavuuslausunto käyttöönottoa varten ChrootDirectory samalla kun sovitat ryhmää. Ensimmäiset kolme riviä tarvitaan seuraaville: ChrootDirectory ilman tukevia tiedostoja. Viimeinen rivi rajoittaa käyttäjän mahdollisuutta hyödyntää OpenSSH:n X11Forwarding-ominaisuuksia. 

Match Group admin
ChrootDirectory /ifs/sftp
ForceCommand internal-sftp
X11Forwarding no

Alla on perusesimerkki polun valmistelusta chrootille, kun vastaavat käyttäjät voivat kirjoittaa /ifs/sftp/home Hakemisto. root:wheel omistaa hakemistot /ifs ja /ifs/sftp, jonka käyttöoikeuksiksi on määritetty 755 ChrootDirectory Kun /ifs/sftp/home käyttäjän kirjoitusoikeudet ovat 777, mikä mahdollistaa käyttäjän kirjoitusoikeudet.

p930-1# isi auth settings acls modify --calcmode-group=group_only --calcmode-owner=owner_only
p930-1# mkdir -p /ifs/sftp/home
p930-1# chmod 755 /ifs/
p930-1# chmod 755 /ifs/sftp
p930-1# chmod 777 /ifs/sftp/home
p930-1# isi ssh settings modify --match="Match Group admin
dquote>     ChrootDirectory /ifs/sftp
dquote>     ForceCommand internal-sftp"
p930-1# sftp admin@localhost
(admin@localhost) Password:
Connected to localhost.
sftp> ls
home
sftp> pwd
Remote working directory: /

Useiden hakumerkkijonojen määrittäminen

On helpompaa hallita useita osumia tiedostossa ja välittää ne sitten isi ssh Komennot. Prosessin käyttäminen varmistaa, että sshd Vahvistaa tiedoston ja ottaa muutoksen käyttöön vain, jos se on kelvollinen.

Alla on esimerkkejä onnistumisesta ja epäonnistumisesta.

p930-1# cat /ifs/sshMatches
Match Group admin
ChrootDirectory /ifs/sftp
ForceCommand internal-sftp
X11Forwarding no
Match All
X11Forwarding no
p930-1# sshd -t -f /ifs/sshMatches && isi ssh settings modify --match="$(cat /ifs/sshMatches)"
p930-1# sshd -t -f /ifs/sshMatchBad && isi ssh settings modify --match="$(cat /ifs/sshMatchBad)"
Missing Match criteria for Allk
/ifs/sshMatchBad line 6: Bad Match condition

Vastaa merkkijonoon liittyviä seikkoja.

Kun määrityksen merkkijonoja määritetään, mitä tahansa klusterin tiedossa olevaa käyttäjän tai ryhmän tunnistetta voidaan käyttää Match User- tai Match Group -merkkijonossa. Joten Active Directory -ryhmiin viittaaminen voidaan tehdä RFC2307 domain\user.

Jos käyttäjä ei reititä oikeaan polkuun tai asetuksiin Match User -merkkijonossa, varmista komennolla, että käyttäjä voidaan etsiä klusterista isi auth mapping token <username> ottamalla käyttäjänimen vastaavuusmerkkijonostasi.

Jos käyttäjä ei reititä oikeaan polkuun tai asetuksiin vastaavuusryhmän merkkijonossa, varmista komennolla, että käyttäjä on kyseisen ryhmän jäsen isi auth mapping token <username> | grep <groupname>.

Anna käyttäjänimi ja ota ryhmän nimi vastaavuusmerkkijonosta.

Alla on esimerkki käyttäjästä, joka ei reititä polkua oikein otteluryhmälausekkeessa olevan virheen vuoksi. Käyttäjä stateroot ei toimi oikein, kun käyttäjä prodroot on, korjaa virhe Match Group -lauseessa käytetyssä ryhmän nimessä tämän korjaamiseksi.

p930-1# isi auth mapping token stageroot | grep "LOGIN_SSH"
            ISI_PRIV_LOGIN_SSH
p930-1# isi auth mapping token prodroot | grep "LOGIN_SSH"
            ISI_PRIV_LOGIN_SSH
p930-1# cat /ifs/sshMatches
Match Group Stage-Root-SFTP
ChrootDirectory /ifs/home/Stage-Root
X11Forwarding no
ForceCommand internal-sftp
Match Group Prod-Root
ChrootDirectory /ifs/home/Prod-Root
X11Forwarding no
ForceCommand internal-sftp
p930-1# isi auth mapping token stageroot | grep "Stage-Root-SFTP"
p930-1# isi auth mapping token prodroot | grep "Prod-Root"
          Name: Prod-Root
p930-1# isi auth mapping token stageroot | grep "Stage-Root"
          Name: Stage-Root

Vanhat kokoonpanot

Sama toiminto oli mahdollista tehdä ennen OneFS 8.2 -versiota, mutta isi ssh komentoa ei vielä ollut. Sen sijaan, että käyttäisit isi ssh settings modify --match="" Muokkaa tiedostoa /etc/mcp/templates/sshd_config samoilla vastaavuusmerkkijonoilla yllä olevat vaiheet käyttäisivät. Lisää ne loppuun /etc/mcp/templates/sshd_config.

Annettujen ohjeiden pitäisi toimia OneFS 8.2 -versiota aiemmissa versioissa, mutta tällä tavoin tehdyt määritysmuutokset poistuvat, kun olet päivittänyt API (Application Programming Interface) -tuella varustettuun OneFS-versioon. SFTP-yhteyttä käyttävät käyttäjät tarvitsevat edelleen ISI_PRIV_LOGIN_SSH Etuoikeus.

Article Properties
Article Number: 000157780
Article Type: How To
Last Modified: 09 رمضان 1447
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.