PowerScale OneFS: SFTP yi yapılandırma ve chroot'u kurma

Summary: Bu belgede, Güvenli Dosya Aktarım Protokolü (SFTP) üzerinden PowerScale kümesine erişime nasıl izin verileceği açıklanmaktadır.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Bu belgede, SFTP üzerinden PowerScale kümesine erişime nasıl izin verileceği açıklanmaktadır. Bu sürece başlarken akılda tutulması gereken bazı sınırlamalar ve hususlar vardır.

  • SFTP erişimine ihtiyaç duyan Kullanıcılar/Gruplar, ISI_PRIV_LOGIN_SSH Kullanıcılarıyla ilişkili ayrıcalık.
  • SSH ve SFTP erişimi yalnızca Sistem bölgesi içinde çalışır.
  • Tüm SSH yapılandırma seçenekleri kullanılamaz; PowerScale, Match ve Subsystem deyimlerini isi ssh modify komut seti.

Bu faktörlerin dışında PowerScale, diğer FreeBSD OpenSSH sunucuları gibi çalışır. Şu komutu kullanarak kümedeki OpenSSH sürümünü kontrol edin: ssh -V.

Rolleri ve ayrıcalıkları ayarlama konusunda rehberlik için 'Yönetici rolleri ve ayrıcalıkları' bölümü altında sürümünüze yönelik CLI veya Web Yönetimi kılavuzlarına bakın.

Bir kullanıcının/grubun sahip olup olmadığını kontrol etme ISI_PRIV_LOGIN_SSH

Söz konusu kullanıcının sahip olduğunu doğrulayın ISI_PRIV_LOGIN_SSH. Aşağıda varsayılan yönetici kullanıcıyla ilgili bir örnek verilmiştir.

p930-1# isi auth mapping token admin | grep "LOGIN_SSH"
            ISI_PRIV_LOGIN_SSH

Çıktı yoksa kullanıcıya bu ayrıcalığı içeren bir Role atanması gerekir. Bunu nasıl yapacağınızla ilgili daha fazla ayrıntıyı, ilgili sürümünüze ait Yönetim Kılavuzlarımızda "Yönetim rolleri ve ayrıcalıkları" altında bulabilirsiniz

Yerel kullanıcılar için temel SFTP erişimi

Doğru ayrıcalıklar doğrulandıktan sonra kullanıcılar, kullanıcı eşleme belirteçlerine göre dosya sisteminin bazı bölümlerine SFTP erişimine sahip olmalıdır.

p930-1# sftp admin@localhost
(admin@localhost) Password:
Connected to localhost.
sftp> dir
sftp> cd ..
sftp> dir
admin  ftp

Temel Chroot SFTP erişimi

Bir kullanıcıyı dosya sisteminin belirli bir alt kümesiyle sınırlamak için OpenSSH ChrootDirectory Match deyimi içindeki işlevsellik. Bu, istemcinin oturum açma yolunu şu şekilde görmesine neden olur: / ve dosya sisteminin bu alt kümesinden ayrılmamalarını sağlar. ChrootDirectory Bununla birlikte, yolun tamamında katı dizin izni gereksinimlerine sahiptir ChrootDirectory Yoldaki her dizinin Posix İzinlerine sahip olduğunu root:wheel drwxr-xr-x Bununla ilgili daha fazla ayrıntı için OpenSSH bakımcıları man sayfasına bakın.

İşte uygulamak için ortak bir Eşleşme ifadesi ChrootDirectory bir grubu eşleştirirken. İlk üç satır aşağıdakiler için gereklidir: ChrootDirectory dosyaları desteklemeden. Son satır, bir kullanıcının OpenSSH içindeki X11Forwarding özelliklerinden yararlanma yeteneğini sınırlar. 

Match Group admin
ChrootDirectory /ifs/sftp
ForceCommand internal-sftp
X11Forwarding no

Aşağıda, eşleşen herhangi bir kullanıcının /ifs/sftp/home dizini. root:wheel Dizinlerin sahibidir /ifs ve /ifs/sftp, izinler için 755 olarak ayarlanmıştır. ChrootDirectory Süre /ifs/sftp/home Kullanıcının yazma erişimine izin veren 777 izinlerine sahiptir.

p930-1# isi auth settings acls modify --calcmode-group=group_only --calcmode-owner=owner_only
p930-1# mkdir -p /ifs/sftp/home
p930-1# chmod 755 /ifs/
p930-1# chmod 755 /ifs/sftp
p930-1# chmod 777 /ifs/sftp/home
p930-1# isi ssh settings modify --match="Match Group admin
dquote>     ChrootDirectory /ifs/sftp
dquote>     ForceCommand internal-sftp"
p930-1# sftp admin@localhost
(admin@localhost) Password:
Connected to localhost.
sftp> ls
home
sftp> pwd
Remote working directory: /

Birden fazla Eşleşme Dizesi yapılandırma

Bir dosyada birden fazla eşleşmeyi yönetmek ve ardından bunları bize iletmek daha kolaydır. isi ssh kullanın. Bu işlemi kullanmak şunları sağlar: sshd Dosyayı doğrular ve değişikliği yalnızca geçerliyse uygular.

Aşağıda başarı ve başarısızlık örnekleri verilmiştir.

p930-1# cat /ifs/sshMatches
Match Group admin
ChrootDirectory /ifs/sftp
ForceCommand internal-sftp
X11Forwarding no
Match All
X11Forwarding no
p930-1# sshd -t -f /ifs/sshMatches && isi ssh settings modify --match="$(cat /ifs/sshMatches)"
p930-1# sshd -t -f /ifs/sshMatchBad && isi ssh settings modify --match="$(cat /ifs/sshMatchBad)"
Missing Match criteria for Allk
/ifs/sshMatchBad line 6: Bad Match condition

Eşleşme Dizesi ile İlgili Hususlar.

Eşleştirme Dizeleri ayarlanırken, kümenin tanıdığı herhangi bir kullanıcı veya grup tanımlayıcısı bir "Kullanıcıyı Eşleştir" veya "Grubu Eşleştir" dizesinde kullanılabilir. Bu nedenle, Active Directory gruplarına başvurmak RFC2307 domain\user.

Kullanıcı, Kullanıcı Eşleştir dizesinde doğru yolu veya ayarları yönlendirmiyorsa kullanıcının kümede şu komutla aranabildiğini doğrulayın isi auth mapping token <username> Eşleşme Dizinizden kullanıcı adı alarak.

Bir kullanıcı, Grup Eşleştir dizesinde doğru yolu veya ayarları yönlendirmiyorsa kullanıcının söz konusu grubun üyesi olduğunu şu komutla doğrulayın: isi auth mapping token <username> | grep <groupname>'dir.

Bir kullanıcı adı girin ve grup adını Eşleşme Dizesi'nden alın.

Aşağıda, Match Group deyimindeki bir hata nedeniyle bir yola doğru şekilde yönlendirme yapmayan bir kullanıcı örneği verilmiştir. User (Kullanıcı) stateroot kullanıcı etkin durumdayken prodroot bunu düzeltmek için Match Group ifadesinde kullanılan grup adındaki hatayı düzeltin.

p930-1# isi auth mapping token stageroot | grep "LOGIN_SSH"
            ISI_PRIV_LOGIN_SSH
p930-1# isi auth mapping token prodroot | grep "LOGIN_SSH"
            ISI_PRIV_LOGIN_SSH
p930-1# cat /ifs/sshMatches
Match Group Stage-Root-SFTP
ChrootDirectory /ifs/home/Stage-Root
X11Forwarding no
ForceCommand internal-sftp
Match Group Prod-Root
ChrootDirectory /ifs/home/Prod-Root
X11Forwarding no
ForceCommand internal-sftp
p930-1# isi auth mapping token stageroot | grep "Stage-Root-SFTP"
p930-1# isi auth mapping token prodroot | grep "Prod-Root"
          Name: Prod-Root
p930-1# isi auth mapping token stageroot | grep "Stage-Root"
          Name: Stage-Root

Eski Yapılandırmalar

OneFS 8.2'den önce bu işlev kullanılabiliyordu ancak isi ssh komut henüz mevcut değildi. Kullanmak yerine isi ssh settings modify --match="" Dosyayı düzenleyin /etc/mcp/templates/sshd_config yukarıdaki adımların kullanacağı aynı Eşleşme Dizeleri ile. Bunları sonuna ekleyin: /etc/mcp/templates/sshd_config.

Sağlanan talimatların OneFS 8.2'den önceki OneFS sürümleri için çalışması gerekir ancak bu şekilde yapılan tüm yapılandırma ayarlamaları, Uygulama Programlama Arayüzü (API) desteğine sahip bir OneFS sürümüne yükseltildikten sonra kaldırılacaktır. SFTP erişimini kullanan kullanıcılar için ISI_PRIV_LOGIN_SSH Ayrıcalık.

Article Properties
Article Number: 000157780
Article Type: How To
Last Modified: 09 رمضان 1447
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.