PowerScale OneFS: Налаштування SFTP і налаштування chroot

Summary: У цьому документі описується, як дозволити доступ до кластера PowerScale через протокол Secure File Transfer Protocol (SFTP).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

У цьому документі описано, як дозволити доступ до кластера PowerScale через SFTP. Існують певні обмеження та аспекти, які слід враховувати, починаючи цей процес.

  • Користувачі/групи, які потребують SFTP-доступу, повинні мати ISI_PRIV_LOGIN_SSH Привілеї, пов'язані з їхнім користувачем.
  • SSH та SFTP-доступ працює лише в системній зоні.
  • Не всі варіанти конфігурації ssh доступні; PowerScale підтримує оператори Match і Subsystem над isi ssh modify Командний набір.

Окрім цих факторів, PowerScale працює як будь-який інший OpenSSH сервер FreeBSD. Перевірте версію OpenSSH на кластері за допомогою команди ssh -V.

Для отримання порад щодо налаштування ролей і привілеїв зверніться до посібників CLI або Web Administration для вашого звільнення у розділі «Адміністративні ролі та привілеї».

Перевіряю, чи є користувач/група ISI_PRIV_LOGIN_SSH

Перевірте, чи має користувач ISI_PRIV_LOGIN_SSH. Нижче наведено приклад із користувачем адміністратора за замовчуванням.

p930-1# isi auth mapping token admin | grep "LOGIN_SSH"
            ISI_PRIV_LOGIN_SSH

Якщо виводу немає, користувач має бути призначений на роль, яка включає цю привілею. Детальніше про те, як це зробити, наведено у наших Адміністративних посібниках для вашого відповідного релізу в розділі «Адміністративні ролі та привілеї»

Базовий доступ SFTP для локальних користувачів

Після перевірки правильних привілеїв користувачі повинні мати SFTP-доступ до частин файлової системи на основі їхнього токена відтворення користувача.

p930-1# sftp admin@localhost
(admin@localhost) Password:
Connected to localhost.
sftp> dir
sftp> cd ..
sftp> dir
admin  ftp

Базовий доступ Chroot SFTP

Щоб обмежити користувача певною підмножиною файлової системи, використовуйте OpenSSH ChrootDirectory функціональність у межах оператора Match. Це змушує клієнта бачити свій шлях входу як / і робить так, щоб вони не могли залишати цю підмножину файлової системи. ChrootDirectory проте має суворі вимоги до дозволу директорії на всьому шляху до ChrootDirectory що кожен каталог на шляху має Posix-дозволи root:wheel drwxr-xr-x для детальнішої інформації дивіться на сторінці підтримувачів OpenSSH.

Ось поширений оператор Match для реалізації ChrootDirectory під час підбору групи. Перші три рядки потрібні для ChrootDirectory без підтримуючих файлів. Останній рядок обмежує можливість користувача скористатися функціями X11Forwarding у OpenSSH. 

Match Group admin
ChrootDirectory /ifs/sftp
ForceCommand internal-sftp
X11Forwarding no

Нижче наведено базовий приклад підготовки шляху для chroot, коли будь-які відповідні користувачі можуть записувати у /ifs/sftp/home Довідник. root:wheel володіє довідниками /ifs та /ifs/sftp, з дозволами, встановленими на 755 для ChrootDirectory поки /ifs/sftp/home має дозволи 777, що дозволяє користувачеві записи.

p930-1# isi auth settings acls modify --calcmode-group=group_only --calcmode-owner=owner_only
p930-1# mkdir -p /ifs/sftp/home
p930-1# chmod 755 /ifs/
p930-1# chmod 755 /ifs/sftp
p930-1# chmod 777 /ifs/sftp/home
p930-1# isi ssh settings modify --match="Match Group admin
dquote>     ChrootDirectory /ifs/sftp
dquote>     ForceCommand internal-sftp"
p930-1# sftp admin@localhost
(admin@localhost) Password:
Connected to localhost.
sftp> ls
home
sftp> pwd
Remote working directory: /

Конфігурація кількох рядків матчу

Легше керувати кількома збігами в одному файлі, а потім передавати їх нашому isi ssh наказів. Використання цього процесу гарантує sshd Перевіряє файл і застосовує зміну лише якщо вона дійсна.

Нижче наведено приклади успіху та невдачі.

p930-1# cat /ifs/sshMatches
Match Group admin
ChrootDirectory /ifs/sftp
ForceCommand internal-sftp
X11Forwarding no
Match All
X11Forwarding no
p930-1# sshd -t -f /ifs/sshMatches && isi ssh settings modify --match="$(cat /ifs/sshMatches)"
p930-1# sshd -t -f /ifs/sshMatchBad && isi ssh settings modify --match="$(cat /ifs/sshMatchBad)"
Missing Match criteria for Allk
/ifs/sshMatchBad line 6: Bad Match condition

Враховуйте вибір струн.

Під час налаштування рядків матчу будь-який ідентифікатор користувача або групи, про який знає кластер, може використовуватися у рядку "Match User" або "Match Group". Отже, посилання на групи Active Directory можна здійснити за допомогою RFC2307 за допомогою domain\user.

Якщо користувач не маршрутизує правильний шлях або налаштування у рядку Match User, переконайтеся, що користувача можна знайти в кластері за допомогою команди isi auth mapping token <username> взяти ім'я користувача з вашого Match String.

Якщо користувач не маршрутизує правильний шлях або налаштування у рядку Match Group, перевірте, що користувач є членом відповідної групи, за допомогою команди isi auth mapping token <username> | grep <groupname>.

Вкажіть ім'я користувача і візьміть назву групи з рядка матчу.

Нижче наведено приклад користувача, який неправильно маршрутизує шлях через помилку в операторі Match Group. Користувач stateroot працює некоректно, поки користувач prodroot це — виправити помилку в назві групи, використану в заяві Match Group, щоб це виправити.

p930-1# isi auth mapping token stageroot | grep "LOGIN_SSH"
            ISI_PRIV_LOGIN_SSH
p930-1# isi auth mapping token prodroot | grep "LOGIN_SSH"
            ISI_PRIV_LOGIN_SSH
p930-1# cat /ifs/sshMatches
Match Group Stage-Root-SFTP
ChrootDirectory /ifs/home/Stage-Root
X11Forwarding no
ForceCommand internal-sftp
Match Group Prod-Root
ChrootDirectory /ifs/home/Prod-Root
X11Forwarding no
ForceCommand internal-sftp
p930-1# isi auth mapping token stageroot | grep "Stage-Root-SFTP"
p930-1# isi auth mapping token prodroot | grep "Prod-Root"
          Name: Prod-Root
p930-1# isi auth mapping token stageroot | grep "Stage-Root"
          Name: Stage-Root

Спадкові конфігурації

До OneFS 8.2 ця ж функціональність могла бути реалізована, але isi ssh командування ще не існувало. Замість використання isi ssh settings modify --match="" Редагувати файл /etc/mcp/templates/sshd_config з тими ж Match Strings, які використовували кроки вище. Додайте їх до кінця /etc/mcp/templates/sshd_config.

Надані інструкції мають працювати для версій OneFS до OneFS 8.2, але будь-які налаштування, виконані таким чином, будуть видалені після оновлення до версії OneFS з підтримкою інтерфейсу програмування додатків (API). Користувачам, які користуються доступом через SFTP, все одно потрібен ISI_PRIV_LOGIN_SSH Привілей.

Article Properties
Article Number: 000157780
Article Type: How To
Last Modified: 09 رمضان 1447
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.