PowerScale OneFS: Konfiguration af SFTP og opsætning af chroot

Dette dokument beskriver, hvordan du tillader adgang til PowerScale-klyngen via SFTP. Der er nogle begrænsninger og overvejelser, du skal huske på, når du starter denne proces.

• Brugere/grupper, der har brug for SFTP-adgang, skal have ISI_PRIV_LOGIN_SSH rettigheder, der er knyttet til deres bruger.
• SSH- og SFTP-adgang fungerer kun i systemzonen.
• Ikke alle ssh-konfigurationsmuligheder er tilgængelige. PowerScale understøtter match- og undersystemsætninger over isi ssh modify kommandosæt.

Ud over disse faktorer fungerer PowerScale som enhver anden FreeBSD OpenSSH-server. Kontroller OpenSSH-versionen på en klynge ved hjælp af kommandoen ssh -V.

Du kan finde vejledning i konfiguration af roller og rettigheder i CLI- eller webadministrationsvejledningerne for din udgivelse i afsnittet "Administrative roller og rettigheder".

Kontrol af, om en bruger/gruppe har ISI_PRIV_LOGIN_SSH

Kontroller, at den pågældende bruger har ISI_PRIV_LOGIN_SSH. Nedenfor er et eksempel med standardadministratorbrugeren.

p930-1# isi auth mapping token admin | grep "LOGIN_SSH"
            ISI_PRIV_LOGIN_SSH

Hvis der ikke er noget output, skal brugeren tildeles en rolle, der omfatter den pågældende rettighed. Du kan finde flere oplysninger om, hvordan du gør det, i vores administrationsvejledninger til din relevante version under "Administrative roller og rettigheder"

Grundlæggende SFTP-adgang for lokale brugere

Når brugerne har bekræftet de korrekte rettigheder, skal de have SFTP-adgang til dele af filsystemet baseret på deres brugertilknytningstoken.

p930-1# sftp admin@localhost
(admin@localhost) Password:
Connected to localhost.
sftp> dir
sftp> cd ..
sftp> dir
admin  ftp

Grundlæggende Chroot SFTP-adgang

For at begrænse en bruger til en bestemt delmængde af filsystemet skal du bruge OpenSSH's ChrootDirectory funktionalitet i en match-opgørelse. Dette får klienten til at se deres loginsti som / og gør det, så de ikke kan forlade den delmængde af filsystemet. ChrootDirectory har dog strenge krav til mappetilladelse på hele stien til ChrootDirectory at hver mappe i stien har Posix-tilladelser på root:wheel drwxr-xr-x for flere detaljer om dette, se OpenSSH-vedligeholdernes man-side.

Her er en fælles match-erklæring til implementering ChrootDirectory. De første to linjer kræves til ChrootDirectory uden understøttende filer. De to andre linjer begrænser en brugers evne til at drage fordel af TCPForwarding af X11Forwarding-funktioner i OpenSSH.

Match Group admin
ChrootDirectory /ifs/sftp
ForceCommand internal-sftp"
X11Forwarding no

Nedenfor er et grundlæggende eksempel på forberedelse af en sti til chroot, når alle matchende brugere kan skrive til /ifs/sftp/home Register. root:wheel ejer mapperne /ifs og /ifs/sftp, med tilladelser sat til 755 for ChrootDirectory Mens /ifs/sftp/home Har 777-tilladelser, der giver brugeren skriveadgang.

p930-1# isi auth settings acls modify --calcmode-group=group_only --calcmode-owner=owner_only
p930-1# mkdir -p /ifs/sftp/home
p930-1# chmod 755 /ifs/
p930-1# chmod 755 /ifs/sftp
p930-1# chmod 777 /ifs/sftp/home
p930-1# isi ssh settings modify --match="Match Group admin
dquote>     ChrootDirectory /ifs/sftp
dquote>     ForceCommand internal-sftp"
p930-1# sftp admin@localhost
(admin@localhost) Password:
Connected to localhost.
sftp> ls
home
sftp> pwd
Remote working directory: /

Konfiguration af flere matchstrenge

Det er lettere at administrere flere kampe i en fil og derefter videregive dem til vores isi ssh Kommandoer. Brug af denne proces sikrer sshd Validerer filen og anvender kun ændringen, hvis den er gyldig.

Nedenfor er eksempler på succes og fiasko.

p930-1# cat /ifs/sshMatches
Match Group admin
ChrootDirectory /ifs/sftp
ForceCommand internal-sftp
X11Forwarding no
Match All
X11Forwarding no
p930-1# sshd -t -f /ifs/sshMatches && isi ssh settings modify --match="$(cat /ifs/sshMatches)"
p930-1# sshd -t -f /ifs/sshMatchBad && isi ssh settings modify --match="$(cat /ifs/sshMatchBad)"
Missing Match criteria for Allk
/ifs/sshMatchBad line 6: Bad Match condition

Overvejelser om matchstrenge.

Når du konfigurerer matchstrenge, kan alle bruger- eller gruppe-id'er, som klyngen er opmærksom på, bruges. Så referencer til Active Directory-grupper kan gøres med RFC2307 ved at domain\user.

Hvis en bruger ikke dirigerer til den korrekte sti eller de korrekte indstillinger i en Match bruger-streng, skal du kontrollere, at brugeren kan slås op på klyngen med kommandoen isi auth mapping token <username> tager brugernavn fra din Match String.

Hvis en bruger ikke dirigerer til den korrekte sti eller de korrekte indstillinger i en matchgruppestreng, skal du kontrollere, at brugeren er medlem af den pågældende gruppe med kommandoen isi auth mapping token <username> | grep <groupname>.

Angiv et brugernavn, og tag gruppenavnet fra matchstrengen.

Nedenfor er et eksempel på en bruger, der ikke dirigerer korrekt til en sti på grund af en fejl i Match Group-sætningen. Bruger stateroot fungerer ikke korrekt, mens brugeren prodroot er, skal du rette fejlen i gruppenavnet, der bruges i Match Group-sætningen for at rette dette.

p930-1# isi auth mapping token stageroot | grep "LOGIN_SSH"
            ISI_PRIV_LOGIN_SSH
p930-1# isi auth mapping token prodroot | grep "LOGIN_SSH"
            ISI_PRIV_LOGIN_SSH
p930-1# cat /ifs/sshMatches
Match Group Stage-Root-SFTP
ChrootDirectory /ifs/home/Stage-Root
X11Forwarding no
ForceCommand internal-sftp
Match Group Prod-Root
ChrootDirectory /ifs/home/Prod-Root
X11Forwarding no
ForceCommand internal-sftp
p930-1# isi auth mapping token stageroot | grep "Stage-Root-SFTP"
p930-1# isi auth mapping token prodroot | grep "Prod-Root"
          Name: Prod-Root
p930-1# isi auth mapping token stageroot | grep "Stage-Root"
          Name: Stage-Root

Ældre konfigurationer

Før OneFS 8.2 kunne den samme funktionalitet opnås, men isi ssh kommandoen eksisterede endnu ikke. I stedet for at bruge isi ssh settings modify --match="" Rediger filen /etc/mcp/templates/sshd_config med de samme matchstrenge, som ovenstående trin ville bruge. Tilføj dem i slutningen af /etc/mcp/templates/sshd_config.

De angivne anvisninger burde fungere for OneFS-versioner før OneFS 8.2, men alle konfigurationsjusteringer, der udføres på denne måde, fjernes efter opgradering til en OneFS-version med API-understøttelse (Application Programming Interface). Brugere, der bruger SFTP-adgang, skal stadig have ISI_PRIV_LOGIN_SSH Privilegium.