PowerScale: OneFS: Kontrola polygonového pořady v systému OneFS a její vynucení
Summary: Co je kontrola polygonového pořadu, jak funguje a jak ji vynucujete v systému OneFS?
Instructions
Kontrola polygonového pořadu
Ve výchozím nastavení platí v systému OneFS následující informace týkající se procházení cesty:
- Pokud v adresáři existuje seznam ACL, je uděleno oprávnění k polygonovému pořadu (obejít kontrolu polygonového pořadu),
- Oprávnění "Traverse" umožňuje procházení cesty. To umožňuje uživateli procházet bez nutnosti oprávnění ke spuštění.
- Oprávnění "Traverse" se liší od oprávnění "execute" a existuje pouze v seznamu ACL
- Pokud neexistuje žádný seznam ACL (syntetický/POSIX), vyžaduje se explicitní oprávnění ke spuštění.
- To znamená, že schopnost přesunout se na určitou cestu vyžaduje minimálně oprávnění "spustit" v nadřazeném adresáři, aby bylo možné povolit procházení.
Obejít kontrolu polygonového pořadu
Prostředí Microsoft Windows má objekt zásad skupiny s názvem "bypass traverse checking", který uživatelům umožňuje přístup k cestě k adresáři (\\server\root\folder\path). To je místo, kde jsou mezilehlé cesty "obcházeny" pro "kontrolu polygonového pořadu" (ověření práva polygonového pořadu/spuštění je uděleno).
Systém OneFS nevynucuje objekt zásad skupiny společnosti Microsoft uvedený ve službě Active Directory, ale implementuje "obejití křížové kontroly" prostřednictvím existence seznamu ACL systému souborů NTFS.
Jak zakázat "Obejít kontrolu polygonového pořadu" / Jak vynutit kontrolu polygonového pořadu:
Někteří uživatelé mohou chtít zakázat "obejít křížovou kontrolu", aby vynutili kontrolu oprávnění k procházení v každém zprostředkujícím adresáři. Tím se vynucuje "Přístup odepřen", pokud oprávnění není uděleno explicitně. Tuto změnu byste neměli brát na lehkou váhu, protože se jedná o globální konfiguraci a bude mít vliv na všechny klienty přistupující ke clusteru.
Od verze 8.2 a novější byla přidána možnost změnit chování prostřednictvím rozhraní UI/CLI. Příručku pro správu pro vaši úroveň kódu najdete tady: Příručky a dokumenty PowerScale OneFS
Additional Information
Pokud chcete v clusteru používat protokoly SMB nebo NFSv4, mohou být vyžadována specifická oprávnění pro usnadnění této činnosti na všech nadřazených cestách vedoucích k příslušné sdílené složce nebo exportu. Je na správcích clusteru, aby před povolením a implementací protokolů pro klientský přístup zajistili odpovídající nastavení oprávnění. Pokud tak neučiníte, klienti nemusí mít přístup ke sdíleným složkám nebo exportům. NFSv3 toto nevyžaduje.
Oprávnění, která má systém OneFS pro seznamy ACL ve stylu systému NTFS (pouze adresáře):
- traverse - Právo procházet adresář. V systému Windows by to bylo oprávnění FILE_TRAVERSE.
- dir_gen_execute – To zahrnuje oprávnění k procházení, std_read_dac a std_synchronize.
Ekvivalentem výše uvedeného ve stylu POSIX by bylo oprávnění ke spuštění (viděné jako "x") v bitech režimu pro oprávnění adresáře.
Viz příklad níže, kde "x" označuje oprávnění ke spuštění pro vlastníka (root) a ostatní (všechny).
# ls -led /ifs/data/test1
drwx-----x 2 root wheel 0 Apr 28 18:09 /ifs/data/test1
OWNER: user:root
GROUP: group:wheel
SYNTHETIC ACL
0: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
1: group:wheel allow std_read_dac,std_synchronize,dir_read_attr
2: everyone allow dir_gen_execute,dir_read_attr
Podrobnosti o oprávněních a ověřování jsou k dispozici v následujícím dokumentu whitepaper: Dell PowerScale OneFS: Ověřování, správa identit a autorizace