PowerScale: OneFS: Gennemgå kontrol i OneFS, og hvordan du håndhæver den
Summary: Hvad er Traverse-kontrol, hvordan fungerer det, og hvordan håndhæver du det i OneFS?
Instructions
Traverse kontrol
Som standard gælder følgende i OneFS for stikrydsning:
- Hvis der findes en ACL i en mappe, gives tilladelsen til at gennemgå den (omgåelse af gennemløbskontrol),
- Tilladelsen "Traverse" giver mulighed for stikrydsning. Dette giver brugeren mulighed for at navigere uden behov for en "udføre" tilladelse.
- Tilladelsen "Kryds" er forskellig fra tilladelsen "Udfør" og findes kun i en ACL
- Hvis der ikke findes en ACL (syntetisk/POSIX), kræves der en eksplicit kørselstilladelse.
- Det betyder, at muligheden for at flytte til en bestemt sti kræver et minimum af "udfør" tilladelser i den overordnede mappe, så gennemgang kan tillades.
Omgå krydsningskontrol
Et Microsoft Windows-miljø har et GPO kaldet "bypass traverse checking", som giver brugerne adgang til en mappesti (\\server\root\folder\path). Det er her, mellemliggende stier "omgås" til "traverse checking" (validering af traverse/udførelsesrettigheden tildeles).
OneFS håndhæver ikke det Microsoft GPO, der er angivet i Active Directory, men implementerer "bypass traverse checking" gennem eksistensen af en NTFS ACL.
Sådan deaktiveres "Omgå Traverse Checking" / Sådan håndhæves Traverse Checking:
Nogle brugere ønsker måske at deaktivere "omgå krydskontrol" for at håndhæve kontrol af traverstilladelsen på hver mellemliggende mappe. Dette håndhæver en "Adgang nægtet", når tilladelsen ikke gives eksplicit. Denne ændring bør ikke udføres let, da det er en global konfiguration og vil påvirke alle klienter, der har adgang til klyngen.
Muligheden for at ændre adfærden via UI / CLI-grænsefladen blev tilføjet siden 8.2 og efter kode. Se den administrative vejledning for dit kodeniveau her: PowerScale OneFS – Vejledninger og dokumenter
Additional Information
Hvis der er et ønske om at bruge SMB- eller NFSv4-protokoller på en klynge, kan det være nødvendigt med specifikke tilladelser for at lette dette på alle overordnede stier, der fører op til den relevante deling eller eksport. Det er op til administratorerne af klyngen at sikre, at tilladelserne indstilles i overensstemmelse hermed, før protokoller for klientadgang aktiveres og implementeres. Undladelse af at gøre dette kan resultere i, at kunder ikke kan få adgang til aktier eller eksport. NFSv3 kræver ikke dette.
Tilladelser, som OneFS har til ACL'er i NTFS-stil (kun mapper):
- traverse - Retten til at krydse biblioteket. I Windows vil dette være den FILE_TRAVERSE tilladelse.
- dir_gen_execute – Dette omfatter tilladelserne krydsning, std_read_dac og std_synchronize.
POSIX-stilen svarende til ovenstående ville være eksekveringstilladelsen (set som et "x") i tilstandsbitene for tilladelser til en mappe.
Se eksemplet nedenfor, hvor "x" angiver eksekveringstilladelser for ejeren (rod) og andre (alle).
# ls -led /ifs/data/test1
drwx-----x 2 root wheel 0 Apr 28 18:09 /ifs/data/test1
OWNER: user:root
GROUP: group:wheel
SYNTHETIC ACL
0: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
1: group:wheel allow std_read_dac,std_synchronize,dir_read_attr
2: everyone allow dir_gen_execute,dir_read_attr
Oplysninger om tilladelser og godkendelse findes i følgende hvidbog: Dell PowerScale OneFS: Godkendelse, identitetsstyring og autorisation