PowerScale: OneFS: Traverse-Überprüfung in OneFS und deren Durchsetzung

Traversenprüfung

Standardmäßig gilt in OneFS Folgendes in Bezug auf das Durchlaufen von Pfaden:   

• Wenn eine ACL in einem Verzeichnis vorhanden ist, wird die Traverse-Berechtigung erteilt (Bypass-Traverse-Prüfung).
  • Die Berechtigung "Traverse" ermöglicht das Durchlaufen von Pfaden. Auf diese Weise kann der Nutzer navigieren, ohne dass eine "Ausführen"-Berechtigung erforderlich ist.
  • Die Berechtigung "Traverse" unterscheidet sich von der Berechtigung "execute" und ist nur in einer ACL vorhanden.
• Wenn keine ACL vorhanden ist (synthetisch/POSIX), ist eine explizite Ausführungsberechtigung erforderlich. 
  • Das bedeutet, dass die Möglichkeit, zu einem bestimmten Pfad zu wechseln, mindestens "Ausführungsberechtigungen" für das übergeordnete Verzeichnis erfordert, damit das Durchlaufen ermöglicht werden kann.

Überprüfung der Umgehung des Traversen

Eine Microsoft Windows-Umgebung verfügt über ein Gruppenrichtlinienobjekt mit dem Namen "Bypass Traverse Checking", mit dem Nutzer auf einen Verzeichnispfad (\\server\root\folder\path) zugreifen können. Hier werden Zwischenpfade für die "Traversenprüfung" "umgangen" (Validierung des Traversen-/Ausführungsrechts wird gewährt).
OneFS erzwingt nicht das in Active Directory festgelegte Microsoft GPO, sondern implementiert die "Bypass-Traverse-Prüfung" über das Vorhandensein einer NTFS-ACL.
 

So deaktivieren Sie "Bypass Traverse Checking" / So erzwingen Sie die Traverse-Prüfung:

Einige Nutzer möchten möglicherweise die Option "Bypass Traverse Checking" deaktivieren, um die Überprüfung der Traverse-Berechtigung für jedes Zwischenverzeichnis zu erzwingen. Dies erzwingt die Meldung "Zugriff verweigert", wenn die Berechtigung nicht explizit erteilt wird. Diese Änderung sollte nicht leichtfertig durchgeführt werden, da es sich um eine globale Konfiguration handelt, die sich auf alle Clients auswirkt, die auf den Cluster zugreifen.


Die Möglichkeit, das Verhalten über die UI/CLI-Schnittstelle zu ändern, wurde seit Code 8.2 und höher hinzugefügt. Weitere Informationen finden Sie im Verwaltungshandbuch für Ihre Codeebene: Handbücher und Dokumente zu PowerScale OneFS

Wenn SMB- oder NFSv4-Protokolle auf einem Cluster verwendet werden sollen, sind möglicherweise bestimmte Berechtigungen erforderlich, um dies auf allen übergeordneten Pfaden zu ermöglichen, die zur entsprechenden Freigabe oder zum entsprechenden Export führen. Es liegt an den Administratoren des Clusters, sicherzustellen, dass die Berechtigungen entsprechend festgelegt werden, bevor Protokolle für den Clientzugriff aktiviert und implementiert werden. Andernfalls können Clients möglicherweise nicht auf Freigaben oder Exporte zugreifen. NFSv3 erfordert dies nicht.

OneFS verfügt über Berechtigungen für ACLs im NTFS-Stil (nur Verzeichnisse):

• traverse - Das Recht zum Durchlaufen des Verzeichnisses. In Windows ist dies die FILE_TRAVERSE Berechtigung.
• dir_gen_execute – Dies umfasst die Traverse-, std_read_dac- und std_synchronize-Berechtigungen.

Das POSIX-artige Äquivalent zu dem oben Gesagten wäre die Ausführungsberechtigung (als "x" gesehen) in den Modusbits für Berechtigungen eines Verzeichnisses.

Siehe Beispiel unten, wobei das "x" Ausführungsberechtigungen für den Eigentümer (root) und andere (everyone) kennzeichnet.

# ls -led /ifs/data/test1
drwx-----x     2 root  wheel  0 Apr 28 18:09 /ifs/data/test1
 OWNER: user:root
 GROUP: group:wheel
 SYNTHETIC ACL
 0: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
 1: group:wheel allow std_read_dac,std_synchronize,dir_read_attr
 2: everyone allow dir_gen_execute,dir_read_attr

Details zu Berechtigungen und Authentifizierung finden Sie im folgenden Whitepaper: Dell PowerScale OneFS: Authentifizierung, Identitätsmanagement und Autorisierung