PowerScale: OneFS: Läpikulkutarkistus OneFS:ssä ja sen pakottaminen
Summary: Mikä on Traverse-tarkistus, miten se toimii ja miten sitä valvotaan OneFS:ssä?
Instructions
Poikittaistarkastus
OneFS:ssä tapahtuu oletusarvoisesti seuraava reitin läpikulun suhteen:
- Jos käyttöoikeusluettelo on hakemistossa, kauttakulkulupa myönnetään (ohitustarkistus),
- "Traverse" -lupa sallii polun kulkemisen. Näin käyttäjä voi siirtyä ilman suoritusoikeutta.
- Traverse-oikeus poikkeaa suoritettavasta käyttöoikeudesta, ja se on käytettävissä vain käyttöoikeusluettelossa
- Jos käyttöoikeusluetteloa ei ole (synteettinen/POSIX), tarvitaan eksplisiittinen suorituslupa.
- Tämä tarkoittaa, että mahdollisuus siirtyä tiettyyn polkuun edellyttää vähintään "suorita" oikeuksia päähakemistossa, jotta läpikulku voidaan sallia.
Ohita läpikulkutarkistus
Microsoft Windows -ympäristössä on ryhmäkäytäntöobjekti nimeltä läpikulkutarkistuksen ohitus, jonka avulla käyttäjät voivat käyttää hakemistopolkua (\\palvelin\juuri\kansio\polku). Tässä välipolut "ohitetaan" "läpikulkutarkastuksessa" (läpikulku-/suoritusoikeuden vahvistaminen myönnetään).
OneFS ei pakota Active Directoryssa määritettyä Microsoftin ryhmäkäytäntöobjektia, mutta toteuttaa läpikulkutarkistuksen ohituksen NTFS:n käyttöoikeusluettelon avulla.
Kuinka poistaa "Bypass Traverse Checking" käytöstä / Kuinka pakottaa läpikulkutarkistus:
Jotkut käyttäjät saattavat haluta poistaa "ohita läpikulkutarkistuksen" käytöstä, jotta läpikulkuoikeuden tarkistus voidaan pakottaa jokaiseen välihakemistoon. Tämä pakottaa "Pääsy estetty", kun lupaa ei myönnetä nimenomaisesti. Tätä muutosta ei kannata tehdä kevyesti, sillä kyseessä on yleinen määritys, joka vaikuttaa kaikkiin klusteria käyttäviin asiakkaisiin.
Mahdollisuus muuttaa toimintaa käyttöliittymän/komentoriviliittymän kautta on lisätty versiosta 8.2 lähtien ja koodin jälkeen. Katso kooditasosi hallintaopas täältä: PowerScale OneFS -oppaat ja -asiakirjat
Additional Information
Jos klusterissa halutaan käyttää SMB- tai NFSv4-protokollia, voidaan tarvita erityisiä käyttöoikeuksia tämän helpottamiseksi kaikissa kyseiseen jakoon tai vientiin johtavissa pääpoluissa. Klusterin järjestelmänvalvojien tehtävänä on varmistaa, että käyttöoikeudet määritetään asianmukaisesti ennen asiakaskäyttöprotokollien käyttöönottoa ja käyttöönottoa. Jos näin ei tehdä, asiakkaat eivät välttämättä pääse käsiksi jakoihin tai vientiin. NFSv3 ei vaadi tätä.
Käyttöoikeudet, jotka OneFS:llä on NTFS-tyylisiin käyttöoikeusluetteloihin (vain hakemistot):
- traverse - Oikeus kulkea hakemistossa. Windowsissa tämä olisi FILE_TRAVERSE käyttöoikeus.
- dir_gen_execute - Tämä sisältää läpikulku-, std_read_dac- ja std_synchronize-oikeudet.
Yllä olevaa vastaava POSIX-tyylinen olisi suoritusoikeus (jota pidetään nimellä "x") hakemiston käyttöoikeuksia varten tilabiteissä.
Katso alla oleva esimerkki, jossa "x" tarkoittaa omistajan (root) ja muiden (kaikkien) suoritusoikeuksia.
# ls -led /ifs/data/test1
drwx-----x 2 root wheel 0 Apr 28 18:09 /ifs/data/test1
OWNER: user:root
GROUP: group:wheel
SYNTHETIC ACL
0: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
1: group:wheel allow std_read_dac,std_synchronize,dir_read_attr
2: everyone allow dir_gen_execute,dir_read_attr
Lisätietoja käyttöoikeuksista ja todennuksesta on seuraavassa valkoisessa raportissa: Dell PowerScale OneFS: Todennus, identiteetinhallinta ja valtuutus