PowerScale : OneFS : Vérification du parcours dans OneFS et comment l’appliquer

Vérification de la traversée

Par défaut, dans OneFS, les conditions suivantes sont vraies concernant le parcours de chemin :   

• Si une ACL existe sur un répertoire, l’autorisation de parcours est accordée (contourner la vérification de cheminement),
  • L’autorisation « Traverser » permet de parcourir les chemins. Cela permet à l’utilisateur de naviguer sans avoir besoin d’une autorisation « execute ».
  • L’autorisation « Traverse » est différente de l’autorisation « Execute » et n’existe que dans une ACL
• S’il n’existe aucune ACL (synthétique/POSIX), une autorisation d’exécution explicite est requise. 
  • Cela signifie que la possibilité de se déplacer vers un certain chemin nécessite un minimum d’autorisations « execute » sur le répertoire parent afin que la traversée puisse être autorisée.

Contourner la vérification de parcours

Un environnement Microsoft Windows dispose d’un objet de stratégie de groupe appelé « contourner la vérification de parcours », qui permet aux utilisateurs d’accéder à un chemin de répertoire (\\server\root\folder\path). C’est là que les chemins intermédiaires sont « contournés » pour la « vérification du cheminement » (la validation du droit de traversée/exécution est accordée).
OneFS n’applique pas l’objet GPO Microsoft défini dans Active Directory, mais met en œuvre la « vérification de contournement du parcours » via l’existence d’une liste ACL NTFS.
 

Désactivation de la fonction « Contourner la vérification de la traversée » / Comment appliquer la vérification de la traversée :

Certains utilisateurs voudront peut-être désactiver l’option « contourner la vérification du parcours » afin d’appliquer la vérification de l’autorisation de parcours sur chaque répertoire intermédiaire. Cela applique un « Accès refusé » lorsque l’autorisation n’est pas accordée explicitement. Cette modification ne doit pas être effectuée à la légère, car il s’agit d’une configuration globale qui aura un impact sur tous les clients qui accèdent au cluster.


La possibilité de modifier le comportement via l’interface utilisateur/CLI a été ajoutée depuis la version 8.2 et après le code. Consultez le guide d’administration correspondant à votre niveau de code ici : Manuels et documents relatifs à PowerScale OneFS

Si vous souhaitez utiliser les protocoles SMB ou NFSv4 sur un cluster, des autorisations spécifiques peuvent être requises pour faciliter cette utilisation sur tous les chemins parents menant au partage ou à l’exportation approprié. Il incombe aux administrateurs du cluster de s’assurer que les autorisations sont définies en conséquence avant d’activer et de mettre en œuvre des protocoles d’accès client. Dans le cas contraire, les clients risquent de ne pas pouvoir accéder aux partages ou aux exportations. Cela n’est pas nécessaire dans NFSv3.

Autorisations dont OneFS dispose pour les ACL de type NTFS (répertoires uniquement) :

• traverse : droit de parcourir le répertoire. Dans Windows, il s’agit de l’autorisation FILE_TRAVERSE.
• dir_gen_execute : cela inclut les autorisations de cheminement, de std_read_dac et de std_synchronize.

L’équivalent de style POSIX à ce qui précède serait l’autorisation d’exécution (vue comme un « x ») dans les bits de mode pour les autorisations d’un répertoire.

Voir l’exemple ci-dessous, où le « x » indique des autorisations d’exécution pour le propriétaire (root) et les autres (tout le monde).

# ls -led /ifs/data/test1
drwx-----x     2 root  wheel  0 Apr 28 18:09 /ifs/data/test1
 OWNER: user:root
 GROUP: group:wheel
 SYNTHETIC ACL
 0: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
 1: group:wheel allow std_read_dac,std_synchronize,dir_read_attr
 2: everyone allow dir_gen_execute,dir_read_attr

Pour plus d’informations sur les autorisations et l’authentification, reportez-vous au livre blanc suivant : Dell PowerScale OneFS : Authentification, gestion des identités et autorisation