PowerScale: OneFS: Archiviazione incrociata in OneFS e relativa applicazione

Verifica poligonale

Per impostazione predefinita, in OneFS, quanto segue vale per quanto riguarda l'attraversamento dei percorsi:   

• Se esiste un ACL in una directory, viene concessa l'autorizzazione di attraversamento (controllo di ignoranza dell'attraversamento).
  • L'autorizzazione "Traverse" consente l'attraversamento del percorso. Ciò consente all'utente di navigare senza la necessità di un'autorizzazione di esecuzione.
  • L'autorizzazione "Traverse" è diversa dall'autorizzazione "execute" ed esiste solo in un ACL
• Se non esiste alcun ACL (sintetico/POSIX), è necessaria un'autorizzazione di esecuzione esplicita. 
  • Ciò significa che la possibilità di passare a un determinato percorso richiede un minimo di autorizzazioni di "esecuzione" sulla directory padre in modo da poter consentire l'attraversamento.

Ignora controllo incrociato

Un ambiente Microsoft Windows dispone di un oggetto Criteri di gruppo denominato "bypass traverse checking" che consente agli utenti di accedere a un percorso di directory (\\server\root\folder\path). Questo è il punto in cui i percorsi intermedi vengono "bypassati" per il "controllo dell'attraversamento" (viene concessa la convalida del diritto di attraversamento/esecuzione).
OneFS non applica l'oggetto Criteri di gruppo Microsoft stabilito in Active Directory, ma implementa il "controllo di ignoranza incrociata" tramite l'esistenza di un ACL NTFS.
 

Come disabilitare "Ignora controllo traverso" / Come applicare il controllo trasversale:

Alcuni utenti potrebbero voler disabilitare "ignora controllo incrociato" in modo da applicare il controllo dell'autorizzazione all'attraversamento in ogni directory intermedia. In questo modo si applica un "Accesso negato" quando l'autorizzazione non viene concessa esplicitamente. Questa modifica non deve essere eseguita alla leggera, in quanto si tratta di una configurazione globale e avrà un impatto su tutti i client che accedono al cluster.


La possibilità di modificare il comportamento tramite l'interfaccia UI/CLI è stata aggiunta a partire dalla versione 8.2 e successive del codice. Consultare la guida amministrativa per il proprio livello di codice qui: Manuali e documentazione di PowerScale OneFS

Se si desidera utilizzare i protocolli SMB o NFSv4 in un cluster, potrebbero essere necessarie autorizzazioni specifiche per facilitare questa operazione su tutti i percorsi padre che portano alla condivisione o all'esportazione pertinente. Spetta agli amministratori del cluster verificare che le autorizzazioni siano impostate di conseguenza prima di abilitare e implementare i protocolli per l'accesso client. In caso contrario, i client potrebbero non essere in grado di accedere a condivisioni o esportazioni. NFSv3 non lo richiede.

Autorizzazioni di OneFS per gli ACL di tipo NTFS (solo directory):

• traverse - Il diritto di attraversare la directory. In Windows, questa sarebbe l'autorizzazione FILE_TRAVERSE.
• dir_gen_execute : include le autorizzazioni di attraversamento, std_read_dac e std_synchronize.

L'equivalente in stile POSIX di quanto sopra sarebbe il permesso di esecuzione (visto come una "x") nei bit di modalità per i permessi di una directory.

Vedere l'esempio riportato di seguito, in cui la "x" indica le autorizzazioni di esecuzione per il proprietario (root) e other (everyone).

# ls -led /ifs/data/test1
drwx-----x     2 root  wheel  0 Apr 28 18:09 /ifs/data/test1
 OWNER: user:root
 GROUP: group:wheel
 SYNTHETIC ACL
 0: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
 1: group:wheel allow std_read_dac,std_synchronize,dir_read_attr
 2: everyone allow dir_gen_execute,dir_read_attr

I dettagli sulle autorizzazioni e l'autenticazione sono disponibili nel seguente white paper: Dell PowerScale OneFS: Autenticazione, gestione delle identità e autorizzazione