PowerScale: OneFS: OneFS의 체크 인 및 적용 방법 트래버스

트래버스 체크

기본적으로 OneFS에서는 경로 통과와 관련하여 다음과 같은 사항이 적용됩니다.   

• 디렉토리에 ACL이 있는 경우 이동 권한이 부여됩니다(우회 이동 검사).
  • "트래버스" 권한은 경로 통과를 허용합니다. 이를 통해 사용자는 "실행" 권한 없이 탐색할 수 있습니다.
  • "Traverse" 권한은 "실행" 권한과 다르며 ACL에만 존재합니다
• ACL이 없는 경우(신세틱/POSIX) 명시적인 실행 권한이 필요합니다. 
  • 즉, 특정 경로로 이동하는 기능에는 탐색을 허용할 수 있도록 상위 디렉토리에 대한 최소 "실행" 권한이 필요합니다.

트래버스 체크 우회

Microsoft Windows 환경에는 사용자가 디렉토리 경로(\\server\root\folder\path)에 액세스할 수 있는 "우회 검사 무시"라는 GPO가 있습니다. 여기서 "트래버스 검사"를 위해 중간 경로가 "우회"됩니다(트래버스/실행 권한 검증이 부여됨).
OneFS는 Active Directory에 설정된 Microsoft GPO를 적용하지 않지만 NTFS ACL을 통해 "우회 검사 무시"를 구현합니다.
 

"우회 트래버스 검사"를 비활성화하는 방법 / 트래버스 검사를 적용하는 방법:

일부 사용자는 각 중간 디렉토리에서 트래버스 권한을 확인하기 위해 "우회 트래버스 확인"을 비활성화할 수 있습니다. 이렇게 하면 권한이 명시적으로 부여되지 않은 경우 '액세스 거부됨'이 적용됩니다. 이러한 변경은 전역 구성이며 클러스터에 액세스하는 모든 클라이언트에 영향을 미치므로 가볍게 변경해서는 안 됩니다.


UI/CLI 인터페이스를 통해 동작을 변경하는 기능은 8.2 이후 코드 이후에 추가되었습니다. 여기에서 코드 수준에 대한 관리 가이드를 참조하십시오. PowerScale OneFS 설명서 및 문서

클러스터에서 SMB 또는 NFSv4 프로토콜을 사용하려는 경우 관련 공유 또는 내보내기로 이어지는 모든 상위 경로에서 이를 용이하게 하기 위해 특정 권한이 필요할 수 있습니다. 클러스터 관리자는 클라이언트 액세스를 위한 프로토콜을 활성화하고 구현하기 전에 사용 권한이 적절하게 설정되었는지 확인해야 합니다. 이렇게 하지 않으면 클라이언트가 공유 또는 내보내기에 액세스하지 못할 수 있습니다. NFSv3에는 이 작업이 필요하지 않습니다.

OneFS가 NTFS 스타일 ACL에 대해 갖는 사용 권한(디렉토리만 해당):

• traverse - 디렉토리를 트래버스할 수 있는 권한입니다. Windows에서는 FILE_TRAVERSE 권한이 됩니다.
• dir_gen_execute - 여기에는 트래버스, std_read_dac 및 std_synchronize 권한이 포함됩니다.

위와 동일한 POSIX 스타일은 디렉토리의 권한에 대한 모드 비트의 실행 권한 ( "x"로 표시됨)입니다.

아래 예를 참조하십시오. 여기서 "x"는 소유자(루트) 및 기타(모든 사용자)에 대한 실행 권한을 나타냅니다.

# ls -led /ifs/data/test1
drwx-----x     2 root  wheel  0 Apr 28 18:09 /ifs/data/test1
 OWNER: user:root
 GROUP: group:wheel
 SYNTHETIC ACL
 0: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
 1: group:wheel allow std_read_dac,std_synchronize,dir_read_attr
 2: everyone allow dir_gen_execute,dir_read_attr

사용 권한 및 인증에 대한 자세한 내용은 다음 백서에서 확인할 수 있습니다. Dell PowerScale OneFS: 인증, ID 관리 및 권한 부여