PowerScale: OneFS: Controle doorlopen in OneFS en hoe u dit kunt afdwingen
Summary: Wat is Traverse-controle, hoe werkt het en hoe dwingt u het af in OneFS?
Instructions
Dwars controleren
Standaard geldt in OneFS het volgende met betrekking tot path traversal:
- Als er een ACL bestaat op een directory, wordt de traverse-machtiging verleend (bypass traverse checking),
- Met de machtiging "Traverse" kunt u paden doorkruisen. Hierdoor kan de gebruiker navigeren zonder dat een "execute"-machtiging nodig is.
- De machtiging "Traverse" is anders dan de machtiging "uitvoeren" en bestaat alleen in een ACL
- Als er geen ACL bestaat (synthetisch/POSIX), is een expliciete uitvoertoestemming vereist.
- Dit betekent dat de mogelijkheid om naar een bepaald pad te gaan een minimum aan "execute"-machtigingen vereist op de bovenliggende map, zodat traversal kan worden toegestaan.
Controle van omzeiling omzeilen
Een Microsoft Windows-omgeving heeft een GPO genaamd "bypass traverse checking" waarmee gebruikers toegang krijgen tot een directorypad (\\server\root\folder\path). Dit is waar tussenliggende paden worden "omzeild" voor "traverse checking" (het valideren van het traverse/execute recht wordt verleend).
OneFS handhaaft niet het Microsoft GPO zoals uiteengezet in Active Directory, maar implementeert "bypass traverse checking" door het bestaan van een NTFS ACL.
Hoe "Bypass Traverse Checking" uit te schakelen / Traverse Checking af te dwingen:
Sommige gebruikers willen mogelijk "bypass traverse checking" uitschakelen om controle van de traverse-toestemming op elke tussenliggende directory af te dwingen. Hiermee wordt een 'Toegang geweigerd' afgedwongen wanneer de toestemming niet expliciet wordt verleend. Deze wijziging moet niet lichtvaardig worden uitgevoerd, omdat het een wereldwijde configuratie is en gevolgen heeft voor alle clients die toegang hebben tot het cluster.
De mogelijkheid om het gedrag te wijzigen via de UI/CLI-interface is toegevoegd sinds 8.2 en na code. Bekijk hier de beheerdersgids voor uw codeniveau: Handleidingen en documenten voor PowerScale OneFS
Additional Information
Als er een wens is om SMB- of NFSv4-protocollen op een cluster te gebruiken, kunnen specifieke machtigingen vereist zijn om dit te vergemakkelijken op alle bovenliggende paden die leiden naar de relevante share of export. Het is aan de beheerders van het cluster om ervoor te zorgen dat machtigingen dienovereenkomstig worden ingesteld voordat protocollen voor clienttoegang worden ingeschakeld en geïmplementeerd. Als u dit niet doet, kan dit ertoe leiden dat clients geen toegang hebben tot shares of exports. NFSv3 vereist dit niet.
Machtigingen die OneFS heeft voor ACL's in NTFS-stijl (alleen mappen):
- traverse - Het recht om de directory te doorkruisen. In Windows zou dit de FILE_TRAVERSE machtiging zijn.
- dir_gen_execute - Dit omvat de machtigingen traverse, std_read_dac en std_synchronize.
Het POSIX-achtige equivalent van het bovenstaande is de uitvoeringsmachtiging (gezien als een "x") in de modusbits voor machtigingen van een map.
Zie onderstaand voorbeeld, waarbij de "x" staat voor uitvoeringsmachtigingen voor de eigenaar (root) en andere (iedereen).
# ls -led /ifs/data/test1
drwx-----x 2 root wheel 0 Apr 28 18:09 /ifs/data/test1
OWNER: user:root
GROUP: group:wheel
SYNTHETIC ACL
0: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
1: group:wheel allow std_read_dac,std_synchronize,dir_read_attr
2: everyone allow dir_gen_execute,dir_read_attr
Details over machtigingen en authenticatie zijn beschikbaar in de volgende whitepaper: Dell PowerScale OneFS: Verificatie, identiteitsbeheer en autorisatie