PowerScale: OneFS: Traversering av OneFS og hvordan du håndhever det
Summary: Hva er Traverse-sjekking, hvordan fungerer det, og hvordan håndhever dere det i OneFS?
Instructions
Traversering sjekker
I OneFS gjelder følgende som standard når det gjelder banetraversering:
- Hvis det finnes en tilgangskontrolliste i en katalog, gis traverseringstillatelsen (omkjøringskontroll),
- Tillatelsen "Traverse" tillater stikryssing. Dette gjør det mulig for brukeren å navigere uten behov for en "utføre"-tillatelse.
- "Traverse"-tillatelsen er forskjellig fra "execute"-tillatelsen og finnes bare i en tilgangskontrolliste
- Hvis det ikke finnes noen tilgangskontrolliste (syntetisk/POSIX), kreves det en eksplisitt kjøretillatelse.
- Det betyr at muligheten til å flytte til en bestemt bane krever et minimum av "utføre" tillatelser på den overordnede katalogen, slik at traversering kan tillates.
Omgå traverseringskontroll
Et Microsoft Windows-miljø har et gruppepolicyobjekt kalt "bypass traverse checking" som gir brukere tilgang til en katalogbane (\\server\root\folder\path). Det er her mellomliggende baner "omgås" for "traverskontroll" (validering av travers / utførelsesrett er gitt).
OneFS håndhever ikke Microsoft GPO som er angitt i Active Directory, men implementerer "omgå traverseringskontroll" gjennom eksistensen av en NTFS ACL.
Slik deaktiverer du "Bypass Traverse Checking" / Slik håndhever du traverskontroll:
Noen brukere vil kanskje deaktivere "omgå traverseringskontroll" for å håndheve kontroll av traverseringstillatelsen på hver mellomliggende katalog. Dette håndhever en "Ingen tilgang" når tillatelsen ikke er gitt eksplisitt. Denne endringen bør ikke utføres lett, siden det er en global konfigurasjon og vil påvirke alle klienter som har tilgang til klyngen.
Muligheten til å endre virkemåten via UI/CLI-grensesnittet ble lagt til siden 8.2 og etter kode. Se administrativ veiledning for kodenivået ditt her: Håndbøker og dokumenter for PowerScale OneFS
Additional Information
Hvis det er et ønske om å bruke SMB- eller NFSv4-protokoller på en klynge, kan det være nødvendig med spesifikke tillatelser for å legge til rette for dette på alle overordnede baner som fører opp til den aktuelle delingen eller eksporten. Det er opp til administratorene av klyngen å sørge for at tillatelsene er angitt i henhold til dette før aktivering og implementering av protokoller for klienttilgang. Hvis du ikke gjør dette, kan det føre til at klienter ikke får tilgang til delte eller eksporterte ressurser. NFSv3 krever ikke dette.
Tillatelser som OneFS har for tilgangskontrollister i NTFS-stil (bare kataloger):
- travers - Retten til å krysse katalogen. I Windows vil dette være den FILE_TRAVERSE tillatelsen.
- dir_gen_execute - Dette inkluderer tillatelser for traversering, std_read_dac og std_synchronize.
POSIX-stilekvivalenten til ovennevnte vil være utførelsestillatelsen (sett på som en "x") i modusbitene for tillatelser til en katalog.
Se eksempel nedenfor, der "x" angir kjøretillatelser for eieren (rot) og andre (alle).
# ls -led /ifs/data/test1
drwx-----x 2 root wheel 0 Apr 28 18:09 /ifs/data/test1
OWNER: user:root
GROUP: group:wheel
SYNTHETIC ACL
0: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
1: group:wheel allow std_read_dac,std_synchronize,dir_read_attr
2: everyone allow dir_gen_execute,dir_read_attr
Detaljer om tillatelser og godkjenning er tilgjengelig i følgende hvitbok: Dell PowerScale OneFS: Godkjenning, identitetsadministrasjon og autorisasjon