PowerScale: OneFS: Sprawdzanie przechodzenia w OneFS i sposób jego wymuszania
Summary: Co to jest sprawdzanie przechodzenia, jak działa i jak je wymusić w OneFS?
Instructions
Sprawdzanie ciągu poligonowego
Domyślnie w OneFS w odniesieniu do przechodzenia ścieżek spełnione są następujące warunki:
- Jeśli w katalogu istnieje lista ACL, przyznawane jest uprawnienie do przechodzenia (pomijanie sprawdzania przechodzenia),
- Uprawnienie "Trawers" pozwala na przechodzenie przez ścieżkę. Dzięki temu użytkownik może nawigować bez konieczności posiadania uprawnień do "wykonywania".
- Uprawnienie "Przechodzenie" różni się od uprawnienia "wykonywanie" i istnieje tylko na liście ACL
- Jeśli lista ACL nie istnieje (syntetyczna/POSIX), wymagane jest jawne uprawnienie do wykonywania.
- Oznacza to, że możliwość przejścia do określonej ścieżki wymaga minimalnych uprawnień "wykonywania" w katalogu nadrzędnym, aby można było przejść przez nią.
Sprawdzanie ciągu pomiń
W środowisku Microsoft Windows znajduje się obiekt zasad grupy o nazwie "pomiń sprawdzanie przechodzenia", który umożliwia użytkownikom dostęp do ścieżki katalogu (\\serwer\katalog\folder\ścieżka). Jest to miejsce, w którym ścieżki pośrednie są "omijane" w celu "sprawdzenia ciągu technicznego" (przyznanie prawa do przechodzenia/wykonywania).
OneFS nie wymusza obiektu zasad grupy Microsoft określonych w usłudze Active Directory, ale implementuje "pomiń sprawdzanie przechodzenia" poprzez istnienie listy ACL NTFS.
Jak wyłączyć "Pomijanie sprawdzania przejść" / Jak wymusić sprawdzanie przejść:
Niektórzy użytkownicy mogą chcieć wyłączyć "pomiń sprawdzanie przechodzenia", aby wymusić sprawdzanie uprawnienia do przechodzenia w każdym katalogu pośrednim. Wymusza to komunikat "Odmowa dostępu", gdy uprawnienie nie zostało udzielone jawnie. Tej zmiany nie należy wprowadzać pochopnie, ponieważ jest to konfiguracja globalna i będzie miała wpływ na wszystkich klientów uzyskujących dostęp do klastra.
Możliwość zmiany zachowania za pośrednictwem interfejsu UI/CLI została dodana od wersji 8.2 i późniejszych kodów. Zapoznaj się z przewodnikiem administracyjnym dotyczącym poziomu kodu tutaj: PowerScale OneFS — podręczniki i dokumenty
Additional Information
Jeśli istnieje potrzeba korzystania z protokołów SMB lub NFSv4 w klastrze, mogą być wymagane określone uprawnienia w celu ułatwienia tego na wszystkich ścieżkach nadrzędnych prowadzących do odpowiedniego udostępniania lub eksportu. Do administratorów klastra należy upewnienie się, że uprawnienia są odpowiednio ustawione przed włączeniem i zaimplementowaniem protokołów dostępu klienta. Niewykonanie tej czynności może uniemożliwić klientom dostęp do udziałów lub eksportów. NFSv3 tego nie wymaga.
Uprawnienia, które OneFS ma dla list ACL w stylu NTFS (tylko katalogi):
- traverse - Prawo do przechodzenia przez katalog. W systemie Windows będzie to uprawnienie FILE_TRAVERSE.
- dir_gen_execute — obejmuje uprawnienia ciągu poligonowego, std_read_dac i std_synchronize.
Odpowiednikiem powyższego w stylu POSIX byłoby uprawnienie do wykonywania (widziane jako "x") w bitach trybu dla uprawnień do katalogu.
Zobacz przykład poniżej, gdzie "x" oznacza uprawnienia do wykonywania dla właściciela (root) i innych (wszystkich).
# ls -led /ifs/data/test1
drwx-----x 2 root wheel 0 Apr 28 18:09 /ifs/data/test1
OWNER: user:root
GROUP: group:wheel
SYNTHETIC ACL
0: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
1: group:wheel allow std_read_dac,std_synchronize,dir_read_attr
2: everyone allow dir_gen_execute,dir_read_attr
Szczegółowe informacje na temat uprawnień i uwierzytelniania są dostępne w następującym raporcie: Dell PowerScale OneFS: Uwierzytelnianie, zarządzanie tożsamością i autoryzacja