PowerScale: OneFS: Verificação transversal no OneFS e como impô-la
Summary: O que é a verificação transversal, como ela funciona e como você a aplica no OneFS?
Instructions
Verificação transversal
Por padrão, no OneFS, o seguinte é verdadeiro em relação à travessia de caminho:
- Se existir uma ACL em um diretório, a permissão transversal será concedida (ignorar verificação transversal),
- A permissão "Traverse" permite a travessia de caminho. Isso permite que o usuário navegue sem a necessidade de uma permissão de "execução".
- A permissão "Traverse" é diferente da permissão "execute" e só existe em uma ACL
- Se não houver nenhuma ACL (sintética/POSIX), será necessária uma permissão de execução explícita.
- Isso significa que a capacidade de mover para um determinado caminho requer um mínimo de permissões "execute" no diretório principal para que a travessia possa ser permitida.
Ignorar verificação transversal
Um ambiente Microsoft Windows tem um GPO chamado "bypass traverse checking", que permite aos usuários acessar um caminho de diretório (\\server\root\folder\path). É aqui que os caminhos intermediários são "ignorados" para "verificação de travessia" (a validação do direito de travessia/execução é concedida).
O OneFS não impõe o GPO da Microsoft definido no Active Directory, mas implementa a "verificação transversal de desvio" por meio da existência de uma ACL NTFS.
Como desativar a "Bypass Traverse Checking" / Como impor a Traverse Checking:
Alguns usuários podem querer desativar a "bypass traverse checking" para impor a verificação da permissão de travessia em cada diretório intermediário. Isso impõe um "Acesso negado" quando a permissão não é concedida explicitamente. Essa alteração não deve ser feita de ânimo leve, pois é uma configuração global e afetará todos os clients que acessam o cluster.
A capacidade de alterar o comportamento por meio da interface UI/CLI foi adicionada desde o código 8.2 e posterior. Consulte o guia administrativo para o seu nível de código aqui: Manuais e documentos do PowerScale OneFS
Additional Information
Se houver o desejo de usar protocolos SMB ou NFSv4 em um cluster, permissões específicas podem ser necessárias para facilitar isso em todos os caminhos principais que levam ao compartilhamento ou exportação relevante. É responsabilidade dos administradores do cluster garantir que as permissões sejam definidas adequadamente antes de habilitar e implementar protocolos para acesso do client. Se isso não for feito, os clientes não conseguirão acessar compartilhamentos ou exportações. O NFSv3 não exige isso.
Permissões que o OneFS tem para ACLs no estilo NTFS (somente diretórios):
- traverse — o direito de percorrer o diretório. No Windows, essa seria a FILE_TRAVERSE permissão.
- dir_gen_execute - Isso inclui as permissões de travessia, std_read_dac e std_synchronize.
O estilo POSIX equivalente ao acima seria a permissão de execução (vista como um "x") nos bits de modo para permissões de um diretório.
Consulte o exemplo abaixo, em que o "x" indica permissões de execução para o proprietário (root) e outros (todos).
# ls -led /ifs/data/test1
drwx-----x 2 root wheel 0 Apr 28 18:09 /ifs/data/test1
OWNER: user:root
GROUP: group:wheel
SYNTHETIC ACL
0: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
1: group:wheel allow std_read_dac,std_synchronize,dir_read_attr
2: everyone allow dir_gen_execute,dir_read_attr
Os detalhes sobre permissões e autenticação estão disponíveis no seguinte white paper: Dell PowerScale OneFS: Autenticação, gerenciamento de identidade e autorização