PowerScale：OneFS：遍曆 OneFS 中的檢查，以及如何強制執行

橫移檢查

根據預設，在 OneFS 中，關於路徑遍曆有下列情況：   

• 如果目錄上存在 ACL，則會授予遍曆許可權（繞過遍曆檢查），
  • “遍曆”許可權允許路徑遍曆。這允許使用者在不需要“執行”許可權的情況下進行導航。
  • “遍曆”許可權不同於“執行”許可權，並且僅存在於 ACL 中
• 如果不存在 ACL （合成/POSIX），則需要顯式執行許可權。 
  • 這意味著移動到特定路徑的能力需要對父目錄具有最低“執行”許可權，以便允許遍曆。

略過橫移檢查

Microsoft Windows 環境有一個名為「略過遍歷檢查」的 GPO，可讓使用者存取目錄路徑 （\\server\root\folder\path）。這是「略過」中間路徑以進行「遍曆檢查」的位置（授予驗證遍曆/執行許可權）。
OneFS 不會強制執行 Active Directory 中所述的 Microsoft GPO，但會透過 NTFS ACL 的存在實作「略過遍歷檢查」。
 

如何停用「略過遍歷檢查」/如何強制執行遍曆檢查：

某些使用者可能希望禁用「繞過遍歷檢查」，以便強制檢查每個中間目錄上的遍歷許可權。這會在未明確授予權限時強制執行「拒絕存取」。此變更不應輕易執行，因為這是全域組態，而且會影響存取叢集的所有用戶端。


自 8.2 及程式碼之後新增透過 UI/CLI 介面變更行為的功能。請參閱此處代碼層級的系統管理指南：PowerScale OneFS 手冊和文件

如果您希望在叢集上使用 SMB 或 NFSv4 通訊協定，則可能需要特定權限，才能在相關共用或匯出的所有父路徑上協助此操作。叢集的系統管理員必須確保在啟用和實作用戶端存取通訊協定之前，已設定適當的權限。否則，可能會導致客戶無法存取共用或匯出。NFSv3 則不需要這個。

OneFS 擁有的 NTFS 樣式 ACL 權限 （僅限目錄）：

• 遍曆 - 遍曆目錄的許可權。在 Windows 中，這會是FILE_TRAVERSE權限。
• dir_gen_execute - 這包括遍歷、std_read_dac和std_synchronize權限。

與上述等效的 POSIX 樣式是目錄許可權的模式位中的執行許可權（視為“x”）。

請參閱以下範例，其中「x」代表擁有者 （root） 和其他 （所有人） 的執行權限。

# ls -led /ifs/data/test1
drwx-----x     2 root  wheel  0 Apr 28 18:09 /ifs/data/test1
 OWNER: user:root
 GROUP: group:wheel
 SYNTHETIC ACL
 0: user:root allow dir_gen_read,dir_gen_write,dir_gen_execute,std_write_dac,delete_child
 1: group:wheel allow std_read_dac,std_synchronize,dir_read_attr
 2: everyone allow dir_gen_execute,dir_read_attr

以下白皮書中提供了有關許可權和身份驗證的詳細資訊：Dell PowerScale OneFS：身份驗證、身份管理和授權