Isilon : Administration af Isilon SMB-delingstilladelser.

Der findes forskellige metoder til oprettelse og administration af en PowerScale: Isilon SMB-deling og tilladelser.

Vi skal først forstå det grundlæggende i, hvordan en SMB-bruger eller gruppeadgang fungerer i et Windows-miljø.
Der er 2 typer tilladelser, når du håndterer en SMB-deling - 

• Tilladelse på delingsniveau.
• NTFS- eller mappeniveautilladelse.

Nedenstående betingelser skal være opfyldt, for at brugeren kan få adgang til delingen -

• Den bruger, der forsøger at få adgang til sharet, skal være en del af ACL erne på NTFS-niveau og skal også være medlem af listen over delingstilladelser.
• Brugeren kan enten være en direkte post i ACL'erne og sharen eller kan være medlem af en gruppe, der er i ACL erne og sharet.
• Adgangen til brugeren afgøres ved at kombinere NTFS- og delingstilladelserne. Det er altid den mest restriktive tilladelse, der anvendes på brugeren.

Lad os overveje et eksempel, hvor en bruger John, der også er medlem af domænegruppen app_team forsøger at få adgang til en SMB-deling.
Nedenstående tabel viser nogle af de almindelige scenarier for beslutning om delingsadgang: 

Delingstilladelser betragtes som de første for Access. 
Ovenstående eksempler viser, at den mest restriktive adgang i alle tilfælde anvendes ved at kombinere tilladelserne på share- og NTFS-niveau.
Der er dog en undtagelse, det er, når vi anvender tilladelsen "Kør som rod" på delingsniveauet for enhver bruger eller gruppe. Denne indstilling oversætter grundlæggende brugeren eller gruppen til Isilons root-bruger, hvilket giver denne bruger eller gruppe root-rettigheder.

Vi vil nu se på forskellige måder at administrere SMB-aktierne på Isilon.

Brug af Windows Stifinder til brugerdefinerede adgangszoner -
Dette afsnit taler om administration af SMB-delinger og tilladelser via Windows File Explorer.
Det første trin i administrationen af SMB-shares er at oprette en administratordeling i zonebasismappen i adgangszonen.

*DETTE ER DESIGNTIPS, SOM KUNDEN SKAL OVERVEJE, IKKE SKAL IMPLEMENTERES AF EN TSE*

           Vi kan oprette zonebasismappen på en af følgende måder -  

1. Tilknyt standard/ifs-delingen med administratorlegitimationsoplysningerne, og opret den zonebasismappe, der kræves til adgangszonen.
   • Til Ex -
   • Hvis abc-ex.com\\john er domæneadministrator, og vi skal oprette en adgangszone HR med zonebasismappen /ifs/isi_prod/HR og derefter 
   • Tilknyt standardindstillingen /ifs dele via en IP i systemadgangszonen ved hjælp af abc-ex.com\\john 's Legitimationsoplysninger.
   • Opret /ifs/isi_prod/HR Register.
   • Domæneadministratoren vil nu være ejer af /ifs/isi_prod/HR mappetræ og vil have fuld kontrol til at ændre eller tildele nye tilladelser til andre brugere eller grupper.
2.  Hvis vi opretter zonebasismappen ved hjælp af OneFS WebUI eller CLI, får loginbrugeren tilladelserne til mappestrukturen. Normalt bruger administratorer root-brugeren til at logge ind, og derfor får root NTFS-tilladelserne.
   • Men hvis vi har RBAC konfigureret, hvor administratorerne er en del af rollerne SecurityAdmin og SystemAdmin, kan administratorbrugeren logge på webgrænsefladen med sine domænelegitimationsoplysninger og enten bruge standardindstillingen for "Create zone base directory if it does not exist" i vinduet til oprettelse af adgangszoner eller oprette mappestrukturen fra File System -> File System Explorer.
   • Hvis du bruger CLI, skal du køre kommandoen mkdir for at oprette mappestrukturen eller bruge --create-path, når du kører kommandoen til oprettelse af adgangszoner.
   • Bemærk: Hvis vi bruger denne metode til at oprette mappen, får den POSIX-tilladelserne. Vi bliver nødt til at arve admin-brugeren eller gruppen til undermapperne ved at køre kommandoen - chmod +a user/group domain\\user/group allow object_inherit,conatiner_inherit <zone-base-directory-path>

•  Når zonebasismappen er oprettet, skal du oprette en skjult administratordeling for det samme via OneFS WebUI eller via CLI

• Administratordeling – app$
• Aktie, der skal klargøres – app-p1 (/ifs/isi-prod/apps/app-p1)
• Gruppeadgang - xyz-ex\fe-apps
• Adgangszone - Apps 
• Basismappe - /ifs/isi-prod/apps
• Admin - xyz-ex.com\adm_john91
  • Kortlæg app$ dele via adm_john91-administratorkontoen og et IP- eller SC-zonenavn i Apps-adgangszonen.
  • Opret delingsmappen /ifs/isi-prod/apps/app-p1. 
  • Højreklik på mappen app-p1: Egenskaber--> Sikkerhed --> Rediger --> Tilføj fe-apps med den nødvendige adgang til listen.
• Vi kan nu oprette delingen app-p1 Med xyz-ex.com\fe-apps på tilladelseslisten og i mappen /ifs/isi-prod/apps/app-p1 via Isilon WebUI eller CLI.

Brug af Windows File Explorer til systemzone -
 

• Zonens basismappe /ifs for systemadgangszonen findes allerede.
• NTFS-tilladelsen til /ifs Directory som standard har alle læst, skrevet og udført.
• Dette kan slettes, og kun administratorerne kan tildeles tilladelser ved at køre nedenstående kommandoer - 
  • chmod -a Everyone allow  dir_gen_read,dir_gen_write,dir_gen_execute,delete_child /ifs
  • chmod +a user/group domain\\user/group allow dir_gen_all,object_inherit,container_inherit /ifs

• Vi kan skjule standardhvis-delingen og kun tildele de nødvendige domæneadministratorer til listen over delingstilladelser.

Brug af "Run as Root" Tilladelse

til SMB-deling Ovenstående afsnit fungerer godt, hvis vi konfigurerer en ny PowerScale: Isilon-klynge, men hvis vi allerede har en eksisterende PowerScale: Isilon, hvor administratorerne ikke har kontrol over mappetræet, ville den eneste måde, der er tilbage at ændre tilladelserne, være gennem CLI ved at logge ind som root eller ved at tildele Run-as-Root-delingstilladelsen.

Der er en mulighed i PowerScale: Isilon SMB-aktier for at tildele en "run-as-root" tilladelse, når denne tilladelse tildeles en bruger eller gruppe, vil objektet blive knyttet med Isilons rodbruger, der giver den pågældende bruger rodrettigheder.

Vi vil overveje det samme eksempel for at oprette en datadeling med nedenstående krav - 

• Aktie, der skal klargøres – app-p1 (/ifs/isi-prod/apps/app-p1)
• Gruppeadgang - xyz-ex\fe-apps 
• Admin- xyz-ex.com\adm_john91
  • Opret delingen via Isilon WebUI, og tildel administratoren xyz-ex\adm_john91 Den run-as-root tilladelse, og vælg "Create SMB share directory if it does not exist".
  • Den oprettede deling vil nu have rodrettigheder til administratorkontoen.
  • Administratoren kan nu tilknytte delingen via Windows Stifinder og tildele domænegruppen xyz-ex.com de nødvendige tilladelser.
  • Vi kan også tildele gruppen xyz-ex.com\fe-apps Den run-as-root tilladelse, men det anbefales ikke, da gruppen også vil have rodrettigheder til den delte mappe og alle dens undermapper.

Brug af Windows-computeradministration

En deling kan oprettes og administreres via MMC for computeradministration.

Hvis en administrator har brug for at administrere SMB-shares via MMC til computeradministration, skal brugeren være medlem af adgangszonens lokale administratorgruppe.
Vi skal følge nedenstående trin for at føje domæneadministratorbrugeren eller -gruppen til den lokale administratorgruppe.

• Åbn Isilon WebUI, klik på Adgang -> Medlemskab & roller.
• Vælg adgangszonen på listen Aktuel adgangszone.
• Klik på grupperne , og vælg LOCAL:System for udbyderne. 
• Klik på Vis/rediger for gruppen Administratorer, Rediger gruppe -> Tilføj medlemmer.

Vi kan nu oprette forbindelse til administratorbrugeroplysningerne via MMC-konsollen Computer Management.

• Log på et system via en konto, som blev føjet til den lokale administratorgruppe i det forrige trin.
• Søg efter og åbn Computeradministration fra Windows-søgefeltet.
• Klik på Action -> Opret forbindelse til en anden computer
• Udvid de delte mapper.
• Højreklik på delte mapper og klik på Ny del.
• Gå gennem guiden til oprettelse af deling for at oprette en ny deling.

Vi kan også administrere delings- og NTFS-tilladelserne for allerede eksisterende delinger via den samme konsol.

Generelle overvejelser i forbindelse med tildeling af delingstilladelser 

• Det er normalt en god ide at tildele gruppetilladelser på share- og NTFS-niveau og kontrollere brugernes adgang ved at ændre gruppemedlemskaberne.
• Til Ex - 
• Lad os overveje, at vi har 2 programarbejdsprocesser på klyngen, som er i deres egne adgangszoner: App1 og App2.
• Zone Base bibliotek af App1 : /ifs/isi-prod/app1
• Zone Base-mappe til App2: /ifs/isi-prod/app2
• Administratorandel til App1 : app1$
• Admin del til App2 : app2$
• Vi kan oprette domænegrupper som app1-rw, app1-ro, app2-rw, app2-ro, der repræsenterer læse-skrive- og skrivebeskyttede grupper.
• Administratoren kan tilknytte delingerne app1$, app2$ og føje ovenstående grupper til NTFS-tilladelserne, således at app1-rw/app2-rw grupper har fuld kontrol eller læse/skrive-tilladelser, og app1-ro/app2-ro Har skrivebeskyttede tilladelser. 
• Føj også disse grupper til delingstilladelserne, således at app1-rw/app2-rw har fuld kontrol over eller ændrer tilladelser og app1-ro/app2-ro Har skrivebeskyttede tilladelser.
• Administratoren kan nu føje de påkrævede brugere til disse domænegrupper afhængigt af de påkrævede adgangsniveauer.

• Bemærk: Denne metode er effektiv, hvis vi har aktier, der tilgås af et sæt brugere eller teams. Det vil ikke være nyttigt for individuel aktiestyring. Tilladelserne på delingsniveau 

• Vi har set i det foregående afsnit, at det altid er den mest restriktive adgang, der gives til brugeren ved at kombinere tilladelserne på share- og NTFS-niveau.
• I betragtning af dette kan vi indstille delingstilladelserne til Alle -Fuld kontrol og kun administrere tilladelserne på NTFS-niveau, selvom dette er en lettere metode til at administrere tilladelser, anbefales det ikke til følsomme data, da det springer over den anden godkendelsesfaktor på delingsniveau.