Isilon OneFS: Traverse-Überprüfung in OneFS und deren Durchsetzung
Summary: Was ist die Traverse-Überprüfung, wie funktioniert sie und wie wird sie in OneFS erzwungen?
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Traversenprüfung
Standardmäßig gilt in OneFS Folgendes in Bezug auf das Durchlaufen von Pfaden:
der Umgehung des TraversenEine Microsoft Windows-Umgebung verfügt über ein Gruppenrichtlinienobjekt mit dem Namen "Bypass Traverse Checking", das Nutzern den Zugriff auf einen Verzeichnispfad (\\server\root\folder\path) ermöglicht, in dem Zwischenpfade für die "Traverse-Prüfung" "umgangen" werden (die Validierung der Traversen-/Ausführungsberechtigung wird gewährt).
OneFS erzwingt nicht das in Active Directory festgelegte Microsoft GPO, sondern implementiert die "Bypass-Traverse-Prüfung" über das Vorhandensein einer NTFS-ACL.
Deaktivieren von "Bypass Traverse Checking"/Erzwingen der Traverse-Prüfung
Einige Nutzer möchten möglicherweise die Option "Bypass traverse checking" deaktivieren, um die Überprüfung der Traverse-Berechtigung für jedes Zwischenverzeichnis zu erzwingen, wodurch ein "Zugriff verweigert" erzwungen wird, wenn die Berechtigung nicht explizit erteilt wird.
Obwohl Isilon OneFS die Möglichkeit hat, eine nutzerdefinierte ACL-Policy über die WebUI oder die CLI (nur in 8.x+) zu erstellen, ist die Steuerung der Traverse-Überprüfung vor 8.2 nicht als konfigurierbarer Parameter oder Option sichtbar, obwohl eine ACL-Policy auf Kernel-Ebene vorhanden ist, um das oben beschriebene Verhalten zu ändern (eine explizite Traverse-Berechtigung erforderlich, wenn eine ACL vorhanden ist).
Die Möglichkeit, das Verhalten über die UI/CLI-Schnittstelle zu ändern, wurde ab Code 8.2 hinzugefügt.
Standardmäßig gilt in OneFS Folgendes in Bezug auf das Durchlaufen von Pfaden:
- Wenn eine ACL in einem Verzeichnis vorhanden ist, wird die Traverse-Berechtigung erteilt (Bypass-Traverse-Prüfung).
- Die Berechtigung "Traverse" ermöglicht das Durchlaufen von Pfaden. Auf diese Weise kann der Nutzer navigieren, ohne dass eine Ausführungsberechtigung erforderlich ist.
- Die Berechtigung "Traverse" unterscheidet sich von der Berechtigung "Execute" und ist nur in einer ACL vorhanden.
- Wenn keine ACL vorhanden ist (synthetisch/POSIX), ist eine explizite Ausführungsberechtigung erforderlich.
- Das bedeutet, dass für die Möglichkeit, zu einem bestimmten Pfad zu navigieren, ein Minimum an "Ausführen"-Berechtigungen für das übergeordnete Verzeichnis erforderlich sind, damit das Durchlaufen ermöglicht werden kann.
der Umgehung des TraversenEine Microsoft Windows-Umgebung verfügt über ein Gruppenrichtlinienobjekt mit dem Namen "Bypass Traverse Checking", das Nutzern den Zugriff auf einen Verzeichnispfad (\\server\root\folder\path) ermöglicht, in dem Zwischenpfade für die "Traverse-Prüfung" "umgangen" werden (die Validierung der Traversen-/Ausführungsberechtigung wird gewährt).
OneFS erzwingt nicht das in Active Directory festgelegte Microsoft GPO, sondern implementiert die "Bypass-Traverse-Prüfung" über das Vorhandensein einer NTFS-ACL.
* Bypass Traverse Checking ist standardmäßig aktiviert und geht von der Existenz des "Traverse" aus, ohne diese zu überprüfen
Deaktivieren von "Bypass Traverse Checking"/Erzwingen der Traverse-Prüfung
Einige Nutzer möchten möglicherweise die Option "Bypass traverse checking" deaktivieren, um die Überprüfung der Traverse-Berechtigung für jedes Zwischenverzeichnis zu erzwingen, wodurch ein "Zugriff verweigert" erzwungen wird, wenn die Berechtigung nicht explizit erteilt wird.
Obwohl Isilon OneFS die Möglichkeit hat, eine nutzerdefinierte ACL-Policy über die WebUI oder die CLI (nur in 8.x+) zu erstellen, ist die Steuerung der Traverse-Überprüfung vor 8.2 nicht als konfigurierbarer Parameter oder Option sichtbar, obwohl eine ACL-Policy auf Kernel-Ebene vorhanden ist, um das oben beschriebene Verhalten zu ändern (eine explizite Traverse-Berechtigung erforderlich, wenn eine ACL vorhanden ist).
Die Möglichkeit, das Verhalten über die UI/CLI-Schnittstelle zu ändern, wurde ab Code 8.2 hinzugefügt.
Affected Products
PowerScale OneFSProducts
PowerScale OneFSArticle Properties
Article Number: 000020696
Article Type: How To
Last Modified: 03 Apr 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.