Isilon: Správa oprávnění ke sdílení SMB Isilon.

Existují různé metody vytvoření a správy úložiště PowerScale: Sdílená složka a oprávnění SMB Isilon.

Nejprve musíme pochopit základy toho, jak funguje přístup uživatele nebo skupiny SMB v prostředí Windows.
Při práci se sdílenou složkou SMB existují 2 typy oprávnění: 

• Oprávnění na úrovni sdílené složky.
• Oprávnění NTFS nebo na úrovni složky.

Aby měl uživatel přístup ke sdílené složce, měly by být splněny následující podmínky:

• Uživatel, který se pokouší o přístup ke sdílené složce, by měl být součástí seznamů ACL na úrovni systému souborů NTFS a také by měl být členem seznamu oprávnění ke sdílení.
• Uživatel může být buď přímou položkou v seznamech ACL a sdílené složky, nebo může být členem skupiny, která je v seznamech ACL a sdílené složce.
• O přístupu k uživateli se rozhoduje kombinací oprávnění NTFS a sdílení. Vždy se jedná o nejvíce omezující oprávnění, které se na uživatele vztahuje.

Uvažujme příklad, kdy uživatel Jan, který je také členem doménové skupiny app_team Program se pokouší o přístup ke sdílené složce SMB.
Níže uvedená tabulka obsahuje některé z běžných scénářů rozhodování o přístupu ke sdílené složce: 

Oprávnění ke sdílené složce se pro Access považují za první. 
Výše uvedené příklady ukazují, že v každém případě je nejvíce omezující přístup použit kombinací oprávnění na úrovni sdílené složky a systému souborů NTFS.
Existuje však jedna výjimka, a to když aplikujeme oprávnění "Spustit jako kořen" na úrovni sdílené složky pro libovolného uživatele nebo skupinu. Toto nastavení v podstatě překládá uživatele nebo skupinu na uživatele root společnosti Isilon, a tím dává tomuto uživateli nebo skupině oprávnění root.

Nyní se podíváme na různé způsoby správy sdílených složek SMB v řešení Isilon.

Použití Průzkumníka souborů Windows pro uživatelem definované přístupové zóny –
Tato část pojednává o správě sdílených složek a oprávnění SMB prostřednictvím Průzkumníka souborů Windows.
Prvním krokem při správě sdílených složek SMB je vytvoření sdílené složky správce v základním adresáři zóny přístupu.

*JEDNÁ SE O TIPY PRO NÁVRH, KTERÉ BY MĚL ZVÁŽIT ZÁKAZNÍK, NIKOLI JE IMPLEMENTOVAT TSE*

           Základní adresář zóny můžeme vytvořit některým z následujících způsobů:  

1. Namapujte výchozí sdílenou složku /ifs s přihlašovacími údaji správce a vytvořte základní adresář zóny požadovaný pro přístupovou zónu.
   • Pro Ex -
   • Pokud není nastaveno abc-ex.com\\john je správce domény a potřebujeme vytvořit personální oddělení přístupové zóny se základním adresářem zóny /ifs/isi_prod/HR poté 
   • Mapování výchozího nastavení /ifs sdílet prostřednictvím IP adresy v zóně přístupu k systému pomocí abc-ex.com\\john 's .
   • Vytvořte /ifs/isi_prod/HR adresáře.
   • Správce domény bude nyní vlastníkem /ifs/isi_prod/HR Adresářový strom a bude mít plnou kontrolu nad úpravami nebo přiřazováním nových oprávnění ostatním uživatelům nebo skupinám.
2.  Pokud vytváříme základní adresář zóny pomocí webového rozhraní OneFS nebo rozhraní příkazového řádku, pak přihlášený uživatel získá oprávnění k adresářové struktuře. Administrátoři obvykle používají uživatele root k přihlášení, a proto root získá oprávnění NTFS.
   • Pokud ale máme RBAC nakonfigurovaný tak, že správci jsou součástí rolí SecurityAdmin a SystemAdmin, pak se uživatel admin může přihlásit do WebUI pomocí svých přihlašovacích údajů domény a buď použít výchozí možnost "Create zone base directory if it does not exist" v okně vytvoření přístupové zóny nebo vytvořte adresářovou strukturu ze systému souborů –> Průzkumník systému souborů.
   • Pokud používáte rozhraní příkazového řádku, spusťte příkaz mkdir k vytvoření adresářové struktury nebo použijte --create-path při spuštění příkazu pro vytvoření zóny přístupu.
   • Poznámka: Pokud použijeme tuto metodu k vytvoření adresáře, získá oprávnění POSIX. Spuštěním následujícího příkazu musíme zdědit uživatele admin nebo skupinu v podřízených adresářích. - chmod +a user/group domain\\user/group allow object_inherit,conatiner_inherit <zone-base-directory-path>

•  Po vytvoření základního adresáře zóny pro něj vytvořte skrytou sdílenou složku správce prostřednictvím webového rozhraní OneFS nebo rozhraní příkazového řádku

• Sdílení správce - app$
• Sdílený podíl, který bude zřízen – app-p1 (/ifs/isi-prod/apps/app-p1)
• Skupinový přístup - xyz-ex\fe-apps
• Přístupová zóna - Apps 
• Základní adresář - /ifs/isi-prod/apps
• Admin - xyz-ex.com\adm_john91
  • Namapujte app$ sdílejte prostřednictvím účtu správce adm_john91 a názvu zóny IP adresy nebo SC v zóně přístupu k aplikacím.
  • Vytvoření sdílené složky /ifs/isi-prod/apps/app-p1. 
  • Klikněte pravým tlačítkem na složku app-p1: Vlastnosti--> Zabezpečení --> Upravit --> Přidejte fe-apps s požadovaným přístupem do seznamu.
• Nyní můžeme vytvořit sdílenou složku app-p1 s xyz-ex.com\fe-apps v seznamu oprávnění a ve složce /ifs/isi-prod/apps/app-p1 prostřednictvím webového rozhraní Isilon nebo rozhraní příkazového řádku.

Použití Průzkumníka souborů systému Windows pro zónu Systém –
 

• Základní adresář zóny /ifs pro Zóna Přístup k systému již existuje.
• Oprávnění NTFS na kartě /ifs Adresář má ve výchozím nastavení Everyone číst, zapisovat a spouštět.
• To lze odstranit a pouze správcům lze přiřadit oprávnění spuštěním níže uvedených příkazů: 
  • chmod -a Everyone allow  dir_gen_read,dir_gen_write,dir_gen_execute,delete_child /ifs
  • chmod +a user/group domain\\user/group allow dir_gen_all,object_inherit,container_inherit /ifs

• Výchozí sdílenou složku ifs můžeme skrýt a do seznamu oprávnění ke sdílení přiřadit pouze požadované správce domény.

Pomocí příkazu "Run as Root" Oprávnění

ke sdílení SMB Výše uvedené části fungují správně, pokud konfigurujeme nový systém PowerScale: Cluster Isilon, ale pokud již máme existující systém PowerScale: U řešení Isilon, kde správci nemají kontrolu nad stromem adresářů, je jedinou možností, jak upravit oprávnění, prostřednictvím rozhraní příkazového řádku, přihlášením jako uživatel root nebo přiřazením oprávnění ke sdílené složce Spustit jako root.

V systému PowerScale existuje jedna možnost: Sdílené složky Isilon SMB pro přiřazení "run-as-root" Pokud je toto oprávnění přiřazeno uživateli nebo skupině, bude tato entita mapována tak, že uživatel root společnosti Isilon tomuto uživateli root udělí oprávnění root.

Stejný příklad použijeme k vytvoření sdílené datové složky s následujícími požadavky: 

• Sdílený podíl, který bude zřízen – app-p1 (/ifs/isi-prod/apps/app-p1)
• Skupinový přístup - xyz-ex\fe-apps 
• Admin- xyz-ex.com\adm_john91
  • Vytvořte sdílenou složku prostřednictvím webového rozhraní Isilon a přiřaďte správce. xyz-ex\adm_john91 Tá run-as-root oprávnění a vyberte "Create SMB share directory if it does not exist".
  • Vytvořená sdílená složka bude mít nyní oprávnění uživatele root pro účet správce.
  • Správce teď může namapovat sdílenou složku prostřednictvím Průzkumníka souborů Windows a přiřadit doménovou skupinu xyz-ex.com požadovaná oprávnění.
  • Můžeme také přiřadit skupinu xyz-ex.com\fe-apps Tá run-as-root ale nedoporučuje se, protože skupina bude mít oprávnění uživatele root pro sdílený adresář a všechny jeho podadresáře.

Použití nástroje Správa

počítače se systémem WindowsSdílenou složku lze vytvořit a spravovat pomocí konzole MMC Správa počítače.

Pokud správce potřebuje spravovat sdílené složky SMB prostřednictvím konzole MMC Správa počítače, měl by být členem místní skupiny správců přístupové zóny.
Chcete-li přidat uživatele nebo skupinu správce domény do místní skupiny Administrators, postupujte podle následujících kroků.

• Otevřete Isilon WebUI a klikněte na možnost Přístup –> Členství a role.
• Vyberte přístupovou zónu ze seznamu Aktuální přístupová zóna.
• Klikněte na Groups a vyberte LOCAL:System pro poskytovatele. 
• Klikněte na Zobrazit/Upravit pro skupinu Administrators, Upravit skupinu -> Přidat členy.

Nyní se můžeme připojit s přihlašovacími údaji správce prostřednictvím konzoly MMC Správa počítače.

• Přihlaste se k systému pomocí účtu, který jste přidali do místní skupiny Administrators v předchozím kroku.
• Vyhledejte a otevřete Správu počítače z vyhledávacího pole Windows.
• Klikněte na Akce -> Připojit k jinému počítači
• Rozbalte sdílené složky.
• Klikněte pravým tlačítkem na sdílené složky a klikněte na Nová sdílená složka.
• Projděte průvodcem vytvořením sdílené složky a vytvořte novou sdílenou složku.

Prostřednictvím stejné konzole můžeme také spravovat oprávnění ke sdílení a systému NTFS již existujících sdílených složek.

Obecné informace o přiřazování oprávnění ke sdílené složce 

• Obvykle je vhodné přiřazovat oprávnění ke skupinám na úrovni sdílené složky a systému souborů NTFS a řídit přístup uživatelů úpravou členství ve skupinách.
• Pro Ex - 
• Předpokládejme, že v clusteru máme 2 pracovní postupy aplikací, které jsou ve svých vlastních přístupových zónách App1 a App2.
• Základní adresář zóny App1: /ifs/isi-prod/app1
• Základní adresář zóny App2: /ifs/isi-prod/app2
• Sdílení správce pro App1: app1$
• Sdílení správce pro App2: app2$
• Můžeme vytvořit skupiny domén jako app1-rw, app1-ro, app2-rw, app2-ro představující skupiny pro čtení-zápis a jen pro čtení.
• Správce může namapovat sdílené složky. app1$, app2$ a přidejte výše uvedené skupiny k oprávněním NTFS tak, aby app1-rw/app2-rw Skupiny mají oprávnění k úplnému řízení nebo oprávnění pro čtení i zápis a app1-ro/app2-ro má oprávnění jen pro čtení. 
• Tyto skupiny také přidejte k oprávněním ke sdílené složce, aby app1-rw/app2-rw má plnou kontrolu nebo oprávnění ke změnám a app1-ro/app2-ro má oprávnění jen pro čtení.
• Správce teď může do těchto skupin domén přidat požadované uživatele v závislosti na požadovaných úrovních přístupu.

• Poznámka: Tato metoda je účinná, pokud máme sdílené složky, ke kterým přistupuje sada uživatelů nebo týmů. Nebude to užitečné pro individuální správu akcií. Oprávnění na úrovni sdílené složky 

• V předchozí části jsme viděli, že se vždy jedná o nejvíce omezující přístup udělený uživateli kombinací oprávnění na úrovni sdílené složky a systému souborů NTFS.
• Vzhledem k tomu můžeme nastavit oprávnění ke sdílení na Everyone -Full Control a spravovat oprávnění pouze na úrovni NTFS, i když se jedná o jednodušší způsob správy oprávnění, nedoporučuje se pro citlivá data, protože přeskočí druhý faktor ověřování na úrovni sdílené složky.