KB-implementering: Administration af Isilon SMB-delingstilladelser.

Der findes forskellige metoder til oprettelse og administration af en PowerScale: Isilon SMB-deling og tilladelser.

Vi skal først forstå det grundlæggende i, hvordan en SMB-bruger eller gruppeadgang fungerer i et Windows-miljø.
Der er 2 typer tilladelser, når du håndterer en SMB-deling - 

• Tilladelse på delingsniveau.
• NTFS- eller mappeniveautilladelse.

Nedenstående betingelser skal være opfyldt, for at brugeren kan få adgang til delingen -

• Den bruger, der forsøger at få adgang til sharet, skal være en del af ACL erne på NTFS-niveau og skal også være medlem af listen over delingstilladelser.
• Brugeren kan enten være en direkte post i ACL'erne og sharen eller kan være medlem af en gruppe, der er i ACL erne og sharet.
• Adgangen til brugeren afgøres ved at kombinere NTFS- og delingstilladelserne. Det er altid den mest restriktive tilladelse, der anvendes på brugeren.

Lad os se på et eksempel, hvor en bruger John, der også er medlem af domænegruppen app_team, forsøger at få adgang til en SMB-deling.
Nedenstående tabel viser nogle af de almindelige scenarier for beslutning om delingsadgang: 

NTFS	Del	Endelige
Fuld kontrol - John	Læs - Alle	Læs - John
Fuld kontrol - John	Fuld kontrol - John	Fuld kontrol - John
Fuld kontrol - John	Læs - app_team	Læs - John
John eller app_team ikke til stede i ACL'erne	Fuld kontrol - John	Adgang nægtet
Fuld kontrol - John	Fuld kontrol - John, læs - app_team	Læs - John

Delingstilladelser betragtes som de første for Access. 
Ovenstående eksempler viser, at den mest restriktive adgang i alle tilfælde anvendes ved at kombinere tilladelserne på share- og NTFS-niveau.
Der er dog en undtagelse, det er, når vi anvender tilladelsen "Kør som rod" på delingsniveauet for enhver bruger eller gruppe. Denne indstilling oversætter grundlæggende brugeren eller gruppen til Isilons root-bruger, hvilket giver denne bruger eller gruppe root-rettigheder.

Vi vil nu se på forskellige måder at administrere SMB-aktierne på Isilon.

Brug af Windows Stifinder til brugerdefinerede adgangszoner -
Dette afsnit taler om administration af SMB-delinger og tilladelser via Windows File Explorer.
Det første trin i administrationen af SMB-shares er at oprette en administratordeling i zonebasismappen i adgangszonen.

*DETTE ER DESIGNTIPS, SOM KUNDEN SKAL OVERVEJE, IKKE SKAL IMPLEMENTERES AF EN TSE*            Vi kan oprette zonebasismappen på en af følgende måder -  

1. Tilknyt standard/ifs-delingen med administratorlegitimationsoplysningerne, og opret den zonebasismappe, der kræves til adgangszonen.
   • Til Ex -
   • Hvis abc-ex.com\\john er domæneadministrator, og vi skal oprette en adgangszone HR med zonebasismappen /ifs/isi_prod/HR, så 
   • Tilknyt standard-/ifs-delingen via en IP i systemadgangszonen ved hjælp af abc-ex.com\\johns legitimationsoplysninger.
   • Opret mappen /ifs/isi_prod/HR.
   • Domæneadministratoren vil nu være ejer af mappetræet /ifs/isi_prod/HR og vil have fuld kontrol over at ændre eller tildele nye tilladelser til andre brugere eller grupper.
2.  Hvis vi opretter zonebasismappen ved hjælp af OneFS WebUI eller CLI, får loginbrugeren tilladelserne til mappestrukturen. Normalt bruger administratorer root-brugeren til at logge ind, og derfor får root NTFS-tilladelserne.
   • Men hvis vi har RBAC konfigureret med administratorerne, der er en del af rollerne SecurityAdmin og SystemAdmin, kan admin-brugeren logge ind på WebUI med sine domænelegitimationsoplysninger og enten bruge standardindstillingen "Opret zonebasemappe, hvis den ikke findes" i adgangszoneoprettelsesvinduet eller oprette mappestrukturen fra File System -> File System Explorer.
   • Hvis du bruger CLI, skal du køre kommandoen mkdir for at oprette mappestrukturen eller bruge --create-path, når du kører kommandoen til oprettelse af adgangszoner.
   • BEMÆRK - Hvis vi bruger denne metode til at oprette mappen, får den POSIX-tilladelserne. Vi bliver nødt til at arve admin-brugeren eller gruppen til undermapperne ved at køre kommandoen - chmod + a user / group domain \\ user / group allow object_inherit,conatiner_inherit <zone-base-directory-path>

 

•  Når zonebasismappen er oprettet, skal du oprette en skjult administratordeling for det samme via OneFS WebUI eller via CLI

 

• Administratorandel – app$
• Del, der skal klargøres – app-p1 (/ifs/isi-prod/apps/app-p1)
• Gruppeadgang – xyz-ex\fe-apps
• Adgangszone - Apps 
• Basismappe – /ifs/isi-prod/apps
• Admin - xyz-ex.com\adm_john91
  • Tilknyt app$-delingen via den adm_john91 admin-konto og et IP- eller SC-zonenavn i Apps-adgangszonen.
  • Opret delingsmappen /ifs/isi-prod/apps/app-p1. 
  • Højreklik på mappen app-p1: Egenskaber --> Sikkerhed --> Rediger --> Tilføj fe-apps med den nødvendige adgang til listen.
• Vi kan nu oprette delingsapp-p1 med xyz-ex.com\fe-apps på tilladelseslisten og i mappen /ifs/isi-prod/apps/app-p1 via Isilon WebUI eller CLI.

Brug af Windows File Explorer til systemzone -
 

• Zonebasismappen /ifs for systemadgangszonen findes allerede.
• NTFS-tilladelsen i mappen /ifs får som standard alle til at læse, skrive og udføre.
• Dette kan slettes, og kun administratorerne kan tildeles tilladelser ved at køre nedenstående kommandoer - 
  • chmod-a Alle tillader dir_gen_read.dir_gen_write.dir_gen_execute.delete_child /ifs
  • chmod + et bruger-/gruppedomæne\\bruger/gruppe tillader dir_gen_all.object_inherit.container_inherit /ifs

• Vi kan skjule standardhvis-delingen og kun tildele de nødvendige domæneadministratorer til listen over delingstilladelser.

Brug af SMB-delingstilladelsen

"Kør som rod"Ovenstående afsnit fungerer godt, hvis vi konfigurerer en ny PowerScale: Isilon-klynge, men hvis vi allerede har en eksisterende PowerScale: Isilon, hvor administratorerne ikke har kontrol over mappetræet, ville den eneste måde, der er tilbage at ændre tilladelserne, være gennem CLI ved at logge ind som root eller ved at tildele Run-as-Root-delingstilladelsen.

Der er en mulighed i PowerScale: Isilon SMB-delinger for at tildele en "run-as-root"-tilladelse, når denne tilladelse tildeles en bruger eller gruppe, vil objektet blive tilknyttet med Isilons rodbruger, der giver den pågældende bruger rodrettigheder.

Vi vil overveje det samme eksempel for at oprette en datadeling med nedenstående krav - 

• Del, der skal klargøres – app-p1 (/ifs/isi-prod/apps/app-p1)
• Gruppeadgang – xyz-ex\fe-apps 
• Admin - xyz-ex.com\adm_john91
  • Opret delingen via Isilon WebUI, og tildel admin xyz-ex\adm_john91 tilladelsen run-as-root, og vælg "Opret SMB-delingsmappe, hvis den ikke findes".
  • Den oprettede deling vil nu have rodrettigheder til administratorkontoen.
  • Administratoren kan nu tilknytte delingen via Windows Stifinder og tildele domænegruppen xyz-ex.com de nødvendige tilladelser.
  • Vi kan også tildele gruppen xyz-ex.com\fe-apps tilladelsen run-as-root, men det anbefales ikke, da gruppen også vil have rodrettigheder til den delte mappe og alle dens undermapper.

Brug af Windows-computeradministration

En deling kan oprettes og administreres via MMC for computeradministration.

Hvis en administrator har brug for at administrere SMB-shares via MMC til computeradministration, skal brugeren være medlem af adgangszonens lokale administratorgruppe.
Vi skal følge nedenstående trin for at føje domæneadministratorbrugeren eller -gruppen til den lokale administratorgruppe.

• Åbn Isilon WebUI, klik på Adgang -> Medlemskab & roller.
• Vælg adgangszonen på listen Aktuel adgangszone.
• Klik på grupperne, og vælg LOCAL:System for udbyderne. 
• Klik på Vis/rediger for gruppen Administratorer, Rediger gruppe -> Tilføj medlemmer.

Vi kan nu oprette forbindelse til administratorbrugeroplysningerne via MMC-konsollen Computer Management.

• Log på et system via en konto, som blev føjet til den lokale administratorgruppe i det forrige trin.
• Søg efter og åbn Computeradministration fra Windows-søgefeltet.
• Klik på Action -> Opret forbindelse til en anden computer
• Udvid de delte mapper.
• Højreklik på delte mapper og klik på Ny del.
• Gå gennem guiden til oprettelse af deling for at oprette en ny deling.

Vi kan også administrere delings- og NTFS-tilladelserne for allerede eksisterende delinger via den samme konsol.

Generelle overvejelser i forbindelse med tildeling af delingstilladelser 

• Det er normalt en god ide at tildele gruppetilladelser på share- og NTFS-niveau og kontrollere brugernes adgang ved at ændre gruppemedlemskaberne.
• Til Ex - 
• Lad os overveje, at vi har 2 programarbejdsprocesser på klyngen, som er i deres egne adgangszoner: App1 og App2.
• Zone Base bibliotek af App1 : /ifs/isi-prod/app1
• Zone Base-mappe til App2: /ifs/isi-prod/app2
• Administratorandel til App1: app1$
• Admin andel for App2: app2 $
• Vi kan oprette domænegrupper som app1-rw, app1-ro, app2-rw, app2-ro, der repræsenterer læse-skrive- og skrivebeskyttede grupper.
• Administratoren kan tilknytte aktierne app1$, app2$ og føje ovenstående grupper til NTFS-tilladelserne, så app1-rw/app2-rw-grupperne har fuld kontrol eller læse-skrive-tilladelser, og app1-ro/app2-ro har skrivebeskyttede tilladelser. 
• Føj også disse grupper til delingstilladelserne, så app1-rw/app2-rw har fuld kontrol eller ændrer tilladelser, og app1-ro/app2-ro har skrivebeskyttede tilladelser.
• Administratoren kan nu føje de påkrævede brugere til disse domænegrupper afhængigt af de påkrævede adgangsniveauer.
• BEMÆRK: Denne metode er effektiv, hvis vi har aktier, der tilgås af et sæt brugere eller teams. Det vil ikke være nyttigt for individuel aktiestyring. Tilladelserne på delingsniveau 

• Vi har set i det foregående afsnit, at det altid er den mest restriktive adgang, der gives til brugeren ved at kombinere tilladelserne på share- og NTFS-niveau.
• I betragtning af dette kan vi indstille delingstilladelserne til Alle -Fuld kontrol og kun administrere tilladelserne på NTFS-niveau, selvom dette er en lettere metode til at administrere tilladelser, anbefales det ikke til følsomme data, da det springer over den anden godkendelsesfaktor på delingsniveau.