Isilon: Managen von Isilon SMB-Freigabeberechtigungen.

Es gibt verschiedene Methoden zum Erstellen und Verwalten von PowerScale: Isilon-SMB-Freigabe und -Berechtigungen.

Zunächst müssen wir die Grundlagen verstehen, wie ein SMB-Nutzer- oder Gruppenzugriff in einer Windows-Umgebung funktioniert.
Es gibt 2 Arten von Berechtigungen für eine SMB-Freigabe: 

• Berechtigungen auf Freigabeebene.
• Berechtigung auf NTFS- oder Ordnerebene.

Die folgenden Bedingungen müssen erfüllt sein, damit der Nutzer auf die Freigabe zugreifen kann:

• Der Nutzer, der versucht, auf die Freigabe zuzugreifen, sollte Teil der ACLs auf NTFS-Ebene und auch ein Mitglied der Liste der Freigabeberechtigungen sein.
• Der Nutzer kann entweder ein direkter Eintrag in den ACLs und der Freigabe sein oder Mitglied einer Gruppe sein, die sich in den ACLs und der Freigabe befindet.
• Der Zugriff auf den Nutzer wird durch die Kombination von NTFS- und Freigabeberechtigungen entschieden. Es ist immer die restriktivste Berechtigung, die auf den Nutzer angewendet wird.

Nehmen wir als Beispiel an, dass ein Nutzer John, der auch Mitglied der Domänengruppe ist, app_team versucht, auf eine SMB-Freigabe zuzugreifen.
In der folgenden Tabelle sind einige gängige Szenarien für die Entscheidung über den Freigabezugriff aufgeführt: 

Freigabeberechtigungen werden zuerst für Access berücksichtigt. 
Die obigen Beispiele zeigen, dass in jedem Fall der restriktivste Zugriff durch die Kombination der Berechtigungen auf Freigabe- und NTFS-Ebene angewendet wird.
Es gibt jedoch eine Ausnahme, nämlich wenn wir die Berechtigung "Als Root ausführen" auf der Freigabeebene auf einen beliebigen Benutzer oder eine Gruppe anwenden. Diese Einstellung übersetzt den Nutzer oder die Gruppe grundsätzlich in den Root-Nutzer von Isilon und gewährt diesem Nutzer oder dieser Gruppe Root-Berechtigungen.

Wir werden uns nun verschiedene Möglichkeiten ansehen, die SMB-Freigaben auf Isilon zu verwalten.

Verwenden des Windows-Datei-Explorers für nutzerdefinierte Zugriffszonen –
In diesem Abschnitt wird das Managen von SMB-Freigaben und -Berechtigungen über den Windows-Datei-Explorer beschrieben.
Der erste Schritt beim Managen von SMB-Freigaben besteht darin, eine Admin-Freigabe im Zonenbasisverzeichnis der Zugriffszone zu erstellen.

*HIERBEI HANDELT ES SICH UM DESIGNTIPPS, DIE DER KUNDE BERÜCKSICHTIGEN SOLLTE UND DIE NICHT VON EINEM TSE IMPLEMENTIERT WERDEN SOLLTEN.*

           Wir können das Zonenbasisverzeichnis auf eine der folgenden Arten erstellen:  

1. Ordnen Sie die /ifs-Standardfreigabe den Administratorzugangsdaten zu und erstellen Sie das für die Zugriffszone erforderliche Zonenbasisverzeichnis.
   • Zum Beispiel:
   • Wenn abc-ex.com\\john ist der Domainadministrator und wir müssen eine Zugriffszone HR mit dem Zonenbasisverzeichnis erstellen. /ifs/isi_prod/HR dann 
   • Zuordnen der Standardeinstellung /ifs Freigabe über eine IP in der Systemzugriffszone mithilfe von abc-ex.com\\john 's -Zugangsdaten an.
   • Erstellen Sie die /ifs/isi_prod/HR .
   • Der Domainadministrator ist nun der Eigentümer der /ifs/isi_prod/HR Verzeichnisstruktur und hat volle Kontrolle über die Änderung oder Zuweisung neuer Berechtigungen zu anderen Nutzern oder Gruppen.
2.  Wenn wir das Zonenbasisverzeichnis mithilfe der OneFS-WebUI oder CLI erstellen, erhält der Anmeldenutzer die Berechtigungen für die Verzeichnisstruktur. Normalerweise verwenden Administratoren den root-Nutzer für die Anmeldung und daher erhält root die NTFS-Berechtigungen.
   • Wenn wir jedoch RBAC so konfiguriert haben, dass die Administratoren Teil der SecurityAdmin- und SystemAdmin-Rollen sind, kann sich der Admin-Benutzer mit seinen Domänenanmeldeinformationen bei der WebUI anmelden und entweder die Standardoption von "Create zone base directory if it does not exist" im Fenster "Access Zone Creation" oder erstellen Sie die Verzeichnisstruktur über File System –> File System Explorer.
   • Wenn Sie die CLI verwenden, führen Sie den Befehl mkdir aus, um die Verzeichnisstruktur zu erstellen, oder verwenden Sie --create-path, wenn Sie den Befehl zur Erstellung der Zugriffszone ausführen.
   • Hinweis: Wenn wir diese Methode verwenden, um das Verzeichnis zu erstellen, erhält es die POSIX-Berechtigungen. Wir müssen den Admin-Nutzer oder die Admin-Gruppe in die Unterverzeichnisse übernehmen, indem wir den folgenden Befehl ausführen: - chmod +a user/group domain\\user/group allow object_inherit,conatiner_inherit <zone-base-directory-path>

•  Sobald das Zonenbasisverzeichnis erstellt wurde, erstellen Sie eine ausgeblendete Admin-Freigabe für dasselbe über die OneFS-WebUI oder über die CLI

• Admin-Freigabe – app$
• Bereitzustellende Freigabe: app-p1 (/ifs/isi-prod/apps/app-p1)
• Gruppenzugriff – xyz-ex\fe-apps
• Zugriffszone – Apps 
• Basisverzeichnis - /ifs/isi-prod/apps
• Admin - xyz-ex.com\adm_john91
  • Ordnen Sie die app$ über das adm_john91-Administratorkonto und einen IP- oder SC-Zonennamen in der App-Zugriffszone freigeben.
  • Erstellen des Freigabeordners /ifs/isi-prod/apps/app-p1. 
  • Klicken Sie mit der rechten Maustaste auf den Ordner app-p1verwalten: Eigenschaften--> Sicherheit --> Bearbeiten --> Fügen Sie fe-apps mit dem erforderlichen Zugriff auf die Liste hinzu.
• Wir können jetzt die Freigabe erstellen app-p1 möglicherweise nicht mit xyz-ex.com\fe-apps In der Liste Berechtigungen und im Ordner /ifs/isi-prod/apps/app-p1 über die Isilon WebUI oder CLI.

Verwenden des Windows-Datei-Explorers für die Systemzone –
 

• Das Zonenbasisverzeichnis /ifs für die Systemzugriffszone bereits vorhanden ist.
• Die NTFS-Berechtigung auf dem /ifs Standardmäßig hat Directory alle Lesen, Schreiben und Ausführen.
• Dies kann gelöscht werden und nur den Administratoren können Berechtigungen zugewiesen werden, indem Sie die folgenden Befehle ausführen: 
  • chmod -a Everyone allow  dir_gen_read,dir_gen_write,dir_gen_execute,delete_child /ifs
  • chmod +a user/group domain\\user/group allow dir_gen_all,object_inherit,container_inherit /ifs

• Wir können die standardmäßige ifs-Freigabe ausblenden und der Liste der Freigabeberechtigungen nur die erforderlichen Domain-Admins zuweisen.

Mithilfe des Befehls "Run as Root" SMB-Freigabeberechtigung

Die obigen Abschnitte funktionieren gut, wenn wir ein neues PowerScale konfigurieren: Isilon-Cluster, aber wenn bereits ein vorhandenes PowerScale vorhanden ist: Wenn die Administratoren keine Kontrolle über die Verzeichnisstruktur haben, besteht die einzige Möglichkeit, die Berechtigungen zu ändern, über die CLI, indem sie sich als Root anmelden oder die Freigabeberechtigung "Als Root ausführen" zuweisen.

Es gibt eine Option in PowerScale: Isilon SMB-Freigaben zum Zuweisen eines "run-as-root" Wenn diese Berechtigung einem Nutzer oder einer Gruppe zugewiesen wird, wird diese Entität dem Root-Nutzer von Isilon zugeordnet, der diesem Nutzer Root-Berechtigungen gewährt.

Wir betrachten das gleiche Beispiel, um eine Datenfreigabe mit den folgenden Anforderungen zu erstellen: 

• Bereitzustellende Freigabe: app-p1 (/ifs/isi-prod/apps/app-p1)
• Gruppenzugriff – xyz-ex\fe-apps 
• Admin- xyz-ex.com\adm_john91
  • Erstellen Sie die Freigabe über die Isilon WebUI und weisen Sie den Administrator zu xyz-ex\adm_john91 das run-as-root und wählen Sie die Option "Create SMB share directory if it does not exist".
  • Die erstellte Freigabe verfügt jetzt über Root-Berechtigungen für das Administratorkonto.
  • Der Administrator kann nun die Freigabe über den Windows-Datei-Explorer zuordnen und die Domänengruppe zuweisen xyz-ex.com die erforderlichen Berechtigungen.
  • Wir können die Gruppe xyz-ex.com\fe-apps das run-as-root Dies wird jedoch nicht empfohlen, da die Gruppe über Root-Berechtigungen für das freigegebene Verzeichnis und alle seine Unterverzeichnisse verfügt.

Verwenden der Windows-Computerverwaltung

Eine Freigabe kann über die Computerverwaltung MMC erstellt und verwaltet werden.

Wenn ein Administrator SMB-Freigaben über die Computerverwaltung MMC verwalten muss, sollte dieser Nutzer Mitglied der lokalen Administratorgruppe der Zugriffszone sein.
Wir müssen die folgenden Schritte ausführen, um den Domain-Admin-Nutzer oder die Domain-Admin-Gruppe zur lokalen Administratorgruppe hinzuzufügen.

• Öffnen Sie die Isilon WebUI und klicken Sie auf Access -> Membership & Roles.
• Wählen Sie die Zugriffszone aus der Liste Current access Zone aus.
• Klicken Sie auf die Gruppen und wählen Sie LOCAL:System für die Anbieter aus. 
• Klicken Sie für die Gruppe Administratoren auf View/Edit , Edit group -> Add Members.

Wir können jetzt über die MMC-Konsole für die Computerverwaltung eine Verbindung mit den Anmeldedaten des Administratornutzers herstellen.

• Melden Sie sich bei einem System über ein Konto an, das im vorherigen Schritt der lokalen Administratorengruppe hinzugefügt wurde.
• Suchen und öffnen Sie die Computerverwaltung über die Windows-Suchleiste.
• Klicken Sie auf Aktion –> Mit anderem Computer verbinden.
• Blenden Sie die freigegebenen Ordner ein.
• Klicken Sie mit der rechten Maustaste auf freigegebene Ordner und klicken Sie auf Neue Freigabe.
• Führen Sie den Assistenten zur Erstellung von Freigaben aus, um eine neue Freigabe zu erstellen.

Wir können auch die Freigabe- und NTFS-Berechtigungen von bereits vorhandenen Freigaben über dieselbe Konsole verwalten.

Allgemeine Überlegungen zum Zuweisen von Freigabeberechtigungen 

• In der Regel empfiehlt es sich, Gruppenberechtigungen auf Freigabe- und NTFS-Ebene zuzuweisen und den Zugriff von Nutzern durch Ändern der Gruppenmitgliedschaften zu steuern.
• Zum Beispiel: 
• Nehmen wir an, wir haben 2 Anwendungsworkflows auf dem Cluster, die sich in ihren eigenen Zugriffszonen befinden, App1 und App2.
• Zonenbasisverzeichnis von App1 : /ifs/isi-prod/app1
• Zonenbasisverzeichnis von App2 : /ifs/isi-prod/app2
• Admin-Freigabe für App1 : app1$
• Admin-Freigabe für App2 : app2$
• Wir können Domänengruppen wie "app1-rw", "app1-ro", "app2-rw" und "app2-ro" erstellen, die Lese-/Schreib- und schreibgeschützte Gruppen darstellen.
• Der Administrator kann die Freigaben zuordnen app1$, app2$ und fügen Sie die oben genannten Gruppen zu den NTFS-Berechtigungen hinzu, damit die app1-rw/app2-rw Gruppen verfügt über Vollzugriff oder Lese-/Schreibberechtigungen und app1-ro/app2-ro Hat schreibgeschützte Berechtigungen. 
• Fügen Sie diese Gruppen auch zu den Freigabeberechtigungen hinzu, sodass app1-rw/app2-rw volle Kontrolle oder Änderungsberechtigungen hat und app1-ro/app2-ro Hat schreibgeschützte Berechtigungen.
• Der Administrator kann nun die erforderlichen Nutzer zu diesen Domänengruppen hinzufügen, je nach den erforderlichen Zugriffsebenen.

• Hinweis: Diese Methode ist effektiv, wenn wir Freigaben haben, auf die eine Gruppe von Benutzern oder Teams zugreift. Es wird für die individuelle Aktienverwaltung nicht hilfreich sein. Die Berechtigungen auf Freigabeebene 

• Im vorherigen Abschnitt haben wir gesehen, dass es sich immer um den restriktivsten Zugriff handelt, der dem Benutzer durch die Kombination der Berechtigungen auf Freigabe- und NTFS-Ebene gewährt wird.
• In Anbetracht dessen können wir die Freigabeberechtigungen auf "Jeder – Vollzugriff" festlegen und die Berechtigungen nur auf NTFS-Ebene verwalten, obwohl dies eine einfachere Methode zum Verwalten von Berechtigungen ist, wird sie für sensible Daten nicht empfohlen, da der zweite Faktor der Authentifizierung auf der Freigabeebene übersprungen wird.