Isilon: Administración de permisos de recursos compartidos SMB de Isilon.

Existen diferentes métodos para crear y administrar una PowerScale: Recursos compartidos y permisos de SMB de Isilon.

Primero debemos comprender los conceptos básicos de cómo funciona el acceso de un usuario o grupo SMB en un entorno de Windows.
Hay 2 tipos de permisos cuando se trata de un recurso compartido de SMB: 

• Permiso de nivel de recurso compartido.
• NTFS o permiso en el nivel de carpeta.

Se deben cumplir las siguientes condiciones para que el usuario acceda al recurso compartido:

• El usuario que intenta acceder al recurso compartido debe ser parte de las ACL en el nivel de NTFS y también debe ser miembro de la lista de permisos del recurso compartido.
• El usuario puede ser una entrada directa en las ACL y en el recurso compartido o puede ser miembro de un grupo que se encuentra en las ACL y en el recurso compartido.
• El acceso al usuario se decide mediante la combinación de los permisos NTFS y de recursos compartidos. Siempre es el permiso más restrictivo que se aplica al usuario.

Veamos un ejemplo en el que un usuario John también es miembro del grupo de dominios app_team está intentando acceder a un recurso compartido de SMB.
En la siguiente tabla, se enumeran algunos de los escenarios comunes para decidir el acceso al recurso compartido: 

Los permisos de recursos compartidos se consideran primero para el acceso. 
Los ejemplos anteriores muestran que, en cada caso, el acceso más restrictivo se aplica mediante la combinación de los permisos de nivel de NTFS y de recurso compartido.
Sin embargo, hay una excepción, y es cuando aplicamos el permiso "Ejecutar como raíz" en el nivel de recurso compartido a cualquier usuario o grupo. Esta configuración básicamente traduce el usuario o grupo al usuario raíz de Isilon, por lo tanto, otorga a ese usuario o grupo privilegios raíz.

Ahora veremos diferentes formas de administrar los recursos compartidos de SMB en Isilon.

Uso del explorador de archivos de Windows para las zonas de acceso definidas por el usuario:
En esta sección, se aborda la administración de recursos compartidos y permisos de SMB a través del Explorador de archivos de Windows.
El primer paso en la administración de recursos compartidos de SMB es crear un recurso compartido de administrador en el directorio base de la zona de acceso.

* ESTOS SON CONSEJOS DE DISEÑO QUE EL CLIENTE DEBE TENER EN CUENTA, NO QUE UN TSE DEBE IMPLEMENTAR*

           Podemos crear el directorio base de zona de cualquiera de las siguientes maneras:  

1. Asigne el recurso compartido /ifs predeterminado con las credenciales de administrador y cree el directorio base de zona necesario para la zona de acceso.
   • Por ejemplo:
   • Si la solicitud en abc-ex.com\\john es el administrador del dominio y necesitamos crear una zona de acceso HR con el directorio base de la zona /ifs/isi_prod/HR Luego, use el comando 
   • Asigne el valor predeterminado /ifs compartir a través de una IP en la zona de acceso del sistema mediante abc-ex.com\\john 's .
   • Cree el archivo /ifs/isi_prod/HR directorio.
   • El administrador del dominio ahora será el propietario del /ifs/isi_prod/HR directorio y tendrá control total para modificar o asignar nuevos permisos a otros usuarios o grupos.
2.  Si creamos el directorio base de zona mediante la interfaz de usuario web o la CLI de OneFS, el usuario de inicio de sesión obtiene los permisos en la estructura de directorios. Por lo general, los administradores utilizan el usuario raíz para iniciar sesión y, por lo tanto, la raíz obtendrá los permisos NTFS.
   • Pero si tenemos RBAC configurado con los administradores que forman parte de los roles SecurityAdmin y SystemAdmin, el usuario administrador puede iniciar sesión en la interfaz de usuario web con sus credenciales de dominio y usar la opción predeterminada de "Create zone base directory if it does not exist" en la ventana de creación de zonas de acceso o cree la estructura de directorios desde Sistema de archivos:> Explorador del sistema de archivos.
   • Si utiliza la CLI, ejecute el comando mkdir para crear la estructura de directorios o utilice --create-path cuando ejecute el comando de creación de la zona de acceso.
   • Nota: Si utilizamos este método para crear el directorio, obtendrá los permisos de POSIX. Tendremos que heredar el usuario o grupo administrador de los subdirectorios mediante la ejecución del comando - chmod +a user/group domain\\user/group allow object_inherit,conatiner_inherit <zone-base-directory-path>

•  Una vez que se crea el directorio base de zona, cree un recurso compartido de administrador oculto para el mismo a través de la interfaz de usuario web de OneFS o de la CLI

• Recurso compartido de administrador: app$
• Recurso compartido que se aprovisionará: app-p1 (/ifs/isi-prod/apps/app-p1)
• Acceso de grupo: xyz-ex\fe-apps
• Zona de acceso: Apps 
• Directorio base - /ifs/isi-prod/apps
• Admin - xyz-ex.com\adm_john91
  • Asignar el app$ compartir a través de la cuenta de administrador de adm_john91 y un nombre de zona IP o SC en la zona de acceso de aplicaciones.
  • Crear la carpeta de recursos compartidos /ifs/isi-prod/apps/app-p1. 
  • Haga clic con el botón secundario en la carpeta app-p1: Propiedades:> Security --> Edit --> Agregue fe-apps con el acceso requerido a la lista.
• Ahora podemos crear el recurso compartido app-p1 con xyz-ex.com\fe-apps en la lista de permisos y en la carpeta /ifs/isi-prod/apps/app-p1 a través de la interfaz de usuario web o la CLI de Isilon.

Uso del explorador de archivos de Windows para la zona del sistema:
 

• El directorio base de la zona /ifs para que la zona de acceso del sistema ya exista.
• El permiso NTFS en el /ifs El directorio predeterminado tiene a todos los usuarios para leer, escribir y ejecutar.
• Esto se puede eliminar y solo a los administradores se les pueden asignar permisos mediante la ejecución de los siguientes comandos: 
  • chmod -a Everyone allow  dir_gen_read,dir_gen_write,dir_gen_execute,delete_child /ifs
  • chmod +a user/group domain\\user/group allow dir_gen_all,object_inherit,container_inherit /ifs

• Podemos ocultar el recurso compartido ifs predeterminado y asignar solo los administradores de dominio requeridos a la lista de permisos de recursos compartidos.

Al usar el comando "Run as Root" Permiso

de recurso compartido SMB Las secciones anteriores funcionan bien si estamos configurando un nuevo PowerScale: Isilon, pero si ya tenemos un PowerScale existente: En Isilon, donde los administradores no tienen control sobre el árbol de directorios, la única forma restante para modificar los permisos sería a través de la CLI, iniciando sesión como raíz o asignando el permiso de recurso compartido Ejecutar como raíz.

Hay una opción dentro de PowerScale: Recursos compartidos SMB de Isilon a los que se asignará un "run-as-root" permiso, cuando este permiso se asigna a un usuario o grupo, esa entidad se asignará con el usuario raíz de Isilon, lo que le otorgará privilegios de raíz.

Consideraremos el mismo ejemplo para crear un recurso compartido de datos con los siguientes requisitos: 

• Recurso compartido que se aprovisionará: app-p1 (/ifs/isi-prod/apps/app-p1)
• Acceso de grupo: xyz-ex\fe-apps 
• Administrador: xyz-ex.com\adm_john91
  • Cree el recurso compartido a través de Isilon WebUI y asigne el administrador xyz-ex\adm_john91 el run-as-root y seleccione el botón "Create SMB share directory if it does not exist".
  • El recurso compartido creado ahora tendrá privilegios de raíz para la cuenta de administrador.
  • El administrador ahora puede asignar el recurso compartido a través del Explorador de archivos de Windows y asignar el grupo de dominios xyz-ex.com los permisos requeridos.
  • También podemos asignar el grupo xyz-ex.com\fe-apps el run-as-root pero no se recomienda, ya que el grupo tendrá privilegios de raíz para el directorio compartido y también para todos sus subdirectorios.

Uso de la Administración de equipos de

WindowsSe puede crear y administrar un recurso compartido a través de la MMC de administración de equipos.

Si un administrador necesita administrar recursos compartidos SMB a través de la MMC de administración de equipos, ese usuario debe ser miembro del grupo de administradores locales de la zona de acceso.
Debemos seguir los pasos que se indican a continuación para agregar el usuario o grupo administrador del dominio al grupo de administradores local.

• Abra la interfaz de usuario web de Isilon y haga clic en Access -> Membership & Roles.
• Seleccione la zona de acceso en la lista Current access Zone.
• Haga clic en Grupos y seleccione LOCAL:Sistema para los proveedores. 
• Haga clic en Ver/Editar para el grupo Administradores, Editar grupo -> Agregar miembros.

Ahora podemos conectarnos con las credenciales de usuario administrador a través de la consola MMC de administración de equipos.

• Inicie sesión en un sistema a través de una cuenta que se agregó al grupo local Administrators en el paso anterior.
• Busque y abra Administración de equipos desde la barra de búsqueda de Windows.
• Haga clic en Acción -> Conectarse a otra computadora
• Expanda las carpetas compartidas.
• Haga clic con el botón secundario en las carpetas compartidas y haga clic en Nuevo recurso compartido.
• Siga los pasos del asistente de creación de recursos compartidos para crear un nuevo recurso compartido.

También podemos administrar los permisos de recursos compartidos y NTFS de recursos compartidos ya existentes a través de la misma consola.

Consideraciones generales para asignar permisos de recurso compartido 

• Por lo general, es una buena práctica asignar permisos de grupo en el nivel de recurso compartido y NTFS, y controlar el acceso de los usuarios mediante la modificación de la membresía de los grupos.
• Por ejemplo: 
• Supongamos que tenemos dos flujos de trabajo de aplicaciones en el clúster que se encuentran en sus propias zonas de acceso: App1 y App2.
• Directorio base de zona de App1: /ifs/isi-prod/app1
• Directorio base de zona de App2: /ifs/isi-prod/app2
• Recurso compartido de administrador para App1: app1$
• Recurso compartido de administrador para App2: app2$
• Podemos crear grupos de dominio como app1-rw, app1-ro, app2-rw, app2-ro que representan grupos de lectura/escritura y de solo lectura.
• El administrador puede asignar los recursos compartidos app1$, app2$ y agregue los grupos anteriores a los permisos NTFS de modo que el app1-rw/app2-rw grupos tiene control total o permisos de lectura y escritura y app1-ro/app2-ro Tiene permisos de solo lectura. 
• Además, agregue estos grupos a los permisos de recursos compartidos, de modo que app1-rw/app2-rw tiene control total o permisos de cambio y app1-ro/app2-ro Tiene permisos de solo lectura.
• El administrador ahora puede agregar los usuarios necesarios a estos grupos de dominio según los niveles de acceso requeridos.

• Nota: Este método es eficaz si un conjunto de usuarios o equipos accede a los recursos compartidos. No será útil para la administración de recursos compartidos individuales. Los permisos en el nivel de recurso compartido 

• Hemos visto en la sección anterior que siempre es el acceso más restrictivo que se otorga al usuario al combinar los permisos de nivel de recurso compartido y NTFS.
• Teniendo en cuenta esto, podemos establecer los permisos de recurso compartido en Everyone -Full Control y administrar los permisos solo en el nivel NTFS, aunque este es un método más fácil de administrar los permisos, no se recomienda para datos confidenciales ya que omite el segundo factor de autenticación en el nivel de recurso compartido.