Isilon: Isilonin SMB-jako-oikeuksien hallinta.

PowerScalen voi luoda ja hallita eri tavoilla: Isilonin SMB-jako ja käyttöoikeudet.

Meidän on ensin ymmärrettävä perusasiat siitä, miten SMB-käyttäjä tai ryhmäkäyttöoikeus toimii Windows-ympäristössä.
SMB-jakoa käsiteltäessä on 2 erilaista käyttöoikeutta - 

• Jakamistason käyttöoikeus.
• NTFS- tai kansiotason käyttöoikeus.

Seuraavien ehtojen on täytyttävä, jotta käyttäjä voi käyttää jaettua resurssia

• Käyttäjän, joka yrittää käyttää jaettua resurssia, on kuuluttava käyttöoikeusluetteloihin NTFS-tasolla ja oltava myös jaetun resurssin käyttöoikeusluettelon jäsen.
• Käyttäjä voi olla käyttöoikeusluetteloiden ja jaon suora merkintä tai käyttöoikeusluetteloissa ja jaetussa resurssissa olevan ryhmän jäsen.
• Käyttäjän käyttöoikeus päätetään yhdistämällä NTFS- ja jako-oikeudet. Se on aina rajoittavin lupa, jota käyttäjään sovelletaan.

Tarkastellaan esimerkkiä, jossa käyttäjä John, joka on myös verkkotunnusryhmän jäsen, app_team yrittää käyttää jaettua SMB-resurssia.
Alla olevassa taulukossa luetellaan joitakin yleisiä skenaarioita jako-oikeudesta päätettäessä 

Jaetun resurssin käyttöoikeuksia tarkastellaan ensin Accessissa. 
Edellä olevat esimerkit osoittavat, että kaikissa tapauksissa rajoittavinta käyttöä käytetään yhdistämällä jako- ja NTFS-tason käyttöoikeudet.
On kuitenkin yksi poikkeus, eli kun jaon tason Suorita pääkäyttäjänä -oikeutta sovelletaan mihin tahansa käyttäjään tai ryhmään. Tämä asetus muuntaa käyttäjän tai ryhmän Isilonin pääkäyttäjäksi, jolloin kyseiselle käyttäjälle tai ryhmälle annetaan pääkäyttäjän oikeudet.

Tarkastelemme nyt erilaisia tapoja hallita PK-yritysten osakkeita Isilonissa.

Windowsin Resurssienhallinnan käyttäminen käyttäjän määrittämille käyttöoikeusvyöhykkeille -
Tässä osassa käsitellään SMB-kansioiden ja -käyttöoikeuksien hallintaa Windowsin Resurssienhallinnassa.
Ensimmäinen vaihe SMB-jakojen hallinnassa on luoda järjestelmänvalvojan resurssi käyttöoikeusvyöhykkeen vyöhykepohjahakemistoon.

*NÄMÄ OVAT SUUNNITTELUVINKKEJÄ, JOITA ASIAKKAAN TULEE HARKITA, EI TSE:N TOTEUTTAMIA*

           Voimme luoda vyöhykkeen perushakemiston jollakin seuraavista tavoista:  

1. Yhdistä oletusarvoinen /ifs-jako järjestelmänvalvojan tunnistetiedoilla ja luo vyöhykkeen perushakemisto, joka tarvitaan käyttöoikeusvyöhykkeelle.
   • Ex -
   • Jos abc-ex.com\\john on toimialueen järjestelmänvalvoja, ja meidän on luotava HR-käyttöoikeusvyöhyke vyöhykkeen perushakemiston avulla /ifs/isi_prod/HR sitten: 
   • Yhdistä oletusarvo /ifs jakaa IP-osoitteen kautta järjestelmän käyttöoikeusvyöhykkeellä käyttämällä abc-ex.com\\john 's Tunnistetiedot.
   • Luo /ifs/isi_prod/HR Hakemisto.
   • Toimialueen järjestelmänvalvoja on nyt /ifs/isi_prod/HR hakemistopuussa, ja sinulla on täydet oikeudet muokata tai määrittää uusia käyttöoikeuksia muille käyttäjille tai ryhmille.
2.  Jos vyöhykkeen perushakemisto luodaan OneFS:n verkkokäyttöliittymässä tai komentoriviliittymässä, kirjautumiskäyttäjä saa hakemistorakenteen käyttöoikeudet. Yleensä järjestelmänvalvojat käyttävät kirjautumiseen pääkäyttäjää, joten root saa NTFS-käyttöoikeudet.
   • Mutta jos RBAC on määritetty niin, että järjestelmänvalvojat ovat osa SecurityAdmin- ja SystemAdmin-rooleja, järjestelmänvalvojakäyttäjä voi kirjautua verkkokäyttöliittymään toimialueen tunnistetiedoilla ja käyttää joko oletusvaihtoehtoa "Create zone base directory if it does not exist" käyttöoikeusvyöhykkeen luontiikkunassa tai luo hakemistorakenne tiedostojärjestelmästä -> tiedostojärjestelmän resurssienhallinnasta.
   • Jos käytät komentoriviliittymää, luo hakemistorakenne suorittamalla mkdir-komento tai käytä komentoa --create-path, kun suoritat access zone create -komennon.
   • Huomautus: Jos käytämme tätä menetelmää hakemiston luomiseen, se saa POSIX-käyttöoikeudet. Admin-käyttäjä tai -ryhmä peritään alihakemistoihin suorittamalla komento - chmod +a user/group domain\\user/group allow object_inherit,conatiner_inherit <zone-base-directory-path>

•  Kun vyöhykkeen perushakemisto on luotu, luo sille piilotettu järjestelmänvalvojan resurssi OneFS-verkkokäyttöliittymässä tai komentoriviliittymässä

• Järjestelmänvalvojan jako - app$
• Varattava osuus - app-p1 (/ifs/isi-prod/apps/app-p1)
• Ryhmän käyttöoikeus - xyz-ex\fe-apps
• Pääsyalue - Apps 
• Perushakemisto - /ifs/isi-prod/apps
• Admin - xyz-ex.com\adm_john91
  • Kartoita app$ jakaa adm_john91 -järjestelmänvalvojan tilin ja IP- tai SC-vyöhykkeen nimen kautta Sovellusten käyttöoikeusvyöhykkeellä.
  • Luo jaettu kansio /ifs/isi-prod/apps/app-p1. 
  • Napsauta kansiota hiiren kakkospainikkeella app-p1: Majoituspaikkaa--> Suojaus --> Muokkaa --> Lisää fe-sovelluksia, joilla on tarvittava pääsy luetteloon.
• Nyt voidaan luoda jako app-p1 muotoon xyz-ex.com\fe-apps käyttöoikeusluettelossa ja kansiossa /ifs/isi-prod/apps/app-p1 Isilon-verkkokäyttöliittymän tai komentoriviliittymän kautta.

Windowsin Resurssienhallinnan käyttäminen järjestelmävyöhykkeelle -
 

• Vyöhykkeen perushakemisto /ifs for System access zone on jo olemassa.
• NTFS-oikeus /ifs Hakemistossa kaikki voivat oletusarvoisesti lukea, kirjoittaa ja suorittaa.
• Tämä voidaan poistaa ja vain järjestelmänvalvojille voidaan määrittää käyttöoikeudet suorittamalla seuraavat komennot: 
  • chmod -a Everyone allow  dir_gen_read,dir_gen_write,dir_gen_execute,delete_child /ifs
  • chmod +a user/group domain\\user/group allow dir_gen_all,object_inherit,container_inherit /ifs

• Voimme piilottaa oletusarvoisen jos-jaon ja määrittää jako-oikeuksien luetteloon vain tarvittavat toimialueen järjestelmänvalvojat.

Käyttämällä "Run as Root" PK-yritysten jako-oikeus

Yllä olevat osiot toimivat hyvin, jos määritetään uutta PowerScalea: Isilon-klusteri, mutta jos meillä on jo PowerScale: Jos järjestelmänvalvojat eivät voi hallita hakemistopuuta, käyttöoikeuksia voidaan muokata vain komentoriviliittymän kautta kirjautumalla pääkäyttäjänä tai määrittämällä Run-as-Root-jako-oikeus.

PowerScalessa on vaihtoehto: Isilon SMB jakaa jaot, joilla määritetään "run-as-root" käyttöoikeus: kun tämä käyttöoikeus määritetään käyttäjälle tai ryhmälle, kyseinen entiteetti yhdistetään Isilonin pääkäyttäjään, joka antaa kyseiselle käyttäjälle pääkäyttäjän oikeudet.

Harkitsemme samaa esimerkkiä luodaksemme datajaon alla olevilla vaatimuksilla - 

• Varattava osuus - app-p1 (/ifs/isi-prod/apps/app-p1)
• Ryhmän käyttöoikeus - xyz-ex\fe-apps 
• Admin- xyz-ex.com\adm_john91
  • Luo jako Isilon-verkkokäyttöliittymän kautta ja määritä järjestelmänvalvoja xyz-ex\adm_john91 ja run-as-root Lupa ja valitse "Create SMB share directory if it does not exist".
  • Luodulla jaetulla resurssilla on nyt järjestelmänvalvojan tilin pääkäyttäjän oikeudet.
  • Järjestelmänvalvoja voi nyt yhdistää jaetun resurssin Windowsin Resurssienhallinnassa ja määrittää toimialueryhmän xyz-ex.com tarvittavat käyttöoikeudet.
  • Voimme myös määrittää ryhmän xyz-ex.com\fe-apps ja run-as-root Lupaa mutta sitä ei suositella, koska ryhmällä on pääkäyttäjän oikeudet jaettuun hakemistoon ja kaikkiin sen alihakemistoihin.

Windowsin Tietokoneen hallinnan

käyttäminenJaettu resurssi voidaan luoda ja sitä voidaan hallita Computer Management MMC:n kautta.

Jos järjestelmänvalvojan on hallittava SMB-jakoja Computer Management MMC:n kautta, kyseisen käyttäjän on kuuluttava käyttöoikeusvyöhykkeen paikalliseen järjestelmänvalvojaryhmään.
Lisää toimialueen järjestelmänvalvojakäyttäjä tai -ryhmä paikalliseen järjestelmänvalvojaryhmään seuraavasti.

• Avaa Isilon-verkkokäyttöliittymä ja valitse Käyttö -> Jäsenyys ja roolit.
• Valitse käyttöoikeusvyöhyke Nykyinen käyttöoikeusvyöhyke -luettelosta.
• Klikkaa Ryhmät ja valitse LOCAL:System palveluntarjoajille. 
• Napsauta Näkymä/Muokkaa kohdassa Järjestelmänvalvojat, Muokkaa ryhmää -> Lisää jäseniä.

Nyt voit muodostaa yhteyden järjestelmänvalvojakäyttäjän tunnistetiedoilla Computer Management MMC -konsolissa.

• Kirjaudu järjestelmään tilillä, joka lisättiin edellisessä vaiheessa Paikalliset järjestelmänvalvojat -ryhmään.
• Hae ja avaa Tietokoneen hallinta Windowsin hakupalkista.
• Napsauta toimintoa -> Yhdistä toiseen tietokoneeseen
• Laajenna jaetut kansiot.
• Napsauta hiiren kakkospainikkeella jaettuja kansioita ja napsauta Uusi jaa.
• Luo uusi jako ohjatun jaon luontitoiminnon avulla.

Voimme myös hallita jo olemassa olevien jaettujen resurssien jako- ja NTFS-käyttöoikeuksia saman konsolin kautta.

Yleistä jako-oikeuksien määrittämisessä 

• Yleensä kannattaa määrittää ryhmän käyttöoikeudet jako- ja NTFS-tasolla ja hallita käyttäjien käyttöoikeuksia muokkaamalla ryhmän jäsenyyksiä.
• Ex - 
• Tarkastellaanpa, että klusterissa on kaksi sovelluksen työnkulkua, jotka ovat omilla käyttöoikeusalueillaan App1 ja App2.
• App1:n vyöhykkeen perushakemisto: /ifs/isi-prod/app1
• App2:n vyöhykkeen perushakemisto: /ifs/isi-prod/app2
• Järjestelmänvalvojan jako sovelluksessa 1: app1$
• Järjestelmänvalvojan jako sovelluksessa 2: app2$
• Voimme luoda verkkotunnusryhmiä, kuten app1-rw, app1-ro, app2-rw ja app2-ro, jotka edustavat vain luku -kirjoitus- ja vain luku -ryhmiä.
• Järjestelmänvalvoja voi yhdistää jaetut resurssit app1$, app2$ ja lisää edellä mainitut ryhmät NTFS-käyttöoikeuksiin siten, että app1-rw/app2-rw ryhmillä on täydet oikeudet tai luku- ja kirjoitusoikeudet ja app1-ro/app2-ro sisältää vain luku -oikeudet. 
• Lisää myös nämä ryhmät jako-oikeuksiin siten, että app1-rw/app2-rw hänellä on täydet hallinta- tai muutosoikeudet ja app1-ro/app2-ro sisältää vain luku -oikeudet.
• Järjestelmänvalvoja voi nyt lisätä tarvittavat käyttäjät näihin toimialueryhmiin tarvittavien käyttöoikeustasojen mukaan.

• Huomautus: Tämä menetelmä on tehokas, jos meillä on jakoja, joita joukko käyttäjiä tai ryhmiä käyttää. Siitä ei ole hyötyä yksittäisten osakkeiden hallinnoinnissa. Jakotason käyttöoikeudet 

• Olemme nähneet edellisessä osassa, että käyttäjälle annetaan aina rajoittavin käyttöoikeus yhdistämällä jako- ja NTFS-tason käyttöoikeudet.
• Tämän perusteella voimme asettaa jaetun resurssin käyttöoikeuksiksi Kaikki -Täysi hallinta ja hallita käyttöoikeuksia vain NTFS-tasolla, vaikka tämä on helpompi tapa hallita käyttöoikeuksia, sitä ei suositella arkaluonteisille tiedoille, koska se ohittaa toisen todennustekijän jakotasolla.