Isilon : Gestion des autorisations de partage SMB Isilon.

Il existe différentes méthodes de création et de gestion d’un PowerScale : Partage SMB Isilon et autorisations.

Nous devons d’abord comprendre les bases du fonctionnement d’un accès utilisateur ou de groupe SMB dans un environnement Windows.
Il existe 2 types d’autorisations lorsqu’il s’agit d’un partage SMB : 

• Autorisation au niveau du partage.
• NTFS ou autorisation au niveau du dossier.

Les conditions ci-dessous doivent être remplies pour que l’utilisateur puisse accéder au partage :

• L’utilisateur qui tente d’accéder au partage doit faire partie des ACL au niveau NTFS et doit également être membre de la liste d’autorisations de partage.
• L’utilisateur peut être une entrée directe dans les ACL et le partage ou être membre d’un groupe qui se trouve dans les ACL et le partage.
• L’accès à l’utilisateur est décidé en combinant les autorisations NTFS et de partage. Il s’agit toujours de l’autorisation la plus restrictive appliquée à l’utilisateur.

Prenons l’exemple d’un utilisateur John qui est également membre du groupe de domaines app_team tente d’accéder à un partage SMB.
Le tableau ci-dessous répertorie certains des scénarios courants pour décider de l’accès au partage : 

Les autorisations de partage sont considérées en premier pour l’accès. 
Les exemples ci-dessus montrent que, dans tous les cas, l’accès le plus restrictif est appliqué en combinant les autorisations de niveau de partage et NTFS.
Toutefois, il existe une exception, c’est lorsque nous appliquons l’autorisation « Exécuter en tant que root » au niveau du partage à n’importe quel utilisateur ou groupe. Ce paramètre convertit essentiellement l’utilisateur ou le groupe en utilisateur root d’Isilon, donnant ainsi à cet utilisateur ou à ce groupe des privilèges root.

Nous allons maintenant examiner différentes façons de gérer les partages SMB sur Isilon.

Utilisation de l’explorateur de fichiers Windows pour les zones d’accès définies par l’utilisateur :
Cette section traite de la gestion des autorisations et partages SMB via l’Explorateur de fichiers Windows.
La première étape de la gestion des partages SMB consiste à créer un partage admin dans le répertoire de base de la zone d’accès.

*IL S’AGIT DE CONSEILS DE CONCEPTION QUE LE CLIENT DOIT PRENDRE EN COMPTE ET QUI NE DOIVENT PAS ÊTRE MIS EN ŒUVRE PAR UN INGÉNIEUR DU SUPPORT TECHNIQUE*

           Nous pouvons créer le répertoire de base de zone de l’une des manières suivantes :  

1. Mappez le partage /ifs par défaut avec les informations d’identification de l’administrateur et créez le répertoire de base de la zone requis pour la zone d’accès.
   • Par exemple -
   • si abc-ex.com\\john est l’administrateur de domaine et nous devons créer une zone d’accès HR avec le répertoire de base de la zone /ifs/isi_prod/HR puis 
   • Mappez la valeur par défaut /ifs partage via une adresse IP dans la zone d’accès au système à l’aide de abc-ex.com\\john 's Pouvoirs.
   • Créez le fichier /ifs/isi_prod/HR .
   • L’administrateur de domaine sera désormais le propriétaire du /ifs/isi_prod/HR dans l’arborescence de répertoires et dispose d’un contrôle total pour modifier ou attribuer de nouvelles autorisations à d’autres utilisateurs ou groupes.
2.  Si nous créons le répertoire de base de la zone à l’aide de l’interface utilisateur Web ou de l’interface de ligne de commande OneFS, l’utilisateur qui se connecte obtient les autorisations sur la structure de répertoires. Habituellement, les administrateurs utilisent l’utilisateur root pour se connecter et, par conséquent, root obtient les autorisations NTFS.
   • Mais si le RBAC est configuré avec les administrateurs faisant partie des rôles SecurityAdmin et SystemAdmin, l’utilisateur administrateur peut se connecter à l’interface utilisateur Web avec ses informations d’identification de domaine et utiliser l’option par défaut de "Create zone base directory if it does not exist" dans la fenêtre Access Zone Creation ou créez la structure de répertoires à partir de File System -> File System Explorer.
   • Si vous utilisez la CLI, exécutez la commande mkdir pour créer la structure de répertoires ou utilisez --create-path lors de l’exécution de la commande de création de la zone d’accès.
   • Remarque : Si nous utilisons cette méthode pour créer le répertoire, il obtiendra les autorisations POSIX. Nous aurons besoin d’hériter de l’utilisateur ou du groupe admin dans les sous-répertoires en exécutant la commande - chmod +a user/group domain\\user/group allow object_inherit,conatiner_inherit <zone-base-directory-path>

•  Une fois le répertoire de base de la zone créé, créez un partage admin masqué pour celui-ci via l’interface utilisateur Web OneFS ou via l’interface de ligne de commande

• Partage d’administrateur - app$
• Partage à provisionner : app-p1 (/ifs/isi-prod/apps/app-p1)
• Accès au groupe : xyz-ex\fe-apps
• Zone d’accès : Apps 
• Répertoire de base - /ifs/isi-prod/apps
• Administrateur - xyz-ex.com\adm_john91
  • Mappez le app$ via le compte d’administrateur adm_john91 et une adresse IP ou un nom de zone SC dans la zone d’accès Applications.
  • Création du dossier de partage /ifs/isi-prod/apps/app-p1. 
  • Cliquez avec le bouton droit de la souris sur le dossier app-p1: Propriétés--> Security --> Edit --> Add fe-apps with the required access to the list.
• Nous pouvons maintenant créer le partage app-p1 par xyz-ex.com\fe-apps dans la liste des autorisations et dans le dossier /ifs/isi-prod/apps/app-p1 via l’interface utilisateur Web ou l’interface de ligne de commande Isilon.

Utilisation de l’explorateur de fichiers Windows pour la zone système :
 

• Répertoire de base de la zone /ifs pour la zone d’accès System existe déjà.
• L’autorisation NTFS sur le /ifs Le répertoire par défaut permet à tout le monde de lire, d’écrire et d’exécuter.
• Cela peut être supprimé et seuls les administrateurs peuvent se voir attribuer des autorisations en exécutant les commandes ci-dessous : 
  • chmod -a Everyone allow  dir_gen_read,dir_gen_write,dir_gen_execute,delete_child /ifs
  • chmod +a user/group domain\\user/group allow dir_gen_all,object_inherit,container_inherit /ifs

• Nous pouvons masquer le partage ifs par défaut et attribuer uniquement les administrateurs de domaine requis à la liste des autorisations de partage.

En utilisant la page "Run as Root" Autorisation

de partage SMB Les sections ci-dessus fonctionnent bien si nous configurons un nouveau PowerScale : Isilon, mais si nous disposons déjà d’un PowerScale existant : Dans Isilon, si les administrateurs n’ont pas le contrôle de l’arborescence de répertoires, la seule façon de modifier les autorisations est d’utiliser la CLI, en se connectant en tant qu’utilisateur root ou en attribuant l’autorisation de partage « Exécuter en tant que racine ».

Il existe une option dans PowerScale : Partages SMB Isilon pour attribuer un "run-as-root" , lorsque cette autorisation est attribuée à un utilisateur ou à un groupe, cette entité sera mappée avec l’utilisateur root d’Isilon, ce qui donnera à cet utilisateur des privilèges root.

Nous allons considérer le même exemple pour créer un partage de données avec les exigences ci-dessous : 

• Partage à provisionner : app-p1 (/ifs/isi-prod/apps/app-p1)
• Accès au groupe : xyz-ex\fe-apps 
• Admin- xyz-ex.com\adm_john91
  • Créer le partage via l’interface utilisateur Web Isilon et attribuer l’administrateur xyz-ex\adm_john91 Lla run-as-root et sélectionnez l’icône "Create SMB share directory if it does not exist".
  • Le partage créé disposera désormais des privilèges root pour le compte administrateur.
  • L’administrateur peut désormais mapper le partage via l’Explorateur de fichiers Windows et attribuer le groupe de domaine xyz-ex.com les autorisations requises.
  • Nous pouvons également attribuer le groupe xyz-ex.com\fe-apps Lla run-as-root Mais ce n’est pas recommandé, car le groupe disposera des privilèges racine pour le répertoire partagé et tous ses sous-répertoires.

Utilisation de l’utilitaire de gestion de

l’ordinateur WindowsUn partage peut être créé et géré via la console MMC de gestion de l’ordinateur.

Si un administrateur doit gérer des partages SMB via Computer Management MMC, cet utilisateur doit être membre du groupe Administrateur local de la zone d’accès.
Nous devons suivre les étapes ci-dessous pour ajouter l’utilisateur ou le groupe d’administrateurs de domaine au groupe d’administrateurs locaux.

• Ouvrez l’interface utilisateur Web Isilon, cliquez sur Access -> Membership & Roles.
• Sélectionnez la zone d’accès dans la liste Current access zone.
• Cliquez sur les groupes et sélectionnez LOCAL :System pour les fournisseurs. 
• Cliquez sur View/Edit pour le groupe Administrators, Edit group -> Add Members.

Nous pouvons maintenant nous connecter avec les informations d’identification de l’utilisateur administrateur via la console MMC de gestion de l’ordinateur.

• Connectez-vous à un système à l’aide d’un compte qui a été ajouté au groupe Administrateurs local à l’étape précédente.
• Recherchez et ouvrez Gestion de l’ordinateur dans la barre de recherche Windows.
• Cliquez sur Action -> Connecter à un autre ordinateur
• Développez les dossiers partagés.
• Cliquez avec le bouton droit de la souris sur les dossiers partagés, puis cliquez sur Nouveau partage.
• Passez par l’assistant de création de partage pour créer un nouveau partage.

Nous pouvons également gérer le partage et les autorisations NTFS des partages déjà existants via la même console.

Considérations générales relatives à l’attribution d’autorisations de partage 

• Il est généralement recommandé d’attribuer des autorisations de groupe au niveau du partage et de NTFS, et de contrôler l’accès des utilisateurs en modifiant les appartenances aux groupes.
• Par exemple - 
• Supposons que nous ayons deux workflows d’application sur le cluster qui se trouvent dans leurs propres zones d’accès : App1 et App2.
• Répertoire de base de zone de l’App1 : /ifs/isi-prod/app1
• Répertoire de base de zone de l’App2 : /ifs/isi-prod/app2
• Partage admin pour App1 : app1$
• Partage admin pour App2 : app2$
• Nous pouvons créer des groupes de domaines tels que app1-rw, app1-ro, app2-rw, app2-ro représentant des groupes en lecture-écriture et en lecture seule.
• L’administrateur peut mapper les partages app1$, app2$ et ajoutez les groupes ci-dessus aux autorisations NTFS de telle sorte que le app1-rw/app2-rw groupes dispose d’un contrôle total ou d’autorisations de lecture-écriture et app1-ro/app2-ro Dispose d’autorisations en lecture seule. 
• Ajoutez également ces groupes aux autorisations de partage de telle sorte que app1-rw/app2-rw dispose d’un contrôle total ou d’autorisations de modification et app1-ro/app2-ro Dispose d’autorisations en lecture seule.
• L’administrateur peut désormais ajouter les utilisateurs requis à ces groupes de domaines en fonction des niveaux d’accès requis.

• Remarque : Cette méthode est efficace si des partages sont accessibles à un ensemble d’utilisateurs ou d’équipes. Cela ne sera d’aucune utilité pour la gestion des partages individuels. Autorisations de niveau de partage 

• Nous avons vu dans la section précédente qu’il s’agit toujours de l’accès le plus restrictif donné à l’utilisateur en combinant les autorisations de niveau de partage et NTFS.
• Compte tenu de cela, nous pouvons définir les autorisations de partage sur Tout le monde - Contrôle total et gérer les autorisations uniquement au niveau NTFS. Bien qu’il s’agisse d’une méthode plus facile pour gérer les autorisations, elle n’est pas recommandée pour les données sensibles car elle ignore le deuxième facteur d’authentification au niveau du partage.