Isilon : Gestione delle autorizzazioni di condivisione SMB Isilon.

Esistono diversi metodi per creare e gestire un PowerScale: Condivisione e autorizzazioni SMB Isilon.

È necessario comprendere prima le nozioni di base del funzionamento dell'accesso di un utente o di un gruppo SMB in un ambiente Windows.
Esistono 2 tipi di autorizzazioni quando si gestisce una condivisione SMB: 

• Autorizzazione a livello di condivisione.
• NTFS o autorizzazione a livello di cartella.

Le seguenti condizioni devono essere soddisfatte affinché l'utente possa accedere alla condivisione:

• L'utente che tenta di accedere alla condivisione deve far parte degli ACL a livello di NTFS e deve anche essere membro dell'elenco delle autorizzazioni di condivisione.
• L'utente può essere una voce diretta negli ACL e nella share oppure può essere membro di un gruppo presente negli ACL e nella share.
• L'accesso all'utente viene deciso combinando le autorizzazioni NTFS e di condivisione. È sempre l'autorizzazione più restrittiva che viene applicata all'utente.

Si consideri un esempio in cui un utente, John, che è anche membro del gruppo di dominio: app_team sta tentando di accedere a una condivisione SMB.
La tabella seguente elenca alcuni degli scenari più comuni per decidere l'accesso alla share: 

Le autorizzazioni di condivisione vengono considerate per prime per l'accesso. 
Gli esempi precedenti mostrano che in ogni caso l'accesso più restrittivo viene applicato combinando le autorizzazioni a livello di condivisione e NTFS.
Tuttavia, esiste un'eccezione, ovvero quando applichiamo l'autorizzazione "Run as Root" a livello di condivisione a qualsiasi utente o gruppo. Questa impostazione converte fondamentalmente l'utente o il gruppo nell'utente root di Isilon, assegnando quindi privilegi root all'utente o al gruppo.

Esamineremo ora i diversi modi di gestire le condivisioni SMB su Isilon.

Utilizzo di Esplora file di Windows per zone di accesso definite dall'utente:
Questa sezione descrive come gestire le autorizzazioni e le condivisioni SMB tramite Esplora file di Windows.
Il primo passaggio nella gestione delle condivisioni SMB consiste nella creazione di una condivisione amministratore nella directory di base della zona di accesso.

*SI TRATTA DI SUGGERIMENTI DI PROGETTAZIONE CHE DEVONO ESSERE PRESI IN CONSIDERAZIONE DAL CLIENTE, CHE NON DEVONO ESSERE IMPLEMENTATI DA UN TSE*

           È possibile creare la directory di base della zona in uno dei seguenti modi:  

1. Mappare la condivisione /ifs predefinita con le credenziali amministratore e creare la directory di base della zona richiesta per la zona di accesso.
   • Ad es.
   • se abc-ex.com\\john è l'amministratore del dominio ed è necessario creare una HR della zona di accesso con la directory di base della zona /ifs/isi_prod/HR quindi 
   • Mappatura dell'impostazione predefinita /ifs condividere tramite un IP nella zona di accesso al sistema utilizzando abc-ex.com\\john 's .
   • Creare il file /ifs/isi_prod/HR .
   • L'amministratore di dominio sarà ora il proprietario del file /ifs/isi_prod/HR e avrà il controllo completo per modificare o assegnare nuove autorizzazioni ad altri utenti o gruppi.
2.  Se si crea la directory di base della zona utilizzando OneFS WebUI o CLI, l'utente di accesso ottiene le autorizzazioni sulla struttura di directory. In genere, gli amministratori utilizzano l'utente root per accedere e quindi root otterrà le autorizzazioni NTFS.
   • Tuttavia, se RBAC è configurato con gli amministratori che fanno parte dei ruoli SecurityAdmin e SystemAdmin, l'utente amministratore può accedere all'interfaccia utente web con le proprie credenziali di dominio e utilizzare l'opzione predefinita di "Create zone base directory if it does not exist" nella finestra di creazione della zona di accesso o creare la struttura di directory da File System -> File System Explorer.
   • Se si utilizza la CLI, eseguire il comando mkdir per creare la struttura di directory o --create-path quando si esegue il comando di creazione della zona di accesso.
   • Nota: Se si utilizza questo metodo per creare la directory, verranno ottenute le autorizzazioni POSIX. Sarà necessario ereditare l'utente amministratore o il gruppo nelle sottodirectory eseguendo il comando - chmod +a user/group domain\\user/group allow object_inherit,conatiner_inherit <zone-base-directory-path>

•  Una volta creata la directory di base della zona, creare una condivisione di amministrazione nascosta per la stessa tramite OneFS WebUI o tramite la CLI

• Condivisione amministratore: app$
• Condivisione da sottoporre a provisioning: app-p1 (/ifs/isi-prod/apps/app-p1)
• Accesso al gruppo - xyz-ex\fe-apps
• Zona di accesso: Apps 
• Directory di base - /ifs/isi-prod/apps
• Admin - xyz-ex.com\adm_john91
  • Mappa il app$ condividere tramite l'account amministratore adm_john91 e un nome di zona IP o SC nella zona di accesso alle app.
  • Creare la cartella di condivisione /ifs/isi-prod/apps/app-p1. 
  • Fare clic con il pulsante destro del mouse sulla cartella app-p1: Proprietà--> Sicurezza --> Modifica --> Aggiunge fe-apps con l'accesso richiesto all'elenco.
• Ora è possibile creare la condivisione app-p1 a xyz-ex.com\fe-apps Nell'elenco Permissions e nella cartella /ifs/isi-prod/apps/app-p1 tramite Isilon WebUI o CLI.

Utilizzo di Esplora file di Windows per l'area System -
 

• Directory di base della zona /ifs per la zona di accesso Sistema già esistente.
• L'autorizzazione NTFS su /ifs Per impostazione predefinita, tutti gli utenti possono leggere, scrivere ed eseguire.
• Questa operazione può essere eliminata e solo gli amministratori possono disporre delle autorizzazioni eseguendo i comandi riportati di seguito: 
  • chmod -a Everyone allow  dir_gen_read,dir_gen_write,dir_gen_execute,delete_child /ifs
  • chmod +a user/group domain\\user/group allow dir_gen_all,object_inherit,container_inherit /ifs

• È possibile nascondere la condivisione ifs predefinita e assegnare solo gli amministratori di dominio richiesti all'elenco delle autorizzazioni di condivisione.

Utilizzando il comando "Run as Root" Autorizzazione

di condivisione SMB Queste sezioni funzionano correttamente se si sta configurando un nuovo PowerScale: Isilon cluster, ma se disponiamo già di un PowerScale: Isilon, dove gli amministratori non hanno il controllo sulla struttura ad albero delle directory, l'unico modo rimasto per modificare le autorizzazioni è tramite CLI effettuando l'accesso come root o assegnando l'autorizzazione di condivisione Run-as-Root.

In PowerScale è disponibile un'opzione: Condivisioni SMB Isilon per l'assegnazione di un "run-as-root" autorizzazione, quando questa autorizzazione viene assegnata a un utente o a un gruppo, l'entità verrà mappata con l'utente root di Isilon che concede a tale utente i privilegi root.

Considereremo lo stesso esempio per creare una condivisione dati con i seguenti requisiti: 

• Condivisione da sottoporre a provisioning: app-p1 (/ifs/isi-prod/apps/app-p1)
• Accesso al gruppo - xyz-ex\fe-apps 
• Admin- xyz-ex.com\adm_john91
  • Creare la condivisione tramite Isilon WebUI e assegnare l'amministratore xyz-ex\adm_john91 Le run-as-root e selezionare l'opzione "Create SMB share directory if it does not exist".
  • La share creata avrà ora privilegi root per l'account amministratore.
  • L'amministratore può ora mappare la condivisione tramite Esplora file di Windows e assegnare il gruppo di dominio xyz-ex.com le autorizzazioni richieste.
  • Possiamo anche assegnare il gruppo xyz-ex.com\fe-apps Le run-as-root ma non è consigliata in quanto il gruppo avrà privilegi root anche per la directory condivisa e tutte le relative sottodirectory.

Utilizzo di Gestione

computer WindowsUna share può essere creata e gestita tramite Gestione computer MMC.

Se un amministratore deve gestire le condivisioni SMB tramite Gestione computer MMC, tale utente deve essere membro del gruppo di amministratori locale della zona di accesso.
È necessario seguire la procedura riportata di seguito per aggiungere l'utente o il gruppo amministratore di dominio al gruppo Administrators locale.

• Aprire l'interfaccia utente web di Isilon e cliccare su Access -> Membership & Roles.
• Selezionare la zona di accesso dall'elenco Current access Zone.
• Cliccare su Groups e selezionare LOCAL:System per i provider. 
• Cliccare su View/Edit per il gruppo Administrators, Edit group -> Add Members.

È ora possibile connettersi con le credenziali utente amministratore tramite la console MMC Gestione computer.

• Accedere a un sistema tramite un account aggiunto al gruppo Administrators locale nel passaggio precedente.
• Cercare e aprire Gestione computer dalla barra di ricerca di Windows.
• Cliccare su Action - Connect to another computer.>
• Espandere le cartelle condivise.
• Cliccare con il pulsante destro del mouse sulle cartelle condivise e scegliere Nuova condivisione.
• Seguire la procedura guidata di creazione della share per creare una nuova share.

È inoltre possibile gestire le autorizzazioni di condivisione e NTFS di condivisioni già esistenti tramite la stessa console.

Considerazioni generali sull'assegnazione delle autorizzazioni di condivisione 

• In genere è consigliabile assegnare autorizzazioni di gruppo a livello di condivisione e NTFS e controllare l'accesso degli utenti modificando le appartenenze ai gruppi.
• Ad es. 
• Consideriamo di avere 2 flussi di lavoro applicativi nel cluster che si trovano nelle proprie zone di accesso: App1 e App2.
• Directory di base della zona di App1 : /ifs/isi-prod/app1
• Directory di base di zona di App2 : /ifs/isi-prod/app2
• Condivisione amministratore per App1 : app1$
• Condivisione amministratore per App2 : app2$
• È possibile creare gruppi di dominio come app1-rw, app1-ro, app2-rw, app2-ro che rappresentano gruppi di lettura/scrittura e di sola lettura.
• L'amministratore può eseguire il mapping delle share app1$, app2$ e aggiungere i gruppi di cui sopra alle autorizzazioni NTFS in modo che il app1-rw/app2-rw dispone di autorizzazioni di controllo completo o di lettura-scrittura e app1-ro/app2-ro Dispone di autorizzazioni read-only. 
• Aggiungere anche questi gruppi alle autorizzazioni di condivisione in modo che app1-rw/app2-rw ha il pieno controllo o le autorizzazioni di modifica e app1-ro/app2-ro Dispone di autorizzazioni read-only.
• L'amministratore può ora aggiungere gli utenti richiesti a questi gruppi di dominio a seconda dei livelli di accesso richiesti.

• Nota: Questo metodo è efficace se le condivisioni sono accessibili da un set di utenti o team. Non sarà utile per la gestione individuale delle azioni. Autorizzazioni a livello di condivisione 

• Nella sezione precedente abbiamo visto che è sempre l'accesso più restrittivo concesso all'utente combinando le autorizzazioni di condivisione e di livello NTFS.
• Considerando ciò, è possibile impostare le autorizzazioni di condivisione su Everyone - Controllo completo e gestire le autorizzazioni solo a livello NTFS. Sebbene questo sia un metodo più semplice per gestire le autorizzazioni, non è consigliato per i dati sensibili in quanto ignora il secondo fattore di autenticazione a livello di condivisione.