Isilon: Isilon SMB 공유 사용 권한 관리

PowerScale을 생성하고 관리하는 방법에는 여러 가지가 있습니다. Isilon SMB 공유 및 사용 권한

먼저 Windows 환경에서 SMB 사용자 또는 그룹 액세스가 작동하는 방법에 대한 기본 사항을 이해해야 합니다.
SMB 공유를 처리할 때는 두 가지 유형의 사용 권한이 있습니다. 

• 공유 레벨 권한입니다.
• NTFS 또는 폴더 수준 권한입니다.

사용자가 공유에 액세스하려면 아래 조건이 충족되어야 합니다.

• 공유에 액세스하려는 사용자는 NTFS 수준에서 ACL의 일부여야 하며 공유 권한 목록의 구성원이기도 해야 합니다.
• 사용자는 ACL 및 공유의 직접 항목이거나 ACL 및 공유에 있는 그룹의 구성원일 수 있습니다.
• 사용자에 대한 액세스는 NTFS와 공유 권한을 결합하여 결정됩니다. 항상 사용자에게 적용되는 가장 제한적인 권한입니다.

도메인 그룹의 구성원이기도 한 사용자 John이 app_team SMB 공유에 액세스하려고 시도 중입니다.
아래 표에는 공유 액세스를 결정하는 몇 가지 일반적인 시나리오가 나와 있습니다. 

공유 권한은 Access에서 먼저 고려됩니다. 
위의 예에서는 모든 경우에 공유 권한과 NTFS 수준 권한을 결합하여 가장 제한적인 액세스가 적용됨을 보여 줍니다.
그러나 한 가지 예외가 있습니다. 즉, 공유 수준의 "루트 권한으로 실행" 권한을 사용자 또는 그룹에 적용하는 경우입니다. 이 설정은 기본적으로 사용자 또는 그룹을 Isilon의 루트 사용자로 변환하여 해당 사용자 또는 그룹에 루트 권한을 부여합니다.

이제 Isilon에서 SMB 공유를 관리하는 다양한 방법을 살펴보겠습니다.

사용자 정의 액세스 존에 Windows 파일 탐색기 사용 -
이 섹션에서는 Windows 파일 탐색기를 통해 SMB 공유 및 사용 권한을 관리하는 방법에 대해 설명합니다.
SMB 공유를 관리하는 첫 번째 단계는 액세스 존의 존 기본 디렉토리에 관리자 공유를 생성하는 것입니다.

*이는 TSE에 의해 구현되지 않고 고객이 고려해야 할 설계 팁입니다.*

           존 기본 디렉토리는 다음 방법 중 하나로 생성할 수 있습니다.  

1. 기본 /ifs 공유를 관리자 자격 증명으로 매핑하고 액세스 존에 필요한 존 기본 디렉토리를 생성합니다.
   • 예: -
   • 만약 abc-ex.com\\john 도메인 관리자이며 존 기본 디렉토리를 사용하여 액세스 존 HR을 생성해야 합니다. /ifs/isi_prod/HR 그 후에 다음을 통해 게이트웨이 서비스를 중지했다가 재시작합니다. 
   • 기본값 매핑 /ifs 를 사용하여 시스템 액세스 존의 IP를 통해 공유 abc-ex.com\\john 's 자격 증명으로 로그인합니다.
   • 를 만듭니다. /ifs/isi_prod/HR 디렉토리 아래에 있는 것을 확인할 수 있습니다.
   • 이제 도메인 관리자가 소유자가 됩니다. /ifs/isi_prod/HR 디렉토리 트리를 생성하며 다른 사용자 또는 그룹에 대한 새 권한을 수정하거나 할당할 수 있는 모든 권한을 갖습니다.
2.  OneFS WebUI 또는 CLI를 사용하여 존 기본 디렉토리를 생성하는 경우 로그인 사용자가 디렉토리 구조에 대한 사용 권한을 갖게 됩니다. 일반적으로 관리자는 루트 사용자를 사용하여 로그인하므로 루트는 NTFS 권한을 갖게 됩니다.
   • 그러나 관리자가 SecurityAdmin 및 SystemAdmin 역할의 일부인 RBAC를 구성한 경우 관리자는 도메인 자격 증명을 사용하여 WebUI에 로그인하거나 기본 옵션을 사용할 수 있습니다. "Create zone base directory if it does not exist" 액세스 영역 생성 창에서 또는 File System -> File System Explorer에서 디렉토리 구조를 생성합니다.
   • CLI를 사용하는 경우 mkdir 명령을 실행하여 디렉토리 구조를 생성하거나 액세스 존 생성 명령을 실행할 때 --create-path를 사용합니다.
   • 참고: 이 방법을 사용하여 디렉토리를 생성하면 POSIX 권한을 얻습니다. 다음 명령을 실행하여 admin 사용자 또는 그룹을 하위 디렉토리로 상속해야 합니다. - chmod +a user/group domain\\user/group allow object_inherit,conatiner_inherit <zone-base-directory-path>

•  존 기본 디렉토리가 생성되면 OneFS WebUI 또는 CLI를 통해 동일한 디렉토리에 대한 숨겨진 관리자 공유를 생성합니다

• 관리자 공유 - app$
• 프로비저닝할 공유 - app-p1 (/ifs/isi-prod/apps/app-p1)
• 그룹 액세스 - xyz-ex\fe-apps
• 액세스 존 - Apps 
• 기본 디렉토리 - /ifs/isi-prod/apps
• Admin - xyz-ex.com\adm_john91
  • 매핑 app$ adm_john91 관리자 계정과 앱 액세스 영역의 IP 또는 SC 영역 이름을 통해 공유합니다.
  • 공유 폴더 생성 /ifs/isi-prod/apps/app-p1. 
  • 폴더를 마우스 오른쪽 버튼으로 클릭합니다. app-p1파일로 교체합니다. 속성--> 보안 --> 편집 --> 목록에 필요한 액세스 권한이 있는 fe-apps를 추가합니다.
• 이제 공유를 생성할 수 있습니다 app-p1 수정 값 xyz-ex.com\fe-apps 사용 권한 목록 및 폴더에서 /ifs/isi-prod/apps/app-p1 Isilon WebUI 또는 CLI를 통해 실행합니다.

System 존에 Windows 파일 탐색기 사용 -
 

• 존 기본 디렉토리 /ifs 시스템 액세스 존이 이미 존재하기 때문입니다.
• NTFS 권한 /ifs 디렉토리에는 기본적으로 모든 사람이 읽고, 쓰고, 실행할 수 있습니다.
• 삭제할 수 있으며 아래 명령을 실행하여 관리자에게만 권한을 할당할 수 있습니다. 
  • chmod -a Everyone allow  dir_gen_read,dir_gen_write,dir_gen_execute,delete_child /ifs
  • chmod +a user/group domain\\user/group allow dir_gen_all,object_inherit,container_inherit /ifs

• 기본 ifs 공유를 숨기고 필요한 도메인 관리자만 공유 권한 목록에 할당할 수 있습니다.

해결을 위해 "Run as Root" SMB 공유 사용 권한

위의 섹션은 새 PowerScale을 구성하는 경우에 적합합니다. Isilon 클러스터가 있지만 기존 PowerScale이 이미 있는 경우: Isilon에서 관리자가 디렉토리 트리를 제어할 수 없는 경우 사용 권한을 수정할 수 있는 유일한 방법은 CLI를 통해 루트로 로그인하거나 Run-as-Root 공유 사용 권한을 할당하는 것입니다.

PowerScale에는 다음과 같은 옵션이 있습니다. 할당할 Isilon SMB 공유 "run-as-root" 사용 권한 - 이 권한이 사용자 또는 그룹에 할당되면 해당 엔터티가 Isilon의 루트 사용자와 매핑되어 해당 사용자에게 루트 권한이 부여됩니다.

아래와 같은 요구 사항을 충족하여 데이터 공유를 생성하기 위해 동일한 예를 살펴보겠습니다. 

• 프로비저닝할 공유 - app-p1 (/ifs/isi-prod/apps/app-p1)
• 그룹 액세스 - xyz-ex\fe-apps 
• 관리자- xyz-ex.com\adm_john91
  • Isilon WebUI를 통해 공유를 생성하고 관리자 할당 xyz-ex\adm_john91 Tthe run-as-root 권한을 선택하고 "Create SMB share directory if it does not exist".
  • 생성된 공유는 이제 관리자 계정에 대한 루트 권한을 갖습니다.
  • 이제 관리자는 Windows 파일 탐색기를 통해 공유를 매핑하고 도메인 그룹을 할당할 수 있습니다 xyz-ex.com 필요한 권한입니다.
  • 그룹에 할당할 수도 있습니다. xyz-ex.com\fe-apps Tthe run-as-root 사용 권한이 있지만 그룹에 공유 디렉토리와 모든 하위 디렉토리에 대한 루트 권한도 있으므로 권장되지 않습니다.

Windows 컴퓨터 관리

사용컴퓨터 관리 MMC를 통해 공유를 만들고 관리할 수 있습니다.

관리자가 컴퓨터 관리 MMC를 통해 SMB 공유를 관리해야 하는 경우 해당 사용자는 액세스 존의 로컬 관리자 그룹의 구성원이어야 합니다.
도메인 관리자 사용자 또는 그룹을 로컬 관리자 그룹에 추가하려면 아래 단계를 따라야 합니다.

• Isilon WebUI를 열고 Access -> Membership & Roles를 클릭합니다.
• Current access zone 목록에서 액세스 존을 선택합니다.
• 그룹을 클릭하고 공급자에 대한 LOCAL:System을 선택합니다. 
• 관리자 그룹에 대해서는 View/Edit를 클릭하고 Edit group -> Add Members를 클릭합니다.

이제 Computer Management MMC 콘솔을 통해 admin 사용자 자격 증명으로 연결할 수 있습니다.

• 이전 단계에서 로컬 관리자 그룹에 추가한 계정을 통해 시스템에 로그인합니다.
• Windows 검색 창에서 Computer Management를 검색하여 엽니다.
• Action -> Connect to another computer를 클릭합니다.
• 공유 폴더를 확장합니다.
• 공유 폴더를 마우스 오른쪽 버튼으로 클릭하고 New Share를 클릭합니다.
• 공유 생성 마법사를 진행하여 새 공유를 생성합니다.

또한 동일한 콘솔을 통해 기존 공유의 공유 및 NTFS 권한을 관리할 수 있습니다.

공유 사용 권한 할당에 대한 일반적인 고려 사항 

• 일반적으로 공유 및 NTFS 수준에서 그룹 사용 권한을 할당하고 그룹 구성원 자격을 수정하여 사용자의 액세스를 제어하는 것이 좋습니다.
• 예: - 
• 클러스터에 2개의 애플리케이션 워크플로가 있고 각 액세스 존인 App1 및 App2가 있다고 가정해 보겠습니다.
• App1의 Zone Base 디렉토리 : /ifs/isi-prod/app1
• App2의 Zone Base 디렉토리 : /ifs/isi-prod/app2
• App1에 대한 관리자 공유: app1$
• App2에 대한 관리자 공유: app2$
• 읽기-쓰기 및 읽기 전용 그룹을 나타내는 app1-rw, app1-ro, app2-rw, app2-ro와 같은 도메인 그룹을 만들 수 있습니다.
• 관리자는 공유를 매핑할 수 있습니다. app1$, app2$ 위의 그룹을 NTFS 권한에 추가하여 app1-rw/app2-rw 그룹에 모든 권한 또는 읽기-쓰기 권한이 있고 app1-ro/app2-ro 읽기 전용 권한이 있습니다. 
• 또한 다음과 같이 이러한 그룹을 공유 권한에 추가합니다. app1-rw/app2-rw 모든 권한을 갖거나 권한을 변경합니다. app1-ro/app2-ro 읽기 전용 권한이 있습니다.
• 이제 관리자는 필요한 액세스 수준에 따라 이러한 도메인 그룹에 필요한 사용자를 추가할 수 있습니다.

• 참고: 이 방법은 사용자 또는 팀 집합이 액세스하는 공유가 있는 경우에 효과적입니다. 개별 공유 관리에는 도움이 되지 않습니다. 공유 수준 권한 

• 이전 섹션에서 살펴보았듯이 공유 권한과 NTFS 수준 권한을 결합하여 사용자에게 제공되는 액세스 권한은 항상 가장 제한적입니다.
• 이를 고려하여 공유 권한을 Everyone -Full Control로 설정하고 NTFS 수준에서만 사용 권한을 관리할 수 있지만, 이는 사용 권한을 관리하는 더 쉬운 방법이지만 공유 수준에서 두 번째 인증 단계를 건너뛰므로 중요한 데이터에는 권장되지 않습니다.