Isilon: Zarządzanie uprawnieniami udziału SMB Isilon.

Istnieją różne metody tworzenia systemu PowerScale i zarządzania nim: Udział i uprawnienia Isilon SMB.

Najpierw musimy zrozumieć podstawy działania dostępu użytkownika lub grupy SMB w środowisku Windows.
Istnieją 2 rodzaje uprawnień w przypadku udostępniania SMB — 

• Uprawnienie na poziomie udostępniania.
• Uprawnienia NTFS lub na poziomie folderu.

Aby użytkownik mógł uzyskać dostęp do udziału, powinny być spełnione poniższe warunki —

• Użytkownik próbujący uzyskać dostęp do udziału powinien należeć do list ACL na poziomie NTFS, a także powinien być członkiem listy uprawnień udostępniania.
• Użytkownik może być bezpośrednim wpisem do list ACL i udziału lub może być członkiem grupy, która znajduje się na listach ACL i w udziale.
• O dostępie użytkownika decyduje połączenie uprawnień NTFS i udostępniania. Zawsze jest to najbardziej restrykcyjne uprawnienie, które jest stosowane do użytkownika.

Rozważmy przykład, w którym użytkownik Jan, który jest również członkiem grupy domen app_team próbuje uzyskać dostęp do udziału SMB.
W poniższej tabeli przedstawiono niektóre z typowych scenariuszy podejmowania decyzji o dostępie do udziałów: 

Uprawnienia do udostępniania są brane pod uwagę w pierwszej kolejności w przypadku programu Access. 
Powyższe przykłady pokazują, że w każdym przypadku najbardziej restrykcyjny dostęp jest stosowany przez połączenie uprawnień na poziomie udziału i NTFS.
Istnieje jednak jeden wyjątek, czyli sytuacja, w której stosujemy uprawnienie "Uruchom jako root" na poziomie udostępniania do dowolnego użytkownika lub grupy. To ustawienie zasadniczo tłumaczy użytkownika lub grupę na użytkownika root Isilon, nadając w ten sposób temu użytkownikowi lub grupie uprawnienia root.

Przyjrzymy się teraz różnym sposobom zarządzania udziałami SMB w Isilon.

Korzystanie z Eksploratora plików systemu Windows dla stref dostępu zdefiniowanych przez użytkownika —
W tej sekcji omówiono zarządzanie udziałami SMB i uprawnieniami za pośrednictwem Eksploratora plików systemu Windows.
Pierwszym krokiem w zarządzaniu udziałami SMB jest utworzenie udziału administratora w katalogu podstawowym strefy dostępu.

*SĄ TO WSKAZÓWKI PROJEKTOWE, KTÓRE KLIENT POWINIEN WZIĄĆ POD UWAGĘ, A NIE WDRAŻAĆ W RAMACH TSE*

           Katalog bazowy strefy można utworzyć w jeden z następujących sposobów:  

1. Zamapuj domyślny udział /ifs z poświadczeniami administratora i utwórz katalog podstawowy strefy wymagany dla strefy dostępu.
   • Dla Ex -
   • jeśli nie ustawiono abc-ex.com\\john jest administratorem domeny i musimy utworzyć strefę dostępu HR z katalogiem podstawowym strefy /ifs/isi_prod/HR następnie 
   • Mapuj wartość domyślną /ifs udostępniać za pośrednictwem adresu IP w strefie dostępu do systemu za pomocą abc-ex.com\\john 's .
   • Utwórz plik /ifs/isi_prod/HR .
   • Administrator domeny będzie teraz właścicielem /ifs/isi_prod/HR i będzie miał pełną kontrolę nad modyfikowaniem lub przypisywaniem nowych uprawnień innym użytkownikom lub grupom.
2.  Jeśli tworzony jest katalog podstawowy strefy przy użyciu OneFS, WebUI lub CLI, użytkownik logowania otrzymuje uprawnienia do struktury katalogów. Zazwyczaj administratorzy logują się za pomocą konta root, a zatem root otrzymuje uprawnienia NTFS.
   • Jeśli jednak skonfigurowano kontrolę dostępu opartą na rolach, w której administratorzy są częścią ról SecurityAdmin i SystemAdmin, administrator może zalogować się do WebUI przy użyciu poświadczeń domeny i użyć domyślnej opcji "Create zone base directory if it does not exist" w oknie tworzenia strefy dostępu lub utwórz strukturę katalogów z menu System plików -> Eksplorator systemu plików.
   • Jeśli korzystasz z interfejsu wiersza poleceń, uruchom polecenie mkdir, aby utworzyć strukturę katalogów, lub użyj polecenia --create-path podczas uruchamiania polecenia tworzenia strefy dostępu.
   • Uwaga: Jeśli użyjemy tej metody do utworzenia katalogu, otrzyma on uprawnienia POSIX. Będziemy musieli odziedziczyć użytkownika lub grupę administratora do podkatalogów, uruchamiając polecenie - chmod +a user/group domain\\user/group allow object_inherit,conatiner_inherit <zone-base-directory-path>

•  Po utworzeniu katalogu bazowego strefy utwórz dla niego ukryty udział administracyjny za pomocą OneFS WebUI lub CLI

• Udział administratora - app$
• Udział do aprowizacji — app-p1 (/ifs/isi-prod/apps/app-p1)
• Dostęp grupowy - xyz-ex\fe-apps
• Strefa dostępu - Apps 
• Katalog podstawowy - /ifs/isi-prod/apps
• Admin - xyz-ex.com\adm_john91
  • Zmapuj app$ udostępnij za pośrednictwem konta administratora adm_john91 i nazwy strefy adresu IP lub SC w strefie dostępu do aplikacji.
  • Utwórz folder udostępniania /ifs/isi-prod/apps/app-p1. 
  • Kliknij folder prawym przyciskiem myszy app-p1: Właściwości--> Bezpieczeństwo --> Edytuj --> Dodaj fe-apps z wymaganym dostępem do listy.
• Możemy teraz utworzyć udział app-p1 na xyz-ex.com\fe-apps na liście uprawnień i w folderze /ifs/isi-prod/apps/app-p1 za pośrednictwem interfejsu Isilon WebUI lub CLI.

Korzystanie z Eksploratora plików systemu Windows dla strefy System —
 

• Katalog podstawowy strefy /ifs dla strefy dostępu do systemu już istnieje.
• Uprawnienie NTFS na /ifs Domyślnie wszyscy odczytują, zapisują i wykonują.
• Można to usunąć i tylko administratorom można przypisać uprawnienia, uruchamiając poniższe polecenia: 
  • chmod -a Everyone allow  dir_gen_read,dir_gen_write,dir_gen_execute,delete_child /ifs
  • chmod +a user/group domain\\user/group allow dir_gen_all,object_inherit,container_inherit /ifs

• Możemy ukryć domyślny udział ifs i przypisać tylko wymaganych administratorów domeny do listy uprawnień udostępniania.

Korzystając z polecenia "Run as Root" Uprawnienie

udostępniania SMB Powyższe sekcje działają dobrze, jeśli konfigurujemy nowy PowerScale: Isilon, ale jeśli mamy już istniejący PowerScale: Isilon, w którym administratorzy nie mają kontroli nad drzewem katalogów, jedynym sposobem modyfikacji uprawnień jest użycie interfejsu wiersza poleceń, logując się jako root lub przypisując uprawnienie udziału Uruchom jako root.

W PowerScale dostępna jest opcja: Udziały SMB Isilon na potrzeby przypisania "run-as-root" gdy to uprawnienie zostanie przypisane do użytkownika lub grupy, ta encja zostanie zmapowana na użytkownika głównego Isilon, nadając temu użytkownikowi uprawnienia główne.

Rozważymy ten sam przykład, aby utworzyć udział danych z poniższymi wymaganiami: 

• Udział do aprowizacji — app-p1 (/ifs/isi-prod/apps/app-p1)
• Dostęp grupowy - xyz-ex\fe-apps 
• Admin- xyz-ex.com\adm_john91
  • Utwórz udział za pomocą Isilon WebUI i przypisz administratora xyz-ex\adm_john91 Tthe run-as-root i wybierz "Create SMB share directory if it does not exist".
  • Utworzony udział będzie teraz miał uprawnienia root dla konta administratora.
  • Administrator może teraz zmapować udział za pomocą Eksploratora plików systemu Windows i przypisać grupę domen xyz-ex.com wymagane uprawnienia.
  • Możemy również przypisać grupę xyz-ex.com\fe-apps Tthe run-as-root Nie jest to jednak zalecane, ponieważ grupa będzie miała uprawnienia root do katalogu udostępnionego i wszystkich jego podkatalogów.

Korzystanie z narzędzia Zarządzanie

komputerem w systemie WindowsUdział można utworzyć i zarządzać nim za pomocą programu MMC Zarządzanie komputerem.

Jeśli administrator musi zarządzać udziałami SMB za pośrednictwem programu MMC zarządzania komputerem, ten użytkownik powinien być członkiem lokalnej grupy administratorów strefy dostępu.
Aby dodać użytkownika lub grupę administratora domeny do lokalnej grupy Administratorzy, należy wykonać poniższe czynności.

• Otwórz interfejs Isilon WebUI i kliknij Dostęp -> Członkostwo i role.
• Wybierz strefę dostępu z listy Bieżąca strefa dostępu.
• Kliknij Grupy i wybierz LOCAL:System dla dostawców. 
• Kliknij Wyświetl/Edytuj dla grupy Administratorzy, Edytuj grupę -> Dodaj członków.

Teraz możemy połączyć się z poświadczeniami użytkownika admin za pośrednictwem konsoli programu MMC do zarządzania komputerem.

• Zaloguj się do systemu za pomocą konta, które zostało dodane do lokalnej grupy administratorów w poprzednim kroku.
• Wyszukaj i otwórz narzędzie Zarządzanie komputerem z paska wyszukiwania systemu Windows.
• Kliknij Akcja -> Połącz z innym komputerem
• Rozwiń foldery udostępnione.
• Kliknij prawym przyciskiem myszy foldery współdzielone i kliknij Nowy udział.
• Przejdź do kreatora tworzenia udziału , aby utworzyć nowy udział.

Za pomocą tej samej konsoli można również zarządzać uprawnieniami udziału i NTFS już istniejących udziałów.

Uwagi ogólne dotyczące przypisywania uprawnień udziału 

• Zazwyczaj dobrym rozwiązaniem jest przypisywanie uprawnień grupy na poziomie udostępniania i NTFS oraz kontrolowanie dostępu użytkowników przez modyfikowanie członkostwa w grupach.
• Dla Ex - 
• Załóżmy, że mamy 2 przepływy pracy aplikacji w klastrze, które znajdują się we własnych strefach dostępu: App1 i App2.
• Katalog podstawowy strefy App1 : /ifs/isi-prod/app1
• Katalog bazowy strefy App2 : /ifs/isi-prod/app2
• Udział administratora dla aplikacji 1: app1$
• Udział administratora dla aplikacji 2: app2$
• Możemy tworzyć grupy domen, takie jak app1-rw, app1-ro, app2-rw, app2-ro reprezentujące grupy tylko do odczytu i zapisu oraz tylko do odczytu.
• Administrator może mapować udziały app1$, app2$ i dodaj powyższe grupy do uprawnień NTFS, tak aby app1-rw/app2-rw Grupy mają pełną kontrolę lub uprawnienia do odczytu i zapisu oraz app1-ro/app2-ro Ma uprawnienia tylko do odczytu. 
• Dodaj również te grupy do uprawnień udostępniania, aby app1-rw/app2-rw ma pełną kontrolę nad uprawnieniami do zmiany i app1-ro/app2-ro Ma uprawnienia tylko do odczytu.
• Administrator może teraz dodać wymaganych użytkowników do tych grup domen w zależności od wymaganych poziomów dostępu.

• Uwaga: Ta metoda jest skuteczna, jeśli mamy dostęp do udziałów dla zestawu użytkowników lub zespołów. Nie będzie to pomocne w indywidualnym zarządzaniu akcjami. Uprawnienia na poziomie udziału 

• Jak widzieliśmy w poprzedniej sekcji, jest to zawsze najbardziej restrykcyjny dostęp przyznany użytkownikowi przez połączenie uprawnień na poziomie udziału i NTFS.
• Biorąc to pod uwagę, możemy ustawić uprawnienia udostępniania na Everyone -Full Control i zarządzać uprawnieniami tylko na poziomie NTFS, chociaż jest to łatwiejsza metoda zarządzania uprawnieniami, nie jest zalecana w przypadku danych wrażliwych, ponieważ pomija drugi składnik uwierzytelniania na poziomie udziału.