Isilon: Gerenciando permissões de compartilhamento SMB do Isilon.

Existem diferentes métodos de criação e gerenciamento de um PowerScale: Compartilhamento e permissões do Isilon SMB.

Primeiro, precisamos entender os conceitos básicos de como um acesso de usuário ou grupo SMB funciona em um ambiente Windows.
Há dois tipos de permissão ao lidar com um compartilhamento SMB - 

• Permissão de nível de compartilhamento.
• NTFS ou permissão em nível de pasta.

As condições abaixo devem ser atendidas para que o usuário acesse o compartilhamento -

• O usuário que tenta acessar o compartilhamento deve fazer parte das ACLs no nível do NTFS e também deve ser membro da lista de permissões de compartilhamento.
• O usuário pode ser uma entrada direta nas ACLs e no compartilhamento ou pode ser membro de um grupo que está nas ACLs e no compartilhamento.
• O acesso ao usuário é decidido combinando as permissões NTFS e de compartilhamento. É sempre a permissão mais restritiva aplicada ao usuário.

Vamos considerar um exemplo em que um usuário John que também é membro do grupo de domínio app_team está tentando acessar um compartilhamento SMB.
A tabela abaixo lista alguns dos cenários comuns para decidir o acesso ao compartilhamento - 

As permissões de compartilhamento são consideradas primeiro para acesso. 
Os exemplos acima mostram que, em todos os casos, o acesso mais restritivo é aplicado combinando as permissões de compartilhamento e nível NTFS.
No entanto, há uma exceção, que é quando aplicamos a permissão "Run as Root" no nível do compartilhamento a qualquer usuário ou grupo. Essa configuração basicamente converte o usuário ou grupo para o usuário root do Isilon, dando, portanto, a esse usuário ou grupo privilégios root.

Agora, analisaremos as diferentes maneiras de gerenciar os compartilhamentos SMB no Isilon.

Usando o Explorador de Arquivos do Windows para zonas de acesso definidas pelo usuário -
Esta seção fala sobre o gerenciamento de compartilhamentos e permissões SMB por meio do Explorador de Arquivos do Windows.
A primeira etapa do gerenciamento de compartilhamentos SMB é criar um compartilhamento de administrador no diretório base da zona de acesso.

*ESTAS SÃO DICAS DE DESIGN A SEREM CONSIDERADAS PELO CLIENTE, E NÃO IMPLEMENTADAS POR UM TSE*

           Podemos criar o diretório base da zona de qualquer uma das seguintes maneiras:  

1. Mapeie o compartilhamento /ifs padrão com as credenciais de administrador e crie o diretório base da zona necessário para a zona de acesso.
   • Para Ex -
   • Se a solicitação do abc-ex.com\\john é o administrador do domínio e precisamos criar uma zona de acesso RH com o diretório base da zona /ifs/isi_prod/HR e depois 
   • Mapeie o padrão /ifs compartilhar por meio de um IP na zona de acesso do sistema usando abc-ex.com\\john 's .
   • Crie o /ifs/isi_prod/HR diretório.
   • O administrador do domínio agora será o proprietário do /ifs/isi_prod/HR árvore de diretórios e terá controle total para modificar ou atribuir novas permissões a outros usuários ou grupos.
2.  Se estivermos criando o diretório base da zona usando a WebUI ou a CLI do OneFS, o usuário de log-in obterá as permissões na estrutura do diretório. Normalmente, os administradores usam o usuário root para fazer login e, portanto, o root obterá as permissões NTFS.
   • Mas se tivermos o RBAC configurado com os administradores fazendo parte das funções SecurityAdmin e SystemAdmin, o usuário administrador poderá fazer login na WebUI com suas credenciais de domínio e usar a opção padrão de "Create zone base directory if it does not exist" na janela de criação da zona de acesso ou crie a estrutura de diretórios em File System -> File System Explorer.
   • Se estiver usando a CLI, execute o comando mkdir para criar a estrutura de diretórios ou use --create-path ao executar o comando de criação da zona de acesso.
   • Nota: Se estivermos usando esse método para criar o diretório, ele obterá as permissões POSIX. Precisaremos herdar o usuário ou grupo administrador para os subdiretórios executando o comando - chmod +a user/group domain\\user/group allow object_inherit,conatiner_inherit <zone-base-directory-path>

•  Depois que o diretório base da zona for criado, crie um compartilhamento de administrador oculto para o mesmo por meio da OneFS WebUI ou da CLI

• Compartilhamento de administrador — app$
• Compartilhamento a ser provisionado - app-p1 (/ifs/isi-prod/apps/app-p1)
• Acesso ao grupo — xyz-ex\fe-apps
• Zona de acesso - Apps 
• Diretório base - /ifs/isi-prod/apps
• Admin - xyz-ex.com\adm_john91
  • Mapeie o app$ compartilhar por meio da conta de administrador do adm_john91 e um nome de zona IP ou SC na zona de acesso Aplicativos.
  • Criar a pasta de compartilhamento /ifs/isi-prod/apps/app-p1. 
  • Clique com o botão direito do mouse na pasta app-p1: Propriedades--> Segurança --> Editar --> Adicione fe-apps com o acesso necessário à lista.
• Agora podemos criar o compartilhamento app-p1 por xyz-ex.com\fe-apps na lista de permissões e na pasta /ifs/isi-prod/apps/app-p1 por meio da WebUI ou da CLI do Isilon.

Usando o Explorador de Arquivos do Windows para a zona Sistema -
 

• O diretório base da zona /ifs para o sistema, a zona de acesso já existe.
• A permissão NTFS no /ifs Por padrão, o diretório faz com que todos leiam, gravem e executem.
• Isso pode ser excluído e somente os administradores podem receber permissões executando os comandos abaixo: 
  • chmod -a Everyone allow  dir_gen_read,dir_gen_write,dir_gen_execute,delete_child /ifs
  • chmod +a user/group domain\\user/group allow dir_gen_all,object_inherit,container_inherit /ifs

• Podemos ocultar o compartilhamento ifs padrão e atribuir apenas os administradores de domínio necessários à lista de permissões de compartilhamento.

Usando o comando "Run as Root" Permissão

de compartilhamento SMB As seções acima funcionarão bem se estivermos configurando um novo PowerScale: Cluster do Isilon, mas se já tivermos um PowerScale existente: Isilon, em que os administradores não têm controle sobre a árvore de diretórios, a única maneira de modificar as permissões seria por meio da CLI, fazendo login como root ou atribuindo a permissão de compartilhamento Run-as-Root.

Há uma opção no PowerScale: Compartilhamentos SMB do Isilon a serem atribuídos "run-as-root" , quando essa permissão é atribuída a um usuário ou grupo, essa entidade será mapeada com o usuário root do Isilon dando a esse usuário privilégios root.

Consideraremos o mesmo exemplo para criar um compartilhamento de dados com os requisitos abaixo: 

• Compartilhamento a ser provisionado - app-p1 (/ifs/isi-prod/apps/app-p1)
• Acesso ao grupo — xyz-ex\fe-apps 
• Admin- xyz-ex.com\adm_john91
  • Criar o compartilhamento por meio do Isilon WebUI e atribuir o administrador xyz-ex\adm_john91 O run-as-root e selecione a opção "Create SMB share directory if it does not exist".
  • O compartilhamento criado agora terá privilégios root para a conta de administrador.
  • Agora, o administrador pode mapear o compartilhamento pelo Explorador de Arquivos do Windows e atribuir o grupo de domínios xyz-ex.com As permissões necessárias.
  • Também podemos atribuir o grupo xyz-ex.com\fe-apps O run-as-root Mas isso não é recomendado, pois o grupo terá privilégios root para o diretório compartilhado e todos os seus subdiretórios também.

Usando o Gerenciamento do

computador WindowsUm compartilhamento pode ser criado e gerenciado por meio do MMC de Gerenciamento do Computador.

Se um administrador precisar gerenciar compartilhamentos SMB por meio do MMC de gerenciamento do computador, esse usuário deverá ser membro do grupo de administradores locais da zona de acesso.
Precisamos seguir as etapas abaixo para adicionar o usuário ou grupo administrador de domínio ao grupo Administradores local.

• Abra a IU Web do Isilon, clique em Access -> Membership & Roles.
• Selecione a zona de acesso na lista Current access zone.
• Clique em Groups e selecione LOCAL:System para os provedores. 
• Clique em View/Edit para o grupo Administrators, Edit group -> Add Members.

Agora podemos nos conectar com as credenciais do usuário administrador por meio do console MMC de Gerenciamento do Computador.

• Faça log-in em um sistema usando uma conta que foi adicionada ao grupo local de administradores na etapa anterior.
• Pesquise e abra Gerenciamento do computador na barra de pesquisa do Windows.
• Clique em Ação -> Conectar-se a outro computador
• Expanda as pastas compartilhadas.
• Clique com o botão direito do mouse em pastas compartilhadas e clique em Novo compartilhamento.
• Siga o assistente de criação de compartilhamento para criar um novo compartilhamento.

Também podemos gerenciar as permissões de compartilhamento e NTFS de compartilhamentos já existentes por meio do mesmo console.

Considerações gerais para atribuir permissões de compartilhamento 

• Geralmente, é uma boa prática atribuir permissões de grupo no nível de compartilhamento e NTFS e controlar o acesso dos usuários modificando as associações de grupo.
• Para Ex - 
• Vamos considerar que temos dois fluxos de trabalho de aplicativo no cluster que estão em suas próprias zonas de acesso, App1 e App2.
• Diretório base da zona do App1 : /ifs/isi-prod/app1
• Diretório base da zona do App2 : /ifs/isi-prod/app2
• Compartilhamento de administrador para App1 : app1$
• Compartilhamento de administrador para App2 : app2$
• Podemos criar grupos de domínio como app1-rw, app1-ro, app2-rw, app2-ro representando grupos de leitura-gravação e somente leitura.
• O administrador pode mapear os compartilhamentos app1$, app2$ e adicione os grupos acima às permissões NTFS de modo que o app1-rw/app2-rw Os grupos têm controle total ou permissões de leitura-gravação e app1-ro/app2-ro Tem permissões somente leitura. 
• Adicione também esses grupos às permissões de compartilhamento, de modo que app1-rw/app2-rw tem controle total ou alterar permissões e app1-ro/app2-ro Tem permissões somente leitura.
• Agora, o administrador pode adicionar os usuários necessários a esses grupos de domínio, dependendo dos níveis de acesso necessários.

• Nota: Esse método é eficaz se tivermos compartilhamentos sendo acessados por um conjunto de usuários ou equipes. Isso não será útil para o gerenciamento individual de compartilhamentos. As permissões no nível do compartilhamento 

• Vimos na seção anterior que é sempre o acesso mais restritivo dado ao usuário combinando as permissões de compartilhamento e nível NTFS.
• Considerando isso, podemos definir as permissões de compartilhamento como Everyone -Full Control e gerenciar as permissões somente no nível NTFS. Embora esse seja um método mais fácil de gerenciar permissões, ele não é recomendado para dados confidenciais, pois ignora o segundo fator de autenticação no nível do compartilhamento.