Isilon: Isilon SMB paylaşım izinlerini yönetme.

PowerScale oluşturmanın ve yönetmenin farklı yöntemleri vardır: Isilon SMB paylaşımı ve izinleri.

Öncelikle bir SMB kullanıcı veya grup erişiminin Windows ortamında nasıl çalıştığına ilişkin temel bilgileri anlamamız gerekir.
SMB paylaşımıyla ilgili işlemlerin 2 tip izni vardır: 

• Paylaşım düzeyi izni.
• NTFS veya klasör düzeyinde izin.

Kullanıcının paylaşıma erişebilmesi için aşağıdaki koşulların karşılanması gerekir:

• Paylaşıma erişmeye çalışan kullanıcı, NTFS düzeyindeki ACL'lerin bir parçası olmalı ve paylaşım izinleri listesinin bir üyesi olmalıdır.
• Kullanıcı, ACL'lere ve paylaşıma doğrudan giriş yapabilir veya ACL'lerde ve paylaşımda yer alan bir grubun üyesi olabilir.
• Kullanıcıya erişim, NTFS ve paylaşım izinleri birleştirilerek belirlenir. Bu, her zaman kullanıcıya uygulanan en kısıtlayıcı izindir.

Aynı zamanda etki alanı grubunun üyesi olan John adlı kullanıcının app_team bir SMB paylaşımına erişmeye çalışıyor.
Aşağıdaki tabloda, paylaşım erişimine karar vermeyle ilgili yaygın senaryolardan bazıları listelenmiştir: 

Access için ilk olarak paylaşım izinleri dikkate alınır. 
Yukarıdaki örnekler, her durumda en kısıtlayıcı erişimin paylaşım ve NTFS düzeyi izinlerini birleştirerek uygulandığını gösterir.
Ancak bir istisna vardır, o da paylaşım düzeyinde "Kök Olarak Çalıştır" iznini herhangi bir kullanıcı veya gruba uyguladığımız zamandır. Bu ayar temel olarak kullanıcıyı veya grubu Isilon'un kök kullanıcısına çevirerek söz konusu kullanıcıya veya gruba kök ayrıcalıkları verir.

Şimdi Isilon'daki SMB hisselerini yönetmenin farklı yollarına bakacağız.

Kullanıcı tanımlı erişim bölgeleri için Windows Dosya Gezgini'ni
kullanmaBu bölümde, Windows Dosya Gezgini aracılığıyla SMB paylaşımlarını ve izinlerini yönetme hakkında açıklanmaktadır.
SMB paylaşımlarını yönetmenin ilk adımı, erişim bölgesinin bölge temel dizininde bir yönetici paylaşımı oluşturmaktır.

*BUNLAR, MÜŞTERININ DIKKATE ALMASI GEREKEN TASARIM IPUÇLARIDIR, TSE TARAFINDAN UYGULANMAMALIDIR*

           Bölge temel dizinini aşağıdaki yollardan biriyle oluşturabiliriz:  

1. Varsayılan /ifs paylaşımını yönetici kimlik bilgileriyle eşleyin ve erişim bölgesi için gereken bölge temel dizinini oluşturun.
   • Ex için -
   • Eğer abc-ex.com\\john etki alanı yöneticisidir ve bölge temel diziniyle bir erişim bölgesi HR oluşturmamız gerekir /ifs/isi_prod/HR Ardından 
   • Varsayılanı eşle /ifs kullanarak sistem erişim bölgesinde bir IP üzerinden paylaşın abc-ex.com\\john 's Kimlik bilgi -leri.
   • Oluşturun /ifs/isi_prod/HR dizini.
   • Etki alanı yöneticisi artık /ifs/isi_prod/HR dizin ağacı ve diğer kullanıcılara veya gruplara yeni izinleri değiştirmek veya atamak için tam kontrole sahip olacaktır.
2.  OneFS WebUI veya CLI kullanarak bölge temel dizinini oluşturuyorsak oturum açan kullanıcı, dizin yapısında izinlere sahip olur. Genellikle, yöneticiler oturum açmak için kök kullanıcıyı kullanır ve bu nedenle kök NTFS izinlerini alır.
   • Ancak, yöneticilerin SecurityAdmin ve SystemAdmin rollerinin bir parçası olduğu şekilde yapılandırılmış RBAC'ye sahipsek, yönetici kullanıcı, etki alanı kimlik bilgileriyle WebUI'de oturum açabilir ve varsayılan seçeneği kullanabilir "Create zone base directory if it does not exist" tıklayın veya Dosya Sistemi> - Dosya Sistemi Gezgini'nden dizin yapısını oluşturun.
   • CLI kullanıyorsanız dizin yapısını oluşturmak için mkdir komutunu çalıştırın veya erişim bölgesi oluşturma komutunu çalıştırırken --create-path komutunu kullanın.
   • Not: Dizini oluşturmak için bu yöntemi kullanıyorsak POSIX izinlerini alır. Komutu çalıştırarak yönetici kullanıcıyı veya grubu alt dizinlere devralmamız gerekir - chmod +a user/group domain\\user/group allow object_inherit,conatiner_inherit <zone-base-directory-path>

•  Bölge temel dizini oluşturulduktan sonra, OneFS web kullanıcı arayüzü veya CLI aracılığıyla aynı paylaşım için gizli bir yönetici paylaşımı oluşturun

• Yönetici paylaşımı - app$
• Sağlanacak paylaşım - app-p1 (/ifs/isi-prod/apps/app-p1)
• Grup Erişimi - xyz-ex\fe-apps
• Erişim bölgesi - Apps 
• Base directory - /ifs/isi-prod/apps
• Admin - xyz-ex.com\adm_john91
  • Eşleme app$ adm_john91 yönetici hesabı ve Uygulamalar erişim bölgesindeki bir IP veya SC bölge adı aracılığıyla paylaşın.
  • Paylaşım klasörü oluşturma /ifs/isi-prod/apps/app-p1. 
  • Klasöre sağ tıklayın app-p1: Özellikler--> Güvenlik --> Düzenle --> Listeye gerekli erişime sahip fe-app'leri ekleyin.
• Artık paylaşımı oluşturabiliriz app-p1 - xyz-ex.com\fe-apps İzinler listesinde ve klasörde /ifs/isi-prod/apps/app-p1 Isilon WebUI veya CLI aracılığıyla.

Sistem bölgesi için Windows Dosya Gezgini'ni kullanma -
 

• Bölge temel dizini /ifs çünkü Sistem erişim bölgesi zaten var.
• NTFS izni /ifs Dizinde varsayılan olarak herkes okur, yazar ve yürütür.
• Bu silinebilir ve aşağıdaki komutlar çalıştırılarak yalnızca yöneticilere izinler atanabilir: 
  • chmod -a Everyone allow  dir_gen_read,dir_gen_write,dir_gen_execute,delete_child /ifs
  • chmod +a user/group domain\\user/group allow dir_gen_all,object_inherit,container_inherit /ifs

• Varsayılan ifs paylaşımını gizleyebilir ve paylaşım izinleri listesine yalnızca gerekli etki alanı yöneticilerini atayabiliriz.

İlgili "Run as Root" SMB paylaşım izni

Yeni bir PowerScale yapılandırıyorsak yukarıdaki bölümler düzgün çalışır: Isilon kümesi, ancak zaten mevcut bir PowerScale'imiz varsa: Yöneticilerin dizin ağacı üzerinde denetime sahip olmadığı durumlarda, izinleri değiştirmenin tek yolu kök olarak oturum açarak veya Kök Olarak Çalıştır paylaşım izni atayarak CLI kullanmaktır.

PowerScale içinde bir seçenek bulunur: Bir atamak için Isilon SMB paylaşımları "run-as-root" izni, bu izin bir kullanıcıya veya gruba atandığında, bu varlık Isilon'un kök kullanıcısı ile eşlenir ve bu kullanıcıya kök ayrıcalıkları verilir.

Aşağıdaki gereksinimlere sahip bir veri paylaşımı oluşturmak için aynı örneği ele alacağız - 

• Sağlanacak paylaşım - app-p1 (/ifs/isi-prod/apps/app-p1)
• Grup Erişimi - xyz-ex\fe-apps 
• Yönetici- xyz-ex.com\adm_john91
  • Isilon WebUI aracılığıyla paylaşımı oluşturma ve yöneticiyi atama xyz-ex\adm_john91 bu run-as-root iznini seçin ve "Create SMB share directory if it does not exist".
  • Oluşturulan paylaşım artık yönetici hesabı için kök ayrıcalıklara sahip olacaktır.
  • Yönetici artık paylaşımı Windows Dosya Gezgini aracılığıyla eşleyebilir ve etki alanı grubunu atayabilir xyz-ex.com Gerekli izinler.
  • Ayrıca grubu da atayabiliriz xyz-ex.com\fe-apps bu run-as-root İzin ancak grup, paylaşılan dizin ve tüm alt dizinleri için kök ayrıcalıklarına sahip olacağından bu önerilmez.

Windows Bilgisayar Yönetimini

KullanmaPaylaşım, Bilgisayar Yönetimi MMC si aracılığıyla oluşturulabilir ve yönetilebilir.

Bir yöneticinin SMB paylaşımlarını Bilgisayar Yönetimi MMC si aracılığıyla yönetmesi gerekiyorsa bu kullanıcı, erişim bölgesi yerel Yönetici grubunun bir üyesi olmalıdır.
Etki alanı yöneticisi kullanıcısını veya grubunu yerel Administrators grubuna eklemek için aşağıdaki adımları izlememiz gerekir.

• Isilon WebUI'ı açın, Access -> Membership & Roles ögesine tıklayın.
• Current access Zone listesinden erişim bölgesini seçin.
• Gruplara tıklayın ve sağlayıcılar için LOCAL:System öğesini seçin. 
• Yöneticiler grubu için Görüntüle/Düzenle'ye tıklayın, Grubu düzenle -> Üye Ekle'ye tıklayın.

Artık Bilgisayar Yönetimi MMC konsolu aracılığıyla yönetici kullanıcı kimlik bilgileriyle bağlanabiliriz.

• Önceki adımda yerel Administrators grubuna eklenmiş bir hesap aracılığıyla sistemde oturum açın.
• Windows arama çubuğundan Bilgisayar Yönetimi'ni arayın ve açın.
• Eyleme tıklayın -> Başka bir bilgisayara bağlanın
• Paylaşılan klasörleri genişletin.
• Paylaşılan klasörlere sağ tıklayın ve Yeni Paylaş'a tıklayın.
• Yeni bir paylaşım oluşturmak için paylaşım oluşturma sihirbazını kullanın.

Mevcut paylaşımların paylaşım ve NTFS izinlerini de aynı konsol üzerinden yönetebiliriz.

Paylaşım izinleri atamayla ilgili Genel Hususlar 

• Paylaşım ve NTFS düzeyinde grup izinleri atamak ve grup üyeliklerini değiştirerek kullanıcıların erişimini denetlemek genellikle iyi bir uygulamadır.
• Ex için - 
• Kümede kendi erişim bölgeleri olan App1 ve App2 olmak üzere 2 uygulama iş akışımız olduğunu varsayalım.
• App1'in Bölge Temel dizini: /ifs/isi-prod/app1
• App2'nin Bölge Temel dizini: /ifs/isi-prod/app2
• Uygulama1 için yönetici paylaşımı: app1$
• App2 için yönetici paylaşımı: app2$
• Okuma-yazma ve salt okunur grupları temsil eden app1-rw, app1-ro, app2-rw, app2-ro gibi etki alanı grupları oluşturabiliriz.
• Yönetici paylaşımları eşleyebilir app1$, app2$ ve yukarıdaki grupları NTFS izinlerine ekleyin, öyle ki app1-rw/app2-rw Gruplar, tam denetim veya okuma-yazma izinlerine sahiptir ve app1-ro/app2-ro salt okunur izinlere sahiptir. 
• Ayrıca bu grupları paylaşım izinlerine şu şekilde ekleyin: app1-rw/app2-rw tam kontrol veya değişiklik izinlerine sahiptir ve app1-ro/app2-ro salt okunur izinlere sahiptir.
• Yönetici artık gerekli erişim düzeylerine bağlı olarak gerekli kullanıcıları bu etki alanı gruplarına ekleyebilir.

• Not: Bu yöntem, bir dizi kullanıcı veya ekip tarafından erişilen paylaşımlarımız varsa etkilidir. Bireysel paylaşım yönetimi için yararlı olmayacaktır. Paylaşım düzeyi izinleri 

• Paylaşım ve NTFS seviyesi izinlerini birleştirerek kullanıcıya verilen her zaman en kısıtlayıcı erişim olduğunu önceki bölümde görmüştük.
• Bunu göz önünde bulundurarak, paylaşım izinlerini Herkes -Tam Kontrol olarak ayarlayabilir ve izinleri yalnızca NTFS düzeyinde yönetebiliriz, ancak bu, izinleri yönetmek için daha kolay bir yöntem olsa da, paylaşım düzeyinde ikinci kimlik doğrulama faktörünü atladığı için hassas veriler için önerilmez.