PowerScale OneFS : Configuration de SFTP et configuration de chroot

Résumé: Ce document explique comment autoriser l’accès au cluster PowerScale via le protocole SFTP (Secure File Transfer Protocol).

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Instructions

Ce document explique comment autoriser l’accès au cluster PowerScale via SFTP. Il y a certaines limites et considérations à garder à l’esprit lorsque vous commencez ce processus.

  • Les utilisateurs/groupes qui ont besoin d’un accès SFTP doivent disposer de ISI_PRIV_LOGIN_SSH privilège associé à leur utilisateur.
  • L’accès SSH et SFTP fonctionne uniquement dans la zone System.
  • Toutes les options de configuration ssh ne sont pas disponibles ; PowerScale prend en charge les instructions Match et Subsystem sur le isi ssh modify ensemble de commandes.

En dehors de ces facteurs, PowerScale fonctionne comme n’importe quel autre serveur OpenSSH FreeBSD. Vérifiez la version d’OpenSSH sur un cluster à l’aide de la commande ssh -V.

Pour obtenir des conseils sur la configuration des rôles et des privilèges, consultez les guides d’administration CLI ou Web correspondant à votre version, dans la section « Rôles et privilèges d’administrateur ».

Vérification de l’existence d’un utilisateur/groupe ISI_PRIV_LOGIN_SSH

Vérifiez que l’utilisateur en question dispose de ISI_PRIV_LOGIN_SSH. Vous trouverez ci-dessous un exemple avec l’utilisateur administrateur par défaut.

p930-1# isi auth mapping token admin | grep "LOGIN_SSH"
            ISI_PRIV_LOGIN_SSH

S’il n’y a aucune sortie, l’utilisateur doit être affecté à un rôle qui inclut ce privilège. Vous trouverez plus d’informations sur la procédure à suivre dans nos guides d’administration pour votre version concernée sous « Rôles et privilèges administratifs »

Accès SFTP de base pour les utilisateurs locaux

Après avoir vérifié les privilèges corrects, les utilisateurs doivent disposer d’un accès SFTP à certaines parties du système de fichiers en fonction de leur jeton de mappage d’utilisateur.

p930-1# sftp admin@localhost
(admin@localhost) Password:
Connected to localhost.
sftp> dir
sftp> cd ..
sftp> dir
admin  ftp

Accès SFTP Chroot de base

Pour limiter un utilisateur à un sous-ensemble spécifique du système de fichiers, utilisez la commande ChrootDirectory au sein d’une instruction Match. Ainsi, le client voit son chemin de connexion comme / et fait en sorte qu’ils ne puissent pas quitter ce sous-ensemble du système de fichiers. ChrootDirectory n’a cependant pas d’exigences strictes en matière d’autorisation de répertoire sur l’ensemble du chemin d’accès à l’objet ChrootDirectory que chaque répertoire du chemin d’accès dispose d’autorisations Posix de root:wheel drwxr-xr-x Pour plus d’informations à ce sujet, reportez-vous à la page man des responsables de maintenance OpenSSH.

Voici une instruction Match commune pour l’implémentation de ChrootDirectory. Les deux premières lignes sont requises pour ChrootDirectory sans fichiers justificatifs. Les deux lignes suivantes limitent la capacité d’un utilisateur à tirer parti de TCPForwarding des fonctionnalités X11Forwarding dans OpenSSH.

Match Group admin
ChrootDirectory /ifs/sftp
ForceCommand internal-sftp"
X11Forwarding no

Vous trouverez ci-dessous un exemple basique de préparation d’un chemin pour chroot lorsque tous les utilisateurs correspondants peuvent écrire dans le fichier /ifs/sftp/home . root:wheel Possède les répertoires /ifs et /ifs/sftp, avec les autorisations définies sur 755 pour ChrootDirectory Tandis que /ifs/sftp/home Dispose de l’autorisation 777, ce qui permet à l’utilisateur d’accéder en écriture.

p930-1# isi auth settings acls modify --calcmode-group=group_only --calcmode-owner=owner_only
p930-1# mkdir -p /ifs/sftp/home
p930-1# chmod 755 /ifs/
p930-1# chmod 755 /ifs/sftp
p930-1# chmod 777 /ifs/sftp/home
p930-1# isi ssh settings modify --match="Match Group admin
dquote>     ChrootDirectory /ifs/sftp
dquote>     ForceCommand internal-sftp"
p930-1# sftp admin@localhost
(admin@localhost) Password:
Connected to localhost.
sftp> ls
home
sftp> pwd
Remote working directory: /

Configuration de plusieurs chaînes de correspondance

Il est plus facile de gérer plusieurs correspondances dans un fichier, puis de les transmettre à notre isi ssh suivantes. L’utilisation de ce processus garantit sshd Valide le fichier et applique la modification uniquement si elle est valide.

Vous trouverez ci-dessous des exemples de réussite et d’échec.

p930-1# cat /ifs/sshMatches
Match Group admin
ChrootDirectory /ifs/sftp
ForceCommand internal-sftp
X11Forwarding no
Match All
X11Forwarding no
p930-1# sshd -t -f /ifs/sshMatches && isi ssh settings modify --match="$(cat /ifs/sshMatches)"
p930-1# sshd -t -f /ifs/sshMatchBad && isi ssh settings modify --match="$(cat /ifs/sshMatchBad)"
Missing Match criteria for Allk
/ifs/sshMatchBad line 6: Bad Match condition

Considérations relatives aux chaînes de correspondance.

Lors de la configuration des chaînes de correspondance, tout ID d’utilisateur ou de groupe connu par le cluster peut être utilisé. Ainsi, le référencement des groupes Active Directory peut se faire avec RFC2307 en domain\user.

Si un utilisateur n’est pas acheminé vers le chemin ou les paramètres corrects dans une chaîne Match User, vérifiez que l’utilisateur peut être recherché sur le cluster à l’aide de la commande isi auth mapping token <username> en prenant le nom d’utilisateur de votre chaîne de correspondance.

Si un utilisateur n’est pas acheminé vers le chemin d’accès ou les paramètres corrects dans une chaîne Match Group, vérifiez que l’utilisateur est membre du groupe en question à l’aide de la commande isi auth mapping token <username> | grep <groupname>.

Indiquez un nom d’utilisateur et prenez le nom du groupe à partir de la chaîne de correspondance.

Vous trouverez ci-dessous un exemple d’utilisateur qui n’est pas correctement acheminé vers un chemin en raison d’une erreur dans l’instruction Match Group. Utilisateur stateroot ne fonctionne pas correctement lorsque l’utilisateur prodroot c’est, corrigez l’erreur dans le nom de groupe utilisé dans l’instruction Match Group pour résoudre ce problème.

p930-1# isi auth mapping token stageroot | grep "LOGIN_SSH"
            ISI_PRIV_LOGIN_SSH
p930-1# isi auth mapping token prodroot | grep "LOGIN_SSH"
            ISI_PRIV_LOGIN_SSH
p930-1# cat /ifs/sshMatches
Match Group Stage-Root-SFTP
ChrootDirectory /ifs/home/Stage-Root
X11Forwarding no
ForceCommand internal-sftp
Match Group Prod-Root
ChrootDirectory /ifs/home/Prod-Root
X11Forwarding no
ForceCommand internal-sftp
p930-1# isi auth mapping token stageroot | grep "Stage-Root-SFTP"
p930-1# isi auth mapping token prodroot | grep "Prod-Root"
          Name: Prod-Root
p930-1# isi auth mapping token stageroot | grep "Stage-Root"
          Name: Stage-Root

Configurations existantes

Avant OneFS 8.2, cette même fonctionnalité pouvait être assurée, mais le isi ssh n’existait pas encore. Au lieu d’utiliser isi ssh settings modify --match="" Modifier le fichier /etc/mcp/templates/sshd_config avec les mêmes chaînes de correspondance que les étapes ci-dessus utiliseraient. Ajoutez-les à la fin de /etc/mcp/templates/sshd_config.

Les instructions fournies doivent fonctionner pour les versions de OneFS antérieures à OneFS 8.2, mais tous les ajustements de configuration effectués de cette manière seront supprimés après la mise à niveau vers une version de OneFS prenant en charge l’API (Application Programming Interface). Les utilisateurs qui utilisent l’accès SFTP ont toujours besoin de ISI_PRIV_LOGIN_SSH Privilège.

Propriétés de l’article
Numéro d’article: 000157780
Type d’article: How To
Dernière modification: 26 Feb 2026
Version:  8
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.