Isilon: Управление разрешениями для общего ресурса Isilon SMB.

Существуют различные методы создания и управления PowerScale. Общий ресурс и разрешения Isilon SMB.

Сначала необходимо понять основы работы доступа пользователей или групп SMB в среде Windows.
При работе с сетевой папкой SMB существует два типа разрешений. 

• Разрешение на уровне общего ресурса.
• Разрешения на уровне NTFS или папки.

Чтобы пользователь мог получить доступ к общему ресурсу, должны выполняться следующие условия.

• Пользователь, пытающийся получить доступ к общему ресурсу, должен быть участником списков контроля доступа на уровне NTFS, а также членом списка разрешений общего ресурса.
• Пользователь может быть либо непосредственной записью в списках ACL и общем ресурсе, либо членом группы, которая находится в ACL и общем ресурсе.
• Доступ к пользователю определяется путем объединения разрешений NTFS и общего ресурса. Это всегда разрешение с самыми строгими ограничениями, применяемое к пользователю.

Рассмотрим пример, в котором пользователь John, который также является членом доменной группы app_team пытается получить доступ к общему ресурсу SMB.
В приведенной ниже таблице перечислены некоторые распространенные сценарии принятия решения о доступе к общему ресурсу. 

Для доступа в первую очередь рассматриваются разрешения на доступ к общему ресурсу. 
Приведенные выше примеры показывают, что в каждом случае наиболее ограниченный доступ применяется путем объединения разрешений уровня общего ресурса и NTFS.
Однако есть одно исключение, когда мы применяем разрешение «Запуск от имени root» на уровне общего ресурса к любому пользователю или группе. Этот параметр в основном преобразует пользователя или группу в пользователя root в Isilon, тем самым предоставляя этому пользователю или группе привилегии root.

Рассмотрим различные способы управления общими ресурсами SMB в Isilon.

Использование проводника Windows для зон доступа,
определенных пользователем:В этом разделе описывается управление общими ресурсами и разрешениями SMB с помощью проводника Windows.
Первым шагом в управлении сетевыми папками SMB является создание общего ресурса администратора в базовом каталоге зоны доступа.

*ЭТО СОВЕТЫ ПО ПРОЕКТИРОВАНИЮ, КОТОРЫЕ ДОЛЖЕН УЧИТЫВАТЬ ЗАКАЗЧИК И КОТОРЫЕ НЕ ДОЛЖНЫ БЫТЬ РЕАЛИЗОВАНЫ TSE*

           Мы можем создать каталог базы зон любым из следующих способов:  

1. Сопоставьте общий ресурс /ifs по умолчанию с учетными данными администратора и создайте базовый каталог зоны, необходимый для зоны доступа.
   • Например, -
   • Если abc-ex.com\\john является администратором домена, и нам нужно создать HR зоны доступа с базовым каталогом зоны /ifs/isi_prod/HR затем 
   • Сопоставить значение по умолчанию /ifs общий доступ через IP-адрес в зоне доступа системы с помощью abc-ex.com\\john 's Учетные данные.
   • Создайте файл /ifs/isi_prod/HR .
   • Теперь администратор домена будет владельцем /ifs/isi_prod/HR и будет иметь полный контроль над изменением или назначением новых разрешений другим пользователям или группам.
2.  Если мы создаем базовый каталог зоны с помощью OneFS WebUI или интерфейса командной строки, пользователь, вошедший в систему, получает разрешения на структуру каталогов. Обычно администраторы используют пользователя root для входа в систему, поэтому root-правители получают разрешения NTFS.
   • Но если настроен RBAC с администраторами, входящими в роли SecurityAdmin и SystemAdmin, то пользователь-администратор может войти в WebUI со своими учетными данными домена и либо использовать параметр по умолчанию — "Create zone base directory if it does not exist" в окне создания зоны доступа или создайте структуру каталогов из меню Файловая система -> Проводник файловых систем.
   • При использовании интерфейса командной строки выполните команду mkdir для создания структуры каталогов или --create-path при выполнении команды создания зоны доступа.
   • Примечание. Если мы используем этот метод для создания каталога, он получит разрешения POSIX. Необходимо наследовать пользователя или группу администраторов для вложенных каталогов, выполнив команду - chmod +a user/group domain\\user/group allow object_inherit,conatiner_inherit <zone-base-directory-path>

•  После создания базового каталога зоны создайте для него скрытую общую папку администратора с помощью веб-интерфейса OneFS или интерфейса командной строки

• Общий ресурс администратора — app$
• Общий ресурс, подлежащий выделению — app-p1 (/ifs/isi-prod/apps/app-p1)
• Групповой доступ - xyz-ex\fe-apps
• Зона доступа - Apps 
• Базовый каталог - /ifs/isi-prod/apps
• Admin - xyz-ex.com\adm_john91
  • Сопоставьте app$ Общий доступ через учетную запись администратора adm_john91 и имя IP-адреса или зоны SC в зоне доступа к приложениям.
  • Создайте папку общего ресурса /ifs/isi-prod/apps/app-p1. 
  • Нажмите правой кнопкой мыши на папку. app-p1. Вариантов размещения--> Безопасность --> Правка --> Добавить fe-apps с необходимым доступом в список.
• Теперь можно создать общий ресурс app-p1 с xyz-ex.com\fe-apps в списке разрешений и в папке /ifs/isi-prod/apps/app-p1 с помощью веб-интерфейса пользователя Isilon или интерфейса командной строки.

Использование проводника Windows для системной зоны:
 

• Базовый каталог зоны /ifs для Зона доступа к системе уже существует.
• Разрешение NTFS для /ifs Каталог по умолчанию имеет всех для чтения, записи и выполнения.
• Этот атрибут можно удалить, чтобы разрешить только администраторам, выполнив следующие команды: 
  • chmod -a Everyone allow  dir_gen_read,dir_gen_write,dir_gen_execute,delete_child /ifs
  • chmod +a user/group domain\\user/group allow dir_gen_all,object_inherit,container_inherit /ifs

• Можно скрыть общий ресурс ifs по умолчанию и назначить в список разрешений для общего ресурса только необходимых администраторов домена.

С помощью команды "Run as Root" Разрешение на

общий ресурс SMB Приведенные выше разделы хорошо работают в конфигурации нового PowerScale. Isilon, но если у нас уже есть PowerScale: В Isilon, если администраторы не имеют контроля над деревом каталогов, единственным способом изменения разрешений является использование интерфейса командной строки путем входа в систему от имени root или назначения разрешения Запуск от имени root для сетевой папки.

В PowerScale есть следующие варианты: Общие ресурсы Isilon SMB для назначения "run-as-root" разрешение, когда это разрешение назначено пользователю или группе, этот объект будет сопоставлен с пользователем root в Isilon, что даст этому пользователю привилегии root.

Мы рассмотрим тот же пример для создания общего ресурса данных с указанными ниже требованиями: 

• Общий ресурс, подлежащий выделению — app-p1 (/ifs/isi-prod/apps/app-p1)
• Групповой доступ - xyz-ex\fe-apps 
• Администратора- xyz-ex.com\adm_john91
  • Создайте сетевую папку с помощью веб-интерфейса Isilon и назначьте администратора. xyz-ex\adm_john91 Teh run-as-root и выберите "Create SMB share directory if it does not exist".
  • Теперь созданный общий ресурс будет иметь привилегии root для учетной записи администратора.
  • Теперь администратор может сопоставить сетевую папку с помощью проводника Windows и назначить группу домена xyz-ex.com необходимые разрешения.
  • Мы также можем назначить группу xyz-ex.com\fe-apps Teh run-as-root Но это не рекомендуется, так как группа будет иметь привилегии root для общего каталога и всех его подкаталогов.

Использование управления

компьютером WindowsОбщий ресурс можно создавать и управлять им с помощью MMC для управления компьютером.

Если администратору необходимо управлять общими ресурсами SMB с помощью MMC для управления компьютером, этот пользователь должен быть членом локальной группы администраторов зоны доступа.
Чтобы добавить пользователя или группу администраторов домена в локальную группу администраторов, необходимо выполнить следующие действия.

• Откройте веб-интерфейс Isilon и выберите Доступ —> Членство и роли.
• Выберите зону доступа из списка Текущая зона доступа.
• Нажмите на группы и выберите LOCAL:System для провайдеров. 
• Нажмите View/Edit для группы Administrators, Edit group -> Add Members.

Теперь мы можем получить доступ к учетным данным пользователя-администратора через консоль MMC для управления компьютером.

• Войдите в систему с помощью учетной записи, которая была добавлена в локальную группу администраторов на предыдущем шаге.
• Найдите и откройте Управление компьютером на панели поиска Windows.
• Нажмите «Действие — Подключиться к другому компьютеру».>
• Разверните список общих папок.
• Нажмите правой кнопкой мыши на общие папки и выберите Создать общий ресурс.
• Используйте мастер создания сетевой папки , чтобы создать новую сетевую папку.

С помощью этой же консоли можно управлять общими ресурсами и разрешениями NTFS для уже существующих общих ресурсов.

Общие сведения о назначении разрешений для общего ресурса 

• Обычно рекомендуется назначать групповые разрешения на уровне общего ресурса и NTFS, а также контролировать доступ пользователей путем изменения членства в группах.
• Например, - 
• Предположим, что в кластере есть 2 рабочих процесса приложений, которые находятся в собственных зонах доступа, App1 и App2.
• Каталог Zone Base приложения 1 : /ifs/isi-prod/app1
• Каталог Zone Base приложения 2 : /ifs/isi-prod/app2
• Общий ресурс администратора для App1 : app1$
• Общий ресурс администратора для App2 : app2$
• Мы можем создавать группы доменов, такие как app1-rw, app1-ro, app2-rw, app2-ro, представляющие группы с доступом для чтения и записи и группы только для чтения.
• Администратор может сопоставить общие ресурсы app1$, app2$ и добавьте вышеуказанные группы к разрешениям NTFS таким образом, чтобы app1-rw/app2-rw Группа имеет полный контроль или разрешения на чтение и запись, а также app1-ro/app2-ro Имеет разрешения только для чтения. 
• Также добавьте эти группы к разрешениям общего ресурса, чтобы app1-rw/app2-rw имеет полный контроль или изменение разрешений, а также app1-ro/app2-ro Имеет разрешения только для чтения.
• Теперь администратор может добавлять требуемых пользователей в эти доменные группы в зависимости от требуемых уровней доступа.

• Примечание. Этот метод эффективен, если у нас есть общие ресурсы, к которым обращается набор пользователей или команд. Это не поможет для индивидуального управления акциями. Разрешения на уровне общего ресурса 

• В предыдущем разделе мы видели, что это всегда самый ограниченный доступ, предоставляемый пользователю путем объединения разрешений общего ресурса и уровня NTFS.
• Учитывая это, мы можем установить разрешения общего ресурса на Everyone -Full Control и управлять разрешениями только на уровне NTFS, хотя это более простой метод управления разрешениями, он не рекомендуется для конфиденциальных данных, так как пропускает второй фактор аутентификации на уровне общего ресурса.