Management von Zugriffsanfragen durch Superbenutzer
-
PDF dieser Dokumentationssite
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Datensicherung mit der CLI
- Managen Sie die SnapMirror Volume-Replizierung
-
Datensicherung mit der CLI
Sammlung separater PDF-Dokumente
Creating your file...
Wenn Sie Exportrichtlinien konfigurieren, müssen Sie berücksichtigen, was Sie tun möchten, wenn das Storage-System eine Client-Zugriffsanfrage mit Benutzer-ID 0 erhält, also als Superuser, und Ihre Exportregeln entsprechend festlegen.
In der UNIX-Welt wird ein Benutzer mit der Benutzer-ID 0 als Superuser bezeichnet, der normalerweise root genannt wird, der unbegrenzte Zugriffsrechte auf einem System besitzt. Die Verwendung von Superuser-Berechtigungen kann aus verschiedenen Gründen gefährlich sein, einschließlich Verletzung des Systems und der Datensicherheit.
Standardmäßig ordnet ONTAP Clients, die mit der Benutzer-ID 0 angezeigt werden, dem anonymen Benutzer zu. Sie können jedoch die angeben - superuser
Parameter in Exportregeln, um zu bestimmen, wie Clients, die je nach Sicherheitstyp mit Benutzer-ID 0 angegeben werden, behandelt werden. Die folgenden Optionen sind gültig für die -superuser
Parameter:
-
any
-
none
Dies ist die Standardeinstellung, wenn Sie den nicht angeben
-superuser
Parameter. -
krb5
-
ntlm
-
sys
Es gibt zwei verschiedene Arten, wie Clients, die mit der Benutzer-ID 0 angezeigt werden, je nach behandelt werden -superuser
Parameterkonfiguration:
Wenn der -superuser Parameter und der Sicherheitstyp des Clients… |
Dann der Client… |
---|---|
Übereinstimmung |
Erhält Superuser-Zugriff mit Benutzer-ID 0. |
Stimmen Sie nicht überein |
Ruft als anonymer Benutzer mit der vom angegebenen Benutzer-ID auf |
Wenn ein Client mit der Benutzer-ID 0 angezeigt wird, um auf ein Volume mit dem NTFS-Sicherheitsstil und dem zuzugreifen -superuser
Parameter ist auf festgelegt none
, ONTAP verwendet die Namenszuweisung für den anonymen Benutzer, um die richtigen Anmeldedaten zu erhalten.
Die Exportrichtlinie enthält eine Exportregel mit den folgenden Parametern:
-
-protocol
nfs3
-
-clientmatch
10.1.16.0/255.255.255.0
-
-rorule
any
-
-rwrule
krb5,ntlm
-
-anon
127
Client #1 hat die IP-Adresse 10.1.16.207, hat Benutzer-ID 746, sendet eine Zugriffsanfrage über das NFSv3-Protokoll und authentifiziert mit Kerberos v5.
Client #2 hat die IP-Adresse 10.1.16.211, hat Benutzer-ID 0, sendet eine Zugriffsanfrage über das NFSv3-Protokoll und authentifiziert mit AUTH_SYS.
Das Client-Zugriffsprotokoll und die IP-Adresse stimmen für beide Clients überein. Der schreibgeschützte Parameter ermöglicht den schreibgeschützten Zugriff auf alle Clients unabhängig vom Sicherheitstyp, mit dem sie authentifiziert wurden. Allerdings erhält nur Client #1 Lese-Schreib-Zugriff, weil er den genehmigten Sicherheitstyp Kerberos v5 zur Authentifizierung verwendet hat.
Client #2 erhält keinen Superuser-Zugriff. Stattdessen wird sie anonym zugeordnet, weil die -superuser
Parameter wurde nicht angegeben. Das bedeutet, dass es standardmäßig eingestellt ist none
Und ordnet die Benutzer-ID 0 automatisch anonym zu. Client #2 erhält auch nur schreibgeschützten Zugriff, da sein Sicherheitstyp nicht mit dem Parameter Read-Write übereinstimmt.
Die Exportrichtlinie enthält eine Exportregel mit den folgenden Parametern:
-
-protocol
nfs3
-
-clientmatch
10.1.16.0/255.255.255.0
-
-rorule
any
-
-rwrule
krb5,ntlm
-
-superuser
krb5
-
-anon
0
Client #1 hat die IP-Adresse 10.1.16.207, hat Benutzer-ID 0, sendet eine Zugriffsanfrage über das NFSv3-Protokoll und authentifiziert mit Kerberos v5.
Client #2 hat die IP-Adresse 10.1.16.211, hat Benutzer-ID 0, sendet eine Zugriffsanfrage über das NFSv3-Protokoll und authentifiziert mit AUTH_SYS.
Das Client-Zugriffsprotokoll und die IP-Adresse stimmen für beide Clients überein. Der schreibgeschützte Parameter ermöglicht den schreibgeschützten Zugriff auf alle Clients unabhängig vom Sicherheitstyp, mit dem sie authentifiziert wurden. Allerdings erhält nur Client #1 Lese-Schreib-Zugriff, weil er den genehmigten Sicherheitstyp Kerberos v5 zur Authentifizierung verwendet hat. Client #2 erhält keinen Lese-/Schreibzugriff.
Die Exportregel erlaubt Superuser-Zugriff für Clients mit Benutzer-ID 0. Client #1 erhält Superuser-Zugriff, da er mit der Benutzer-ID und dem Sicherheitstyp für den schreibgeschützten und übereinstimmt -superuser
Parameter. Client #2 erhält keinen Lese-/Schreib- oder Superuser-Zugriff, da sein Sicherheitstyp nicht mit dem Lese-Schreib-Parameter oder dem übereinstimmt -superuser
Parameter. Stattdessen wird Client #2 dem anonymen Benutzer zugeordnet, der in diesem Fall die Benutzer-ID 0 hat.