In der UNIX-Welt wird ein Benutzer mit der Benutzer-ID 0 als Superuser bezeichnet, der normalerweise root genannt wird, der unbegrenzte Zugriffsrechte auf einem System besitzt. Die Verwendung von Superuser-Berechtigungen kann aus verschiedenen Gründen gefährlich sein, einschließlich Verletzung des Systems und der Datensicherheit.

Standardmäßig ordnet ONTAP Clients, die mit der Benutzer-ID 0 angezeigt werden, dem anonymen Benutzer zu. Sie können jedoch den - superuser Parameter in den Exportregeln angeben, um festzulegen, wie Clients, die mit der Benutzer-ID 0 versehen sind, je nach Sicherheitstyp verarbeitet werden. Gültige Optionen für den -superuser Parameter:

Es gibt zwei verschiedene Möglichkeiten, wie Clients mit Benutzer-ID 0 behandelt werden, abhängig von der -superuser Parameterkonfiguration:

Wenn ein Client mit der Benutzer-ID 0 auf ein Volume mit NTFS-Sicherheitsstil zugreift und der -superuser Parameter auf eingestellt none ist, verwendet ONTAP die Namenszuordnung für den anonymen Benutzer, um die richtigen Anmeldedaten zu erhalten.

Die Exportrichtlinie enthält eine Exportregel mit den folgenden Parametern:

Client #1 hat die IP-Adresse 10.1.16.207, hat Benutzer-ID 746, sendet eine Zugriffsanfrage über das NFSv3-Protokoll und authentifiziert mit Kerberos v5.

Client #2 hat die IP-Adresse 10.1.16.211, hat Benutzer-ID 0, sendet eine Zugriffsanfrage über das NFSv3-Protokoll und authentifiziert mit AUTH_SYS.

Das Client-Zugriffsprotokoll und die IP-Adresse stimmen für beide Clients überein. Der schreibgeschützte Parameter ermöglicht den schreibgeschützten Zugriff auf alle Clients unabhängig vom Sicherheitstyp, mit dem sie authentifiziert wurden. Allerdings erhält nur Client #1 Lese-Schreib-Zugriff, weil er den genehmigten Sicherheitstyp Kerberos v5 zur Authentifizierung verwendet hat.

Client #2 erhält keinen Superuser-Zugriff. Stattdessen wird sie anonymisiert zugeordnet, da der -superuser Parameter nicht angegeben ist. Dies bedeutet, none dass die Benutzer-ID 0 standardmäßig auf anonyme zugewiesen wird. Client #2 erhält auch nur schreibgeschützten Zugriff, da sein Sicherheitstyp nicht mit dem Parameter Read-Write übereinstimmt.

Die Exportrichtlinie enthält eine Exportregel mit den folgenden Parametern:

Client #1 hat die IP-Adresse 10.1.16.207, hat Benutzer-ID 0, sendet eine Zugriffsanfrage über das NFSv3-Protokoll und authentifiziert mit Kerberos v5.

Client #2 hat die IP-Adresse 10.1.16.211, hat Benutzer-ID 0, sendet eine Zugriffsanfrage über das NFSv3-Protokoll und authentifiziert mit AUTH_SYS.

Das Client-Zugriffsprotokoll und die IP-Adresse stimmen für beide Clients überein. Der schreibgeschützte Parameter ermöglicht den schreibgeschützten Zugriff auf alle Clients unabhängig vom Sicherheitstyp, mit dem sie authentifiziert wurden. Allerdings erhält nur Client #1 Lese-Schreib-Zugriff, weil er den genehmigten Sicherheitstyp Kerberos v5 zur Authentifizierung verwendet hat. Client #2 erhält keinen Lese-/Schreibzugriff.

Die Exportregel erlaubt Superuser-Zugriff für Clients mit Benutzer-ID 0. Client #1 erhält Superuser-Zugriff, weil er die Benutzer-ID und den Sicherheitstyp für den Schreibschutz und -superuser die Parameter entspricht. Client #2 erhält keinen Lese-/Schreibzugriff oder Superuser-Zugriff, da sein Sicherheitstyp nicht mit dem Lese-/Schreibparameter oder dem -superuser Parameter übereinstimmt. Stattdessen wird Client #2 dem anonymen Benutzer zugeordnet, der in diesem Fall die Benutzer-ID 0 hat.