Versionshinweise
Management von Zugriffsanfragen durch Superbenutzer
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
-
Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
-
-
NAS-Storage-Management
-
Konfigurieren Sie NFS mit der CLI
-
Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
-
Verwalten Sie SMB-Server
-
Verwalten Sie den Dateizugriff mit SMB
-
-
-
SAN-Storage-Management
-
Authentifizierung und Zugriffssteuerung
-
Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Managen Sie die SnapMirror Volume-Replizierung
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Wenn Sie Exportrichtlinien konfigurieren, müssen Sie berücksichtigen, was Sie tun möchten, wenn das Storage-System eine Client-Zugriffsanfrage mit Benutzer-ID 0 erhält, also als Superuser, und Ihre Exportregeln entsprechend festlegen.
In der UNIX-Welt wird ein Benutzer mit der Benutzer-ID 0 als Superuser bezeichnet, der normalerweise root genannt wird, der unbegrenzte Zugriffsrechte auf einem System besitzt. Die Verwendung von Superuser-Berechtigungen kann aus verschiedenen Gründen gefährlich sein, einschließlich Verletzung des Systems und der Datensicherheit.
Standardmäßig ordnet ONTAP Clients, die mit der Benutzer-ID 0 angezeigt werden, dem anonymen Benutzer zu. Sie können jedoch die angeben - superuser Parameter in Exportregeln, um zu bestimmen, wie Clients, die je nach Sicherheitstyp mit Benutzer-ID 0 angegeben werden, behandelt werden. Die folgenden Optionen sind gültig für die -superuser Parameter:
-
any -
noneDies ist die Standardeinstellung, wenn Sie den nicht angeben
-superuserParameter. -
krb5 -
ntlm -
sys
Es gibt zwei verschiedene Arten, wie Clients, die mit der Benutzer-ID 0 angezeigt werden, je nach behandelt werden -superuser Parameterkonfiguration:
Wenn der -superuser Parameter und der Sicherheitstyp des Clients… |
Dann der Client… |
|---|---|
Übereinstimmung |
Erhält Superuser-Zugriff mit Benutzer-ID 0. |
Stimmen Sie nicht überein |
Ruft als anonymer Benutzer mit der vom angegebenen Benutzer-ID auf |
Wenn ein Client mit der Benutzer-ID 0 angezeigt wird, um auf ein Volume mit dem NTFS-Sicherheitsstil und dem zuzugreifen -superuser Parameter ist auf festgelegt none, ONTAP verwendet die Namenszuweisung für den anonymen Benutzer, um die richtigen Anmeldedaten zu erhalten.
Die Exportrichtlinie enthält eine Exportregel mit den folgenden Parametern:
-
-protocolnfs3 -
-clientmatch10.1.16.0/255.255.255.0 -
-roruleany -
-rwrulekrb5,ntlm -
-anon127
Client #1 hat die IP-Adresse 10.1.16.207, hat Benutzer-ID 746, sendet eine Zugriffsanfrage über das NFSv3-Protokoll und authentifiziert mit Kerberos v5.
Client #2 hat die IP-Adresse 10.1.16.211, hat Benutzer-ID 0, sendet eine Zugriffsanfrage über das NFSv3-Protokoll und authentifiziert mit AUTH_SYS.
Das Client-Zugriffsprotokoll und die IP-Adresse stimmen für beide Clients überein. Der schreibgeschützte Parameter ermöglicht den schreibgeschützten Zugriff auf alle Clients unabhängig vom Sicherheitstyp, mit dem sie authentifiziert wurden. Allerdings erhält nur Client #1 Lese-Schreib-Zugriff, weil er den genehmigten Sicherheitstyp Kerberos v5 zur Authentifizierung verwendet hat.
Client #2 erhält keinen Superuser-Zugriff. Stattdessen wird sie anonym zugeordnet, weil die -superuser Parameter wurde nicht angegeben. Das bedeutet, dass es standardmäßig eingestellt ist none Und ordnet die Benutzer-ID 0 automatisch anonym zu. Client #2 erhält auch nur schreibgeschützten Zugriff, da sein Sicherheitstyp nicht mit dem Parameter Read-Write übereinstimmt.
Die Exportrichtlinie enthält eine Exportregel mit den folgenden Parametern:
-
-protocolnfs3 -
-clientmatch10.1.16.0/255.255.255.0 -
-roruleany -
-rwrulekrb5,ntlm -
-superuserkrb5 -
-anon0
Client #1 hat die IP-Adresse 10.1.16.207, hat Benutzer-ID 0, sendet eine Zugriffsanfrage über das NFSv3-Protokoll und authentifiziert mit Kerberos v5.
Client #2 hat die IP-Adresse 10.1.16.211, hat Benutzer-ID 0, sendet eine Zugriffsanfrage über das NFSv3-Protokoll und authentifiziert mit AUTH_SYS.
Das Client-Zugriffsprotokoll und die IP-Adresse stimmen für beide Clients überein. Der schreibgeschützte Parameter ermöglicht den schreibgeschützten Zugriff auf alle Clients unabhängig vom Sicherheitstyp, mit dem sie authentifiziert wurden. Allerdings erhält nur Client #1 Lese-Schreib-Zugriff, weil er den genehmigten Sicherheitstyp Kerberos v5 zur Authentifizierung verwendet hat. Client #2 erhält keinen Lese-/Schreibzugriff.
Die Exportregel erlaubt Superuser-Zugriff für Clients mit Benutzer-ID 0. Client #1 erhält Superuser-Zugriff, da er mit der Benutzer-ID und dem Sicherheitstyp für den schreibgeschützten und übereinstimmt -superuser Parameter. Client #2 erhält keinen Lese-/Schreib- oder Superuser-Zugriff, da sein Sicherheitstyp nicht mit dem Lese-Schreib-Parameter oder dem übereinstimmt -superuser Parameter. Stattdessen wird Client #2 dem anonymen Benutzer zugeordnet, der in diesem Fall die Benutzer-ID 0 hat.