Versionshinweise
Wie Sicherheitstypen die Client-Zugriffsebenen bestimmen
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
-
Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
-
-
NAS-Storage-Management
-
Konfigurieren Sie NFS mit der CLI
-
Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
-
Verwalten Sie SMB-Server
-
Verwalten Sie den Dateizugriff mit SMB
-
-
-
SAN-Storage-Management
-
Authentifizierung und Zugriffssteuerung
-
Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Managen Sie die SnapMirror Volume-Replizierung
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Der Sicherheitstyp, mit dem der Client authentifiziert wurde, spielt eine besondere Rolle in den Exportregeln. Sie müssen verstehen, wie der Sicherheitstyp die Zugriffsebenen bestimmt, die der Client zu einem Volume oder qtree erhält.
Die drei möglichen Zugriffsebenen sind wie folgt:
-
Schreibgeschützt
-
Lesen und schreiben
-
Superuser (für Clients mit Benutzer-ID 0)
Da die Zugriffsebene nach Sicherheitstyp in dieser Reihenfolge ausgewertet wird, müssen Sie beim Erstellen von Parametern auf Zugriffsebene in Exportregeln folgende Regeln beachten:
| Damit ein Client die Zugriffsebene abrufen kann… | Diese Zugriffsparameter müssen dem Sicherheitstyp des Clients entsprechen… |
|---|---|
Normaler Benutzer schreibgeschützt |
Schreibgeschützt ( |
Normaler Benutzer Lese-/Schreibzugriff |
Schreibgeschützt ( |
Schreibgeschützt für Superuser |
Schreibgeschützt ( |
Superuser lesen und schreiben |
Schreibgeschützt ( |
Die folgenden Sicherheitstypen sind für jeden der folgenden drei Zugriffsparameter gültig:
-
any -
none -
neverDieser Sicherheitstyp ist für die Verwendung mit dem nicht gültig
-superuserParameter. -
krb5 -
krb5i -
krb5p -
ntlm -
sys
Beim Abgleich des Sicherheitstyps eines Clients mit jedem der drei Zugriffsparameter gibt es drei mögliche Ergebnisse:
| Falls der Sicherheitstyp des Clients… | Dann der Client… |
|---|---|
Stimmt mit dem im Zugriffsparameter angegebenen überein. |
Erhält Zugriff auf dieses Level mit eigener Benutzer-ID. |
Stimmt nicht mit dem angegebenen überein, der Zugriffsparameter enthält jedoch die Option |
Ruft Zugriff auf diese Ebene, jedoch als anonymer Benutzer mit der von angegebenen Benutzer-ID ab |
Stimmt nicht mit dem angegebenen überein und der Zugriffsparameter enthält die Option nicht |
Für diese Ebene wird kein Zugriff erhalten.Dies gilt nicht für die |
Die Exportrichtlinie enthält eine Exportregel mit den folgenden Parametern:
-
-protocolnfs3 -
-clientmatch10.1.16.0/255.255.255.0 -
-roruleany -
-rwrulesys,krb5 -
-superuserkrb5
Client #1 hat die IP-Adresse 10.1.16.207, hat Benutzer-ID 0, sendet eine Zugriffsanfrage über das NFSv3-Protokoll und authentifiziert mit Kerberos v5.
Client #2 hat die IP-Adresse 10.1.16.211, hat Benutzer-ID 0, sendet eine Zugriffsanfrage über das NFSv3-Protokoll und authentifiziert mit AUTH_SYS.
Client #3 hat die IP-Adresse 10.1.16.234, hat Benutzer-ID 0, sendet eine Zugriffsanforderung über das NFSv3-Protokoll und authentifiziert nicht (AUTH_NONE).
Das Client-Zugriffsprotokoll und die IP-Adresse stimmen mit allen drei Clients überein. Der schreibgeschützte Parameter ermöglicht den schreibgeschützten Zugriff auf alle Clients unabhängig vom Sicherheitstyp. Der Lese-Schreib-Parameter ermöglicht den Lese-Schreib-Zugriff auf Clients mit eigener Benutzer-ID, die mit AUTH_SYS oder Kerberos v5 authentifiziert wurden. Der Superuser-Parameter ermöglicht Superuser-Zugriff auf Clients mit Benutzer-ID 0, die mit Kerberos v5 authentifiziert wurden.
Client #1 erhält daher Lese-/Schreibzugriff für Superuser, da er alle drei Zugriffsparameter einordnet. Client #2 erhält Lese-/Schreibzugriff, aber keinen Superuser-Zugriff. Client #3 erhält nur Lesezugriff, aber keinen Superuser-Zugriff.