Erstellen von Zugriffssteuerungslisten der ONTAP SMB-Freigabe
Änderungen vorschlagen
PDFs
Durch die Konfiguration von Freigabeberechtigungen durch die Erstellung von Zugriffssteuerungslisten (ACLs) für SMB-Freigaben können Sie die Zugriffsebene für eine Freigabe für Benutzer und Gruppen steuern.
Sie können ACLs auf Share-Ebene mithilfe lokaler oder Domain-Windows-Benutzer- oder Gruppennamen oder UNIX-Benutzer- oder Gruppennamen konfigurieren.
Bevor Sie eine neue ACL erstellen, sollten Sie die standardmäßige ACL der Freigabe löschen Everyone / Full Control, was ein Sicherheitsrisiko darstellt.
Im Arbeitsgruppenmodus ist der Name der lokalen Domäne der Name des SMB-Servers.
-
Löschen Sie die Standard-Freigabe-ACL:`vserver cifs share Access-control delete -vserver <vserver_name> -share <share_name> -user-or-Group everyone`
-
Konfigurieren Sie die neue ACL:
Wenn Sie ACLs mit… konfigurieren möchten. Geben Sie den Befehl ein… Windows-Benutzer
vserver cifs share access-control create -vserver <vserver_name> -share <share_name> -user-group-type windows -user-or-group <Windows_domain_name\user_name> -permission <access_right>Windows-Gruppe
vserver cifs share access-control create -vserver <vserver_name> -share <share_name> -user-group-type windows -user-or-group <Windows_domain_name\group_name> -permission <access_right>UNIX-Benutzer
vserver cifs share access-control create -vserver <vserver_name> -share <share_name> -user-group-type <unix-user> -user-or-group <UNIX_user_name> -permission <access_right>UNIX-Gruppe
vserver cifs share access-control create -vserver <vserver_name> -share <share_name> -user-group-type <unix-group> -user-or-group <UNIX_group_name> -permission <access_right> -
Überprüfen Sie mit dem
vserver cifs share access-control showBefehl, ob die auf die Freigabe angewendete ACL korrekt ist.
Mit dem folgenden Befehl erhalten Change Sie Berechtigungen für die Windows-Gruppe „Sales Team“ für die Freigabe „sales“ auf der SVM „vs1.example.com“:
cluster1::> vserver cifs share access-control create -vserver vs1.example.com -share sales -user-or-group "DOMAIN\Sales Team" -permission Change
cluster1::> vserver cifs share access-control show -vserver vs1.example.com
Share User/Group User/Group Access
Vserver Name Name Type Permission
---------------- ----------- -------------------- --------- -----------
vs1.example.com c$ BUILTIN\Administrators windows Full_Control
vs1.example.com sales DOMAIN\Sales Team windows Change
Mit dem folgenden Befehl wird Read die UNIX-Gruppe „Engineering“ für die „eng“-Freigabe auf der SVM „vs2.example.com“ berechtigt:
cluster1::> vserver cifs share access-control create -vserver vs2.example.com -share eng -user-group-type unix-group -user-or-group engineering -permission Read
cluster1::> vserver cifs share access-control show -vserver vs2.example.com
Share User/Group User/Group Access
Vserver Name Name Type Permission
---------------- ----------- ------------------- ----------- -----------
vs2.example.com c$ BUILTIN\Administrators windows Full_Control
vs2.example.com eng engineering unix-group Read
Die folgenden Befehle geben Change der lokalen Windows-Gruppe mit dem Namen „Tiger Team“ die Full_Control Berechtigung zum lokalen Windows-Benutzer mit dem Namen „Sue Chang“ für die Freigabe „datavol5“ auf der SVM „vs1“:
cluster1::> vserver cifs share access-control create -vserver vs1 -share datavol5 -user-group-type windows -user-or-group "Tiger Team" -permission Change
cluster1::> vserver cifs share access-control create -vserver vs1 -share datavol5 -user-group-type windows -user-or-group "Sue Chang" -permission Full_Control
cluster1::> vserver cifs share access-control show -vserver vs1
Share User/Group User/Group Access
Vserver Name Name Type Permission
-------------- ----------- --------------------------- ----------- -----------
vs1 c$ BUILTIN\Administrators windows Full_Control
vs1 datavol5 Tiger Team windows Change
vs1 datavol5 Sue Chang windows Full_Control