Verwendung von Exportrichtlinien mit SMB-Zugriff
Wenn Exportrichtlinien für SMB-Zugriff auf dem SMB-Server aktiviert sind, werden Exportrichtlinien verwendet, um den Zugriff auf SVM-Volumes durch SMB-Clients zu steuern. Um auf Daten zuzugreifen, können Sie eine Exportrichtlinie erstellen, über die SMB-Zugriff möglich ist, und die Richtlinie dann den Volumes mit SMB-Freigaben zuordnen.
Eine Exportrichtlinie hat eine oder mehrere Regeln angewendet, die festlegen, welche Clients Zugriff auf die Daten haben und welche Authentifizierungsprotokolle für schreibgeschützten und schreibgeschützten Zugriff unterstützt werden. Sie können Exportrichtlinien konfigurieren, um allen Clients, einem Subnetz von Clients oder einem bestimmten Client den Zugriff über SMB zu ermöglichen, und um die Authentifizierung über Kerberos-Authentifizierung, NTLM-Authentifizierung oder sowohl Kerberos- als auch NTLM-Authentifizierung zu ermöglichen, wenn der schreibgeschützten und der Lese-/Schreibzugriff auf Daten bestimmt wird.
Nach der Verarbeitung aller auf die Exportrichtlinie angewandten Exportregeln kann ONTAP bestimmen, ob dem Client der Zugriff gewährt wird und welche Zugriffsstufe gewährt wird. Exportregeln gelten für Clientcomputer, nicht für Windows-Benutzer und -Gruppen. Exportregeln ersetzen die Authentifizierung und Autorisierung von Windows-Benutzern und -Gruppen nicht. Exportregeln bieten zusätzlich zu Freigabeberechtigungen und Zugriffsberechtigungen eine weitere Zugriffsebene.
Sie ordnen jedem Volume genau eine Exportrichtlinie zu, um den Client-Zugriff auf das Volume zu konfigurieren. Jede SVM kann mehrere Exportrichtlinien enthalten. Dies ermöglicht Ihnen bei SVMs mit mehreren Volumes folgende Aufgaben:
-
Jedem Volume der SVM sollten für jedes Volume in der SVM unterschiedliche Exportrichtlinien zugewiesen werden, um für jedes Volume in der SVM eine individuelle Client-Zugriffskontrolle zu ermöglichen.
-
Weisen Sie für eine identische Client-Zugriffskontrolle dieselbe Exportrichtlinie mehreren Volumes der SVM zu, ohne für jedes Volume eine neue Exportrichtlinie erstellen zu müssen.
Jede SVM verfügt über mindestens eine Exportrichtlinie namens „default
“, die keine Regeln enthält. Sie können diese Export-Richtlinie nicht löschen, sie jedoch umbenennen oder ändern. Jedes Volume auf der SVM ist standardmäßig der Standard-Exportrichtlinie zugeordnet. Wenn Exportrichtlinien für den SMB-Zugriff auf der SVM deaktiviert sind, hat die Exportrichtlinie „default
“ keine Auswirkungen auf den SMB-Zugriff.
Sie können Regeln konfigurieren, die Zugriff auf NFS- und SMB-Hosts gewähren, und diese Regel einer Exportrichtlinie zuordnen. Diese kann dann dem Volume zugeordnet werden, das Daten enthält, auf die sowohl NFS- als auch SMB-Hosts zugreifen müssen. Falls es einige Volumes gibt, auf denen nur SMB-Clients Zugriff benötigen, können Sie eine Exportrichtlinie mit Regeln konfigurieren, die nur den Zugriff über das SMB-Protokoll gestattet. Darüber hinaus wird nur Kerberos oder NTLM (oder beides) für die Authentifizierung für Read-Only- und Write-Zugriff verwendet. Die Exportrichtlinie wird dann den Volumes zugeordnet, auf denen nur SMB-Zugriff gewünscht wird.
Wenn Exportrichtlinien für SMB aktiviert sind und ein Client eine Zugriffsanfrage stellt, die von der entsprechenden Exportrichtlinie nicht zulässig ist, schlägt die Anforderung mit einer Meldung, die eine Berechtigung verweigert hat, fehl. Wenn ein Client keine Regeln in der Exportrichtlinie des Volumes erfüllt, wird der Zugriff verweigert. Wenn eine Exportrichtlinie leer ist, werden alle Zugriffe implizit verweigert. Dies gilt auch dann, wenn die Freigabe- und Dateiberechtigungen ansonsten den Zugriff erlauben würden. Das bedeutet, dass Sie Ihre Exportrichtlinie so konfigurieren müssen, dass bei Volumes mit SMB-Freigaben Folgendes minimal zulässig ist:
-
Zugriff auf alle Clients oder die entsprechende Untergruppe von Clients zulassen
-
Zugriff über SMB zulassen
-
Mit Kerberos- oder NTLM-Authentifizierung (oder beides) ist ein angemessener Lese- und Schreibzugriff möglich.
Erfahren Sie mehr über "Konfigurieren und Verwalten von Exportrichtlinien".