Cómo funcionan las reglas de exportación
Las reglas de exportación son los elementos funcionales de una política de exportación. Las reglas de exportación coinciden con las solicitudes de acceso de los clientes a un volumen con los parámetros específicos que se configuran para determinar cómo se manejan las solicitudes de acceso de los clientes.
La política de exportación debe contener al menos una regla de exportación para permitir el acceso a los clientes. Si una política de exportación contiene más de una regla, se procesan las reglas en el orden en que aparecen en la política de exportación. El orden de las reglas viene determinado por el número de índice de reglas. Si una regla coincide con un cliente, se utilizan los permisos de esa regla y no se procesan otras reglas. Si no hay reglas que coincidan, se deniega el acceso al cliente.
Puede configurar reglas de exportación para determinar los permisos de acceso de clientes con los siguientes criterios:
-
El protocolo de acceso a archivos que utiliza el cliente para enviar la solicitud, por ejemplo, NFSv4 o SMB.
-
Un identificador de cliente, por ejemplo, un nombre de host o una dirección IP.
El tamaño máximo de
-clientmatch
el campo tiene 4096 caracteres. -
Tipo de seguridad utilizado por el cliente para autenticar, por ejemplo, Kerberos v5, NTLM o AUTH_SYS.
Si una regla especifica varios criterios, el cliente debe coincidir con todos ellos para que se aplique la regla.
A partir de ONTAP 9.3, puede habilitar la comprobación de la configuración de la política de exportación como un trabajo en segundo plano que registra cualquier infracción de reglas en una lista de reglas de error. La Los comandos solo validan la configuración de exportación para los nombres de host, grupos de red y usuarios anónimos. |
La política de exportación contiene una regla de exportación con los siguientes parámetros:
-
-protocol
nfs3
-
-clientmatch
10.1.16.0/255.255.255.0
-
-rorule
any
-
-rwrule
any
La solicitud de acceso del cliente se envía mediante el protocolo NFSv3 y el cliente tiene la dirección IP 10.1.17.37.
Aunque el protocolo de acceso del cliente coincida, la dirección IP del cliente se encuentra en una subred diferente de la especificada en la regla de exportación. Por lo tanto, la coincidencia de cliente falla y esta regla no se aplica a este cliente.
La política de exportación contiene una regla de exportación con los siguientes parámetros:
-
-protocol
nfs
-
-clientmatch
10.1.16.0/255.255.255.0
-
-rorule
any
-
-rwrule
any
La solicitud de acceso del cliente se envía con el protocolo NFSv4 y el cliente tiene la dirección IP 10,1.16,54.
El protocolo de acceso del cliente coincide y la dirección IP del cliente se encuentra en la subred especificada. Por lo tanto, la coincidencia de cliente es correcta y esta regla se aplica a este cliente. El cliente obtiene acceso de lectura y escritura independientemente de su tipo de seguridad.
La política de exportación contiene una regla de exportación con los siguientes parámetros:
-
-protocol
nfs3
-
-clientmatch
10.1.16.0/255.255.255.0
-
-rorule
any
-
-rwrule
krb5,ntlm
El cliente n.o 1 tiene la dirección IP 10.1.16.207, envía una solicitud de acceso con el protocolo NFSv3 y se autentica con Kerberos v5.
El cliente #2 tiene la dirección IP 10.1.16.211, envía una solicitud de acceso con el protocolo NFSv3 y se autentica con AUTH_SYS.
El protocolo de acceso del cliente y la dirección IP coinciden con los dos clientes. El parámetro de solo lectura permite un acceso de solo lectura a todos los clientes independientemente del tipo de seguridad con el que se autentiquen. Por lo tanto, ambos clientes obtienen acceso de solo lectura. Sin embargo, sólo el cliente #1 obtiene acceso de lectura y escritura porque utilizó el tipo de seguridad aprobado Kerberos v5 para autenticar. El cliente n.o 2 no obtiene acceso de lectura/escritura.