Notas de la versión
Administrar solicitudes de acceso de superusuario
Sugerir cambios
-
PDF de este sitio de documentos
-
Administración de clústeres
-
Administración de volúmenes
-
Gestión de almacenamiento lógico con CLI
-
Utilice cuotas para restringir o realizar un seguimiento del uso de los recursos
-
-
-
Gestión del almacenamiento nas
-
Configure NFS con la CLI
-
Gestione NFS con la interfaz de línea de comandos
-
Gestione SMB con la interfaz de línea de comandos
-
Gestione servidores SMB
-
Gestione el acceso a archivos mediante SMB
-
-
-
Gestión del almacenamiento san
-
Autenticación y control de acceso
-
Seguridad y cifrado de datos
-
Protección de datos y recuperación ante desastres
-
Protección de datos con la interfaz de línea de comandos
-
-
Recopilación de documentos PDF independientes
Creating your file...
Cuando configura políticas de exportación, debe tener en cuenta lo que desea que suceda si el sistema de almacenamiento recibe una solicitud de acceso de cliente con ID de usuario 0, lo que significa como superusuario y configure las reglas de exportación según corresponda.
En el mundo UNIX, un usuario con el ID de usuario 0 se conoce como superusuario, normalmente llamado root, que tiene derechos de acceso ilimitados en un sistema. El uso de privilegios de superusuario puede ser peligroso por varias razones, como la violación de la seguridad del sistema y de los datos.
De forma predeterminada, ONTAP asigna los clientes que presentan el ID de usuario 0 al usuario anónimo. Sin embargo, puede especificar el - superuser Parámetro en reglas de exportación para determinar cómo gestionar los clientes que presentan el ID de usuario 0 en función de su tipo de seguridad. A continuación, se muestran opciones válidas para el -superuser parámetro:
-
any -
noneEsta es la configuración predeterminada si no se especifica el
-superuserparámetro. -
krb5 -
ntlm -
sys
Hay dos maneras diferentes de manejar los clientes que presentan con ID de usuario 0, dependiendo de la -superuser configuración de parámetros:
Si la -superuser parámetro y tipo de seguridad del cliente… |
A continuación, el cliente… |
|---|---|
Coincidencia |
Obtiene acceso de superusuario con ID de usuario 0. |
No coinciden |
Obtiene acceso como usuario anónimo con el ID de usuario especificado por |
Si un cliente presenta con el ID de usuario 0 para acceder a un volumen con estilo de seguridad NTFS y el -superuser el parámetro se establece en none, ONTAP utiliza la asignación de nombres del usuario anónimo para obtener las credenciales adecuadas.
La política de exportación contiene una regla de exportación con los siguientes parámetros:
-
-protocolnfs3 -
-clientmatch10.1.16.0/255.255.255.0 -
-roruleany -
-rwrulekrb5,ntlm -
-anon127
El cliente #1 tiene la dirección IP 10,1.16,207, tiene el ID de usuario 746, envía una solicitud de acceso mediante el protocolo NFSv3 y se autentica con Kerberos v5.
El cliente #2 tiene la dirección IP 10.1.16.211, tiene el ID de usuario 0, envía una solicitud de acceso con el protocolo NFSv3 y se autentica con AUTH_SYS.
El protocolo de acceso del cliente y la dirección IP coinciden con los dos clientes. El parámetro de solo lectura permite un acceso de solo lectura a todos los clientes independientemente del tipo de seguridad con el que se autentiquen. Sin embargo, sólo el cliente #1 obtiene acceso de lectura y escritura porque utilizó el tipo de seguridad aprobado Kerberos v5 para autenticar.
El cliente #2 no obtiene acceso de superusuario. En su lugar, se asigna a anónimo porque el -superuser no se ha especificado el parámetro. Esto significa que de forma predeterminada es none Y asigna automáticamente el ID de usuario 0 al anónimo. El cliente #2 sólo obtiene acceso de sólo lectura porque su tipo de seguridad no coincide con el parámetro de lectura y escritura.
La política de exportación contiene una regla de exportación con los siguientes parámetros:
-
-protocolnfs3 -
-clientmatch10.1.16.0/255.255.255.0 -
-roruleany -
-rwrulekrb5,ntlm -
-superuserkrb5 -
-anon0
El cliente #1 tiene la dirección IP 10.1.16.207, tiene el ID de usuario 0, envía una solicitud de acceso con el protocolo NFSv3 y se autentica con Kerberos v5.
El cliente #2 tiene la dirección IP 10.1.16.211, tiene el ID de usuario 0, envía una solicitud de acceso con el protocolo NFSv3 y se autentica con AUTH_SYS.
El protocolo de acceso del cliente y la dirección IP coinciden con los dos clientes. El parámetro de solo lectura permite un acceso de solo lectura a todos los clientes independientemente del tipo de seguridad con el que se autentiquen. Sin embargo, sólo el cliente #1 obtiene acceso de lectura y escritura porque utilizó el tipo de seguridad aprobado Kerberos v5 para autenticar. El cliente n.o 2 no obtiene acceso de lectura/escritura.
La regla de exportación permite el acceso de superusuario para clientes con ID de usuario 0. El cliente #1 obtiene acceso de superusuario porque coincide con el ID de usuario y el tipo de seguridad para los de sólo lectura y. -superuser parámetros. El cliente #2 no obtiene acceso de lectura-escritura o superusuario porque su tipo de seguridad no coincide con el parámetro de lectura-escritura o el -superuser parámetro. En su lugar, el cliente #2 está asignado al usuario anónimo, que en este caso tiene el ID de usuario 0.