Administrar solicitudes de acceso de superusuario
Cuando configura políticas de exportación, debe tener en cuenta lo que desea que suceda si el sistema de almacenamiento recibe una solicitud de acceso de cliente con ID de usuario 0, lo que significa como superusuario y configure las reglas de exportación según corresponda.
En el mundo UNIX, un usuario con el ID de usuario 0 se conoce como superusuario, normalmente llamado root, que tiene derechos de acceso ilimitados en un sistema. El uso de privilegios de superusuario puede ser peligroso por varias razones, como la violación de la seguridad del sistema y de los datos.
De forma predeterminada, ONTAP asigna los clientes que presentan el ID de usuario 0 al usuario anónimo. Sin embargo, puede especificar el - superuser
Parámetro en reglas de exportación para determinar cómo gestionar los clientes que presentan el ID de usuario 0 en función de su tipo de seguridad. A continuación, se muestran opciones válidas para el -superuser
parámetro:
-
any
-
none
Esta es la configuración predeterminada si no se especifica el
-superuser
parámetro. -
krb5
-
ntlm
-
sys
Hay dos maneras diferentes de manejar los clientes que presentan con ID de usuario 0, dependiendo de la -superuser
configuración de parámetros:
Si la -superuser parámetro y tipo de seguridad del cliente… |
A continuación, el cliente… |
---|---|
Coincidencia |
Obtiene acceso de superusuario con ID de usuario 0. |
No coinciden |
Obtiene acceso como usuario anónimo con el ID de usuario especificado por |
Si un cliente presenta con el ID de usuario 0 para acceder a un volumen con estilo de seguridad NTFS y el -superuser
el parámetro se establece en none
, ONTAP utiliza la asignación de nombres del usuario anónimo para obtener las credenciales adecuadas.
La política de exportación contiene una regla de exportación con los siguientes parámetros:
-
-protocol
nfs3
-
-clientmatch
10.1.16.0/255.255.255.0
-
-rorule
any
-
-rwrule
krb5,ntlm
-
-anon
127
El cliente #1 tiene la dirección IP 10,1.16,207, tiene el ID de usuario 746, envía una solicitud de acceso mediante el protocolo NFSv3 y se autentica con Kerberos v5.
El cliente #2 tiene la dirección IP 10.1.16.211, tiene el ID de usuario 0, envía una solicitud de acceso con el protocolo NFSv3 y se autentica con AUTH_SYS.
El protocolo de acceso del cliente y la dirección IP coinciden con los dos clientes. El parámetro de solo lectura permite un acceso de solo lectura a todos los clientes independientemente del tipo de seguridad con el que se autentiquen. Sin embargo, sólo el cliente #1 obtiene acceso de lectura y escritura porque utilizó el tipo de seguridad aprobado Kerberos v5 para autenticar.
El cliente #2 no obtiene acceso de superusuario. En su lugar, se asigna a anónimo porque el -superuser
no se ha especificado el parámetro. Esto significa que de forma predeterminada es none
Y asigna automáticamente el ID de usuario 0 al anónimo. El cliente #2 sólo obtiene acceso de sólo lectura porque su tipo de seguridad no coincide con el parámetro de lectura y escritura.
La política de exportación contiene una regla de exportación con los siguientes parámetros:
-
-protocol
nfs3
-
-clientmatch
10.1.16.0/255.255.255.0
-
-rorule
any
-
-rwrule
krb5,ntlm
-
-superuser
krb5
-
-anon
0
El cliente #1 tiene la dirección IP 10.1.16.207, tiene el ID de usuario 0, envía una solicitud de acceso con el protocolo NFSv3 y se autentica con Kerberos v5.
El cliente #2 tiene la dirección IP 10.1.16.211, tiene el ID de usuario 0, envía una solicitud de acceso con el protocolo NFSv3 y se autentica con AUTH_SYS.
El protocolo de acceso del cliente y la dirección IP coinciden con los dos clientes. El parámetro de solo lectura permite un acceso de solo lectura a todos los clientes independientemente del tipo de seguridad con el que se autentiquen. Sin embargo, sólo el cliente #1 obtiene acceso de lectura y escritura porque utilizó el tipo de seguridad aprobado Kerberos v5 para autenticar. El cliente n.o 2 no obtiene acceso de lectura/escritura.
La regla de exportación permite el acceso de superusuario para clientes con ID de usuario 0. El cliente #1 obtiene acceso de superusuario porque coincide con el ID de usuario y el tipo de seguridad para los de sólo lectura y. -superuser
parámetros. El cliente #2 no obtiene acceso de lectura-escritura o superusuario porque su tipo de seguridad no coincide con el parámetro de lectura-escritura o el -superuser
parámetro. En su lugar, el cliente #2 está asignado al usuario anónimo, que en este caso tiene el ID de usuario 0.