Notas de la versión
Configure Storage-Level Access Guard
Sugerir cambios
-
PDF de este sitio de documentos
-
Configuración, actualización y reversión de ONTAP
-
Administración de clústeres
-
Administración de volúmenes
-
Gestión de almacenamiento lógico con CLI
-
Utilice cuotas para restringir o realizar un seguimiento del uso de los recursos
-
-
-
Gestión del almacenamiento nas
-
Configure NFS con la CLI
-
Gestione NFS con la interfaz de línea de comandos
-
Gestione SMB con la interfaz de línea de comandos
-
Gestione servidores SMB
-
Gestione el acceso a archivos mediante SMB
-
-
-
Gestión del almacenamiento san
-
Autenticación y control de acceso
-
Seguridad y cifrado de datos
-
Protección de datos y recuperación ante desastres
-
Recopilación de documentos PDF independientes
Creating your file...
Hay una serie de pasos que se deben seguir para configurar la protección del acceso al nivel de almacenamiento en un volumen o un qtree. El protector de acceso al nivel de almacenamiento ofrece un nivel de seguridad de acceso que se establece en el nivel de almacenamiento. Proporciona seguridad que se aplica a todos los accesos desde todos los protocolos NAS al objeto de almacenamiento al que se ha aplicado.
-
Cree un descriptor de seguridad mediante
vserver security file-directory ntfs createcomando.vserver security file-directory ntfs create -vserver vs1 -ntfs-sd sd1vserver security file-directory ntfs show -vserver vs1Vserver: vs1 NTFS Security Owner Name Descriptor Name ------------ -------------- sd1 -
Se crea un descriptor de seguridad con las siguientes cuatro entradas predeterminadas de control de acceso de DACL (ACE):
Vserver: vs1 NTFS Security Descriptor Name: sd1 Account Name Access Access Apply To Type Rights -------------- ------- ------- ----------- BUILTIN\Administrators allow full-control this-folder, sub-folders, files BUILTIN\Users allow full-control this-folder, sub-folders, files CREATOR OWNER allow full-control this-folder, sub-folders, files NT AUTHORITY\SYSTEM allow full-control this-folder, sub-folders, filesSi no desea utilizar las entradas predeterminadas al configurar Storage-Level Access Guard, puede eliminarlas antes de crear y agregar sus propias ACE al descriptor de seguridad.
-
Quite cualquiera de los ACE de DACL predeterminados del descriptor de seguridad que no desea configurar con la seguridad Storage-Level Access Guard:
-
Elimine los ACE de DACL no deseados mediante
vserver security file-directory ntfs dacl removecomando.En este ejemplo, se quitan tres ACE de DACL predeterminados del descriptor de seguridad: BUILTIN\Administrators, BUILTIN\Users y CREATOR OWNER.
vserver security file-directory ntfs dacl remove -vserver vs1 -ntfs-sd sd1 -access-type allow -account builtin\usersvserver security file-directory ntfs dacl remove -vserver vs1 -ntfs-sd sd1 -access-type allow -account builtin\administratorsvserver security file-directory ntfs dacl remove -vserver vs1 -ntfs-sd sd1 -access-type allow -account "creator owner" -
Compruebe que los ACE DACL que no desea utilizar para la seguridad de Access Guard de nivel de almacenamiento se quitan del descriptor de seguridad mediante el
vserver security file-directory ntfs dacl showcomando.En este ejemplo, la salida del comando verifica que se han eliminado tres ACE de DACL predeterminados del descriptor de seguridad, dejando sólo la entrada de ACE de DACL predeterminada de NT AUTHORITY\SYSTEM:
vserver security file-directory ntfs dacl show -vserver vs1
Vserver: vs1 NTFS Security Descriptor Name: sd1 Account Name Access Access Apply To Type Rights -------------- ------- ------- ----------- NT AUTHORITY\SYSTEM allow full-control this-folder, sub-folders, files -
-
Agregue una o varias entradas DACL a un descriptor de seguridad mediante
vserver security file-directory ntfs dacl addcomando.En este ejemplo, se agregan dos ACE DACL al descriptor de seguridad:
vserver security file-directory ntfs dacl add -vserver vs1 -ntfs-sd sd1 -access-type allow -account example\engineering -rights full-control -apply-to this-folder,sub-folders,filesvserver security file-directory ntfs dacl add -vserver vs1 -ntfs-sd sd1 -access-type allow -account "example\Domain Users" -rights read -apply-to this-folder,sub-folders,files -
Agregue una o más entradas de SACL a un descriptor de seguridad mediante
vserver security file-directory ntfs sacl addcomando.En este ejemplo, se agregan dos ACE de SACL al descriptor de seguridad:
vserver security file-directory ntfs sacl add -vserver vs1 -ntfs-sd sd1 -access-type failure -account "example\Domain Users" -rights read -apply-to this-folder,sub-folders,filesvserver security file-directory ntfs sacl add -vserver vs1 -ntfs-sd sd1 -access-type success -account example\engineering -rights full-control -apply-to this-folder,sub-folders,files -
Compruebe que los ACE DACL y SACL están configurados correctamente mediante el
vserver security file-directory ntfs dacl showy..vserver security file-directory ntfs sacl showcomandos, respectivamente.En este ejemplo, el siguiente comando muestra información acerca de las entradas DACL del descriptor de seguridad "sD1":
vserver security file-directory ntfs dacl show -vserver vs1 -ntfs-sd sd1Vserver: vs1 NTFS Security Descriptor Name: sd1 Account Name Access Access Apply To Type Rights -------------- ------- ------- ----------- EXAMPLE\Domain Users allow read this-folder, sub-folders, files EXAMPLE\engineering allow full-control this-folder, sub-folders, files NT AUTHORITY\SYSTEM allow full-control this-folder, sub-folders, filesEn este ejemplo, el siguiente comando muestra información sobre las entradas de SACL para el descriptor de seguridad “D1”:
vserver security file-directory ntfs sacl show -vserver vs1 -ntfs-sd sd1Vserver: vs1 NTFS Security Descriptor Name: sd1 Account Name Access Access Apply To Type Rights -------------- ------- ------- ----------- EXAMPLE\Domain Users failure read this-folder, sub-folders, files EXAMPLE\engineering success full-control this-folder, sub-folders, files -
Cree una política de seguridad mediante
vserver security file-directory policy createcomando.En el siguiente ejemplo se crea una directiva denominada «'póliza 1'»:
vserver security file-directory policy create -vserver vs1 -policy-name policy1 -
Compruebe que la directiva está correctamente configurada mediante el
vserver security file-directory policy showcomando.vserver security file-directory policy showVserver Policy Name ------------ -------------- vs1 policy1
-
Agregue una tarea con un descriptor de seguridad asociado a la directiva de seguridad mediante
vserver security file-directory policy task addcon el-access-controlparámetro establecido enslag.Aunque una directiva puede contener más de una tarea de Storage-Level Access Guard, no puede configurar una directiva para que contenga tareas de directorio de archivos y de Storage-Level Access Guard. Una política debe contener todas las tareas de Storage-Level Access Guard o todas las tareas de directorio de archivos.
En este ejemplo, se agrega una tarea a la política denominada "'poly1'", que se asigna al descriptor de seguridad "sD1". Está asignado a
/datavol1ruta con el tipo de control de acceso establecido en "retardo".vserver security file-directory policy task add -vserver vs1 -policy-name policy1 -path /datavol1 -access-control slag -security-type ntfs -ntfs-mode propagate -ntfs-sd sd1 -
Compruebe que la tarea está configurada correctamente mediante el
vserver security file-directory policy task showcomando.vserver security file-directory policy task show -vserver vs1 -policy-name policy1Vserver: vs1 Policy: policy1 Index File/Folder Access Security NTFS NTFS Security Path Control Type Mode Descriptor Name ----- ----------- --------------- -------- ---------- --------------- 1 /datavol1 slag ntfs propagate sd1 -
Aplique la directiva de seguridad de protección de acceso al nivel de almacenamiento mediante
vserver security file-directory applycomando.vserver security file-directory apply -vserver vs1 -policy-name policy1El trabajo que se va a aplicar la directiva de seguridad está programado.
-
Compruebe que la configuración de seguridad aplicada de la protección del acceso al nivel de almacenamiento sea correcta mediante
vserver security file-directory showcomando.En este ejemplo, el resultado del comando muestra que la seguridad Storage-Level Access Guard se ha aplicado al volumen NTFS
/datavol1. Aunque el DACL predeterminado que permite el control total para todos permanece, la seguridad de Storage-Level Access Guard restringe (y audita) el acceso a los grupos definidos en la configuración de Storage-Level Access Guard.vserver security file-directory show -vserver vs1 -path /datavol1Vserver: vs1 File Path: /datavol1 File Inode Number: 77 Security Style: ntfs Effective Style: ntfs DOS Attributes: 10 DOS Attributes in Text: ----D--- Expanded Dos Attributes: - Unix User Id: 0 Unix Group Id: 0 Unix Mode Bits: 777 Unix Mode Bits in Text: rwxrwxrwx ACLs: NTFS Security Descriptor Control:0x8004 Owner:BUILTIN\Administrators Group:BUILTIN\Administrators DACL - ACEs ALLOW-Everyone-0x1f01ff ALLOW-Everyone-0x10000000-OI|CI|IO Storage-Level Access Guard security SACL (Applies to Directories): AUDIT-EXAMPLE\Domain Users-0x120089-FA AUDIT-EXAMPLE\engineering-0x1f01ff-SA DACL (Applies to Directories): ALLOW-EXAMPLE\Domain Users-0x120089 ALLOW-EXAMPLE\engineering-0x1f01ff ALLOW-NT AUTHORITY\SYSTEM-0x1f01ff SACL (Applies to Files): AUDIT-EXAMPLE\Domain Users-0x120089-FA AUDIT-EXAMPLE\engineering-0x1f01ff-SA DACL (Applies to Files): ALLOW-EXAMPLE\Domain Users-0x120089 ALLOW-EXAMPLE\engineering-0x1f01ff ALLOW-NT AUTHORITY\SYSTEM-0x1f01ff