Cree listas de control de acceso compartido de SMB de ONTAP
Sugerir cambios
PDF
La configuración de permisos de uso compartido mediante la creación de listas de control de acceso (ACL) para recursos compartidos de SMB permite controlar el nivel de acceso a un recurso compartido para usuarios y grupos.
Puede configurar ACL de nivel compartido utilizando nombres de usuarios o grupos locales o de dominio de Windows o nombres de usuarios o grupos de UNIX.
Antes de crear una nueva ACL, debe suprimir la ACL de recurso compartido por defecto Everyone / Full Control , que representa un riesgo de seguridad.
En modo de grupo de trabajo, el nombre de dominio local es el nombre del servidor SMB.
-
Elimine la ACL predeterminada para compartir:`Vserver cifs share access-control delete -vserver <vserver_name> -share <share_name> -user-or-group everyone`
-
Configure la nueva ACL:
Si desea configurar las ACL utilizando… Introduzca el comando… Usuario de Windows
vserver cifs share access-control create -vserver <vserver_name> -share <share_name> -user-group-type windows -user-or-group <Windows_domain_name\user_name> -permission <access_right>Grupo Windows
vserver cifs share access-control create -vserver <vserver_name> -share <share_name> -user-group-type windows -user-or-group <Windows_domain_name\group_name> -permission <access_right>Usuario UNIX
vserver cifs share access-control create -vserver <vserver_name> -share <share_name> -user-group-type <unix-user> -user-or-group <UNIX_user_name> -permission <access_right>Grupo UNIX
vserver cifs share access-control create -vserver <vserver_name> -share <share_name> -user-group-type <unix-group> -user-or-group <UNIX_group_name> -permission <access_right> -
Verifique que la ACL aplicada al recurso compartido es correcta mediante
vserver cifs share access-control showel comando.
El siguiente comando otorga Change permisos al grupo de Windows “Equipo de ventas” para el recurso compartido “ventas” en la SVM “vs1.example.com”:
cluster1::> vserver cifs share access-control create -vserver vs1.example.com -share sales -user-or-group "DOMAIN\Sales Team" -permission Change
cluster1::> vserver cifs share access-control show -vserver vs1.example.com
Share User/Group User/Group Access
Vserver Name Name Type Permission
---------------- ----------- -------------------- --------- -----------
vs1.example.com c$ BUILTIN\Administrators windows Full_Control
vs1.example.com sales DOMAIN\Sales Team windows Change
El siguiente comando Read otorga permiso al grupo UNIX «engineering» para el recurso compartido «eng» en la SVM «vs2.example.com»:
cluster1::> vserver cifs share access-control create -vserver vs2.example.com -share eng -user-group-type unix-group -user-or-group engineering -permission Read
cluster1::> vserver cifs share access-control show -vserver vs2.example.com
Share User/Group User/Group Access
Vserver Name Name Type Permission
---------------- ----------- ------------------- ----------- -----------
vs2.example.com c$ BUILTIN\Administrators windows Full_Control
vs2.example.com eng engineering unix-group Read
Los siguientes comandos dan Change permiso al grupo local de Windows denominado «Tiger Team» y Full_Control permiso al usuario local de Windows denominado «Sue Chang» para el recurso compartido «datavol5» en la SVM «VS1»:
cluster1::> vserver cifs share access-control create -vserver vs1 -share datavol5 -user-group-type windows -user-or-group "Tiger Team" -permission Change
cluster1::> vserver cifs share access-control create -vserver vs1 -share datavol5 -user-group-type windows -user-or-group "Sue Chang" -permission Full_Control
cluster1::> vserver cifs share access-control show -vserver vs1
Share User/Group User/Group Access
Vserver Name Name Type Permission
-------------- ----------- --------------------------- ----------- -----------
vs1 c$ BUILTIN\Administrators windows Full_Control
vs1 datavol5 Tiger Team windows Change
vs1 datavol5 Sue Chang windows Full_Control