Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Cómo se usan las políticas de exportación con el acceso de SMB

Colaboradores

Si se habilitan las políticas de exportación para el acceso de SMB en el servidor SMB, se utilizan las políticas de exportación cuando se controla el acceso a los volúmenes de SVM mediante clientes SMB. Para acceder a los datos, puede crear una política de exportación que permita el acceso a SMB y, a continuación, asociar la política con los volúmenes que contienen recursos compartidos de SMB.

Una política de exportación tiene una o varias reglas que se le aplican para especificar qué clientes pueden acceder a los datos y qué protocolos de autenticación son compatibles con el acceso de solo lectura y de lectura y escritura. Puede configurar directivas de exportación para permitir el acceso a través de SMB a todos los clientes, a una subred de clientes o a un cliente específico y para permitir la autenticación mediante autenticación Kerberos, autenticación NTLM o autenticación Kerberos y NTLM al determinar el acceso de sólo lectura y escritura a los datos.

Tras procesar todas las reglas de exportación aplicadas a la política de exportación, ONTAP puede determinar si el cliente obtiene acceso y qué nivel de acceso se concede. Las reglas de exportación se aplican a los equipos cliente, no a los usuarios y grupos de Windows. Las reglas de exportación no reemplazan la autenticación y autorización basada en usuarios y grupos de Windows. Las reglas de exportación proporcionan otra capa de seguridad de acceso, además de permisos de uso compartido y acceso a archivos.

Se asocia exactamente una política de exportación a cada volumen para configurar el acceso de los clientes al volumen. Cada SVM puede contener varias políticas de exportación. Esto le permite hacer lo siguiente para las SVM con varios volúmenes:

  • Asigne diferentes políticas de exportación a cada volumen de la SVM para controlar el acceso de clientes individuales a cada volumen de la SVM.

  • Asigne la misma política de exportación a varios volúmenes del SVM para un control de acceso de clientes idéntico sin que tenga que crear una nueva política de exportación para cada volumen.

Cada SVM tiene, como mínimo, una política de exportación denominada «default», que no contiene reglas. No puede eliminar esta política de exportación, pero puede cambiarla ni cambiar el nombre. Cada volumen de la SVM está asociado de forma predeterminada con la política de exportación predeterminada. Si en la SVM se deshabilitan las políticas de exportación de acceso SMB, la política de exportación «predeterminado» no tendrá efecto en el acceso de las pymes.

Puede configurar reglas que proporcionen acceso a los hosts NFS y SMB y asociarlos con una política de exportación, que se puede asociar al volumen que contiene datos a los que necesitan acceder los hosts NFS y SMB. De forma alternativa, si hay algunos volúmenes en los que solo los clientes SMB necesitan acceso, puede configurar una directiva de exportación con reglas que solo permitan el acceso mediante el protocolo SMB y que sólo utilice Kerberos o NTLM (o ambos) para la autenticación de solo lectura y acceso de escritura. La política de exportación se asocia entonces a los volúmenes en los que solo se desea acceso a SMB.

Si se habilitan las políticas de exportación de SMB y un cliente realiza una solicitud de acceso que no permite la política de exportación correspondiente, la solicitud genera un mensaje de permiso denegado. Si un cliente no coincide con ninguna regla de la política de exportación del volumen, se deniega el acceso. Si una política de exportación está vacía, se deniegan implícitamente todos los accesos. Esto es cierto incluso si los permisos de recurso compartido y archivo de lo contrario permitirían el acceso. Esto significa que debe configurar la política de exportación para permitir, como mínimo, el siguiente valor en los volúmenes que contengan recursos compartidos de SMB:

  • Permitir el acceso a todos los clientes o al subconjunto apropiado de clientes

  • Permitir el acceso a través de SMB

  • Permitir el acceso de sólo lectura y escritura adecuado mediante autenticación Kerberos o NTLM (o ambos)