Notes de mise à jour
Gérer les demandes d'accès superutilisateur
Suggérer des modifications
-
Un fichier PDF de toute la documentation
-
Configuration, mise à niveau et restauration d'ONTAP
-
Administration du cluster
-
L'administration des volumes
-
Gestion du stockage logique avec l'interface de ligne de commandes
-
Utilisez des quotas pour limiter ou suivre l'utilisation des ressources
-
-
-
Gestion du stockage NAS
-
Configurez NFS avec l'interface de ligne de commande
-
Gérez NFS avec l'interface de ligne de commande
-
Gestion de SMB avec l'interface de ligne de commandes
-
Gérer les serveurs SMB
-
Gérer l'accès aux fichiers via SMB
-
-
-
Gestion du stockage SAN
-
Authentification et contrôle d'accès
-
Sécurité et chiffrement des données
-
Utilisez FPolicy pour le contrôle et la gestion des fichiers sur SVM
-
-
Protection des données et reprise d'activité
-
Plusieurs fichiers PDF
Creating your file...
Lorsque vous configurez des stratégies d'exportation, vous devez tenir compte de ce que vous voulez faire si le système de stockage reçoit une demande d'accès client avec l'ID utilisateur 0, c'est-à-dire en tant que superutilisateur, et définir vos règles d'exportation en conséquence.
Dans le monde UNIX, un utilisateur avec l'ID utilisateur 0 est appelé superutilisateur, généralement appelé root, qui dispose de droits d'accès illimités sur un système. L'utilisation des privilèges de superutilisateur peut être dangereuse pour plusieurs raisons, y compris une violation du système et de la sécurité des données.
Par défaut, ONTAP mappe les clients présentant l'ID utilisateur 0 à l'utilisateur anonyme. Toutefois, vous pouvez spécifier le - superuser Paramètre dans les règles d'exportation pour déterminer comment gérer les clients présentant l'ID utilisateur 0 en fonction de leur type de sécurité. Les options suivantes sont valides pour le -superuser paramètre :
-
any -
noneIl s'agit du paramètre par défaut si vous ne spécifiez pas le
-superuserparamètre. -
krb5 -
ntlm -
sys
Il existe deux façons différentes de gérer les clients présentant l'ID utilisateur 0, selon le -superuser configuration des paramètres :
Si le -superuser et le type de sécurité du client… |
Ensuite, le client… |
|---|---|
Correspondance |
Obtient l'accès superutilisateur avec l'ID utilisateur 0. |
Ne correspondent pas |
Obtient l'accès en tant qu'utilisateur anonyme avec l'ID utilisateur spécifié par le |
Si un client se présente avec l'ID utilisateur 0 pour accéder à un volume avec le style de sécurité NTFS et le -superuser le paramètre est défini sur none, ONTAP utilise le mappage de noms pour l'utilisateur anonyme afin d'obtenir les informations d'identification appropriées.
La export policy contient une règle d'exportation avec les paramètres suivants :
-
-protocolnfs3 -
-clientmatch10.1.16.0/255.255.255.0 -
-roruleany -
-rwrulekrb5,ntlm -
-anon127
Le client n° 1 a l'adresse IP 10.1.16.207, a l'ID utilisateur 746, envoie une demande d'accès à l'aide du protocole NFSv3 et s'authentifie avec Kerberos v5.
Le client #2 a l'adresse IP 10.1.16.211, a l'ID utilisateur 0, envoie une demande d'accès à l'aide du protocole NFSv3 et authentifiée avec AUTH_SYS.
Le protocole d'accès client et l'adresse IP correspondent pour les deux clients. Le paramètre en lecture seule permet l'accès en lecture seule à tous les clients, quel que soit le type de sécurité auquel ils sont authentifiés. Cependant, seul le client #1 obtient l'accès en lecture-écriture car il a utilisé le type de sécurité approuvé Kerberos v5 pour s'authentifier.
Le client #2 ne dispose pas d'un accès super-utilisateur. Au lieu de cela, il est mappé sur anonyme car le -superuser paramètre non spécifié. Cela signifie que la valeur par défaut est none Et mappe automatiquement l'ID utilisateur 0 sur anonyme. Le client #2 obtient également un accès en lecture seule car son type de sécurité ne correspond pas au paramètre lecture-écriture.
La export policy contient une règle d'exportation avec les paramètres suivants :
-
-protocolnfs3 -
-clientmatch10.1.16.0/255.255.255.0 -
-roruleany -
-rwrulekrb5,ntlm -
-superuserkrb5 -
-anon0
Le client #1 a l'adresse IP 10.1.16.207, a l'ID utilisateur 0, envoie une demande d'accès à l'aide du protocole NFSv3 et authentifiée avec Kerberos v5.
Le client #2 a l'adresse IP 10.1.16.211, a l'ID utilisateur 0, envoie une demande d'accès à l'aide du protocole NFSv3 et authentifiée avec AUTH_SYS.
Le protocole d'accès client et l'adresse IP correspondent pour les deux clients. Le paramètre en lecture seule permet l'accès en lecture seule à tous les clients, quel que soit le type de sécurité auquel ils sont authentifiés. Cependant, seul le client #1 obtient l'accès en lecture-écriture car il a utilisé le type de sécurité approuvé Kerberos v5 pour s'authentifier. Le client n° 2 ne dispose pas d'un accès en lecture/écriture.
La règle d'exportation permet l'accès superutilisateur pour les clients avec l'ID utilisateur 0. Le client #1 obtient l'accès superutilisateur car il correspond à l'ID utilisateur et au type de sécurité pour la lecture seule et -superuser paramètres. Le client #2 ne dispose pas d'un accès en lecture-écriture ou super-utilisateur, car son type de sécurité ne correspond pas au paramètre en lecture-écriture ou au -superuser paramètre. Au lieu de cela, le client #2 est mappé à l'utilisateur anonyme, qui a dans ce cas l'ID utilisateur 0.