Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Mode d'utilisation des export-policy avec les accès SMB

Contributeurs

Si les export policy pour accès SMB sont activées sur le serveur SMB, les export policies sont utilisées lors du contrôle de l'accès aux volumes du SVM par les clients SMB. Pour accéder aux données, vous pouvez créer une export policy qui autorise l'accès SMB, puis associer la policy aux volumes contenant des partages SMB.

Une export policy applique une ou plusieurs règles qui lui permettent de spécifier les clients autorisés à accéder aux données et les protocoles d'authentification pris en charge pour l'accès en lecture seule et en lecture/écriture. Vous pouvez configurer des stratégies d'exportation afin d'autoriser l'accès via SMB à tous les clients, à un sous-réseau de clients ou à un client spécifique et autoriser l'authentification à l'aide de l'authentification Kerberos, de l'authentification NTLM ou des deux authentifications Kerberos et NTLM lors de la détermination de l'accès en lecture seule et en lecture/écriture aux données.

Après le traitement de toutes les règles d'exportation appliquées à l'export policy, ONTAP peut déterminer si le client dispose d'un accès et quel niveau d'accès. Les règles d'exportation s'appliquent aux ordinateurs clients et non aux utilisateurs et groupes Windows. Les règles d'exportation ne remplacent pas l'authentification et l'autorisation basées sur les utilisateurs et les groupes Windows. Les règles d'exportation offrent une autre couche de sécurité d'accès en plus des autorisations de partage et d'accès aux fichiers.

Vous associez exactement une export policy à chaque volume pour configurer l'accès client au volume. Chaque SVM peut contenir plusieurs export policy. Vous pouvez ainsi effectuer les opérations suivantes pour les SVM avec plusieurs volumes :

  • Assigner différentes export policy à chaque volume du SVM pour le contrôle d'accès client individuel à chaque volume du SVM.

  • Assigner la même export policy à plusieurs volumes du SVM pour un contrôle d'accès client identique sans avoir à créer de nouvelles export policy pour chaque volume.

Chaque SVM possède au moins une export policy appelée « default », qui ne contient aucune règle. Vous ne pouvez pas supprimer cette export-policy, mais vous pouvez la renommer ou la modifier. Par défaut, chaque volume du SVM est associé aux export policy par défaut. Si les export policy pour accès SMB sont désactivées sur le SVM, la « default » export policy n'a aucun impact sur l'accès SMB.

Vous pouvez configurer les règles fournissant l'accès aux hôtes NFS et SMB et associer cette règle à une export policy, qui peut ensuite être associée au volume qui contient des données auxquelles les hôtes NFS et SMB ont besoin d'accéder. Alternativement, s'il existe des volumes dans lesquels seuls les clients SMB ont besoin d'accéder, vous pouvez configurer une export policy avec des règles qui autorisent uniquement l'accès à l'aide du protocole SMB et qui utilisent uniquement Kerberos ou NTLM (ou les deux) pour l'authentification en lecture seule et l'accès en écriture. L'export policy est ensuite associée aux volumes pour lesquels seul l'accès SMB est souhaité.

Si les export policy pour SMB sont activées et qu'un client effectue une demande d'accès qui n'est pas autorisée par les export policy applicables, la requête échoue et un message d'autorisation refusée. Si un client ne correspond à aucune règle de l'export policy du volume, l'accès est refusé. Si une export policy est vide, alors tous les accès sont implicitement refusés. Ceci est vrai même si les autorisations de partage et de fichier autorisent autrement l'accès. Cela signifie que vous devez configurer votre export policy de manière à limiter les possibilités suivantes sur les volumes contenant des partages SMB :

  • Autoriser l'accès à tous les clients ou au sous-ensemble de clients approprié

  • Autoriser l'accès via SMB

  • Autoriser un accès en lecture seule et en écriture approprié via l'authentification Kerberos ou NTLM (ou les deux)