Aggiungere una regola a un criterio di esportazione
-
PDF del sito di questa documentazione
- Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
- Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
Gestione dello storage logico con la CLI
-
Gestione dello storage NAS
- Configurare NFS con la CLI
- Gestisci NFS con la CLI
-
Gestire SMB con la CLI
- Gestire i server SMB
- Gestire l'accesso ai file utilizzando SMB
- Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
- Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
- Protezione dei dati e disaster recovery
Raccolta di documenti PDF separati
Creating your file...
Senza regole, i criteri di esportazione non possono fornire l'accesso client ai dati. Per creare una nuova regola di esportazione, è necessario identificare i client e selezionare un formato di corrispondenza client, selezionare i tipi di accesso e di sicurezza, specificare un mapping anonimo dell'ID utente, selezionare un numero di indice della regola e selezionare il protocollo di accesso. È quindi possibile utilizzare vserver export-policy rule create
per aggiungere la nuova regola a un criterio di esportazione.
-
Il criterio di esportazione a cui si desidera aggiungere le regole di esportazione deve già esistere.
-
Il DNS deve essere configurato correttamente sui dati SVM e i server DNS devono avere le voci corrette per i client NFS.
Questo perché ONTAP esegue ricerche DNS utilizzando la configurazione DNS dei dati SVM per determinati formati di corrispondenza client, e gli errori nella corrispondenza delle regole dei criteri di esportazione possono impedire l'accesso ai dati del client.
-
Se si esegue l'autenticazione con Kerberos, è necessario determinare quale dei seguenti metodi di protezione viene utilizzato sui client NFS:
-
krb5
(Protocollo Kerberos V5) -
krb5i
(Protocollo Kerberos V5 con controllo dell'integrità mediante checksum) -
krb5p
(Protocollo Kerberos V5 con servizio di privacy)
-
Non è necessario creare una nuova regola se una regola esistente in un criterio di esportazione copre i requisiti di accesso e corrispondenza del client.
Se si esegue l'autenticazione con Kerberos e si accede a tutti i volumi della SVM tramite Kerberos, è possibile impostare le opzioni della regola di esportazione -rorule
, -rwrule
, e. -superuser
per il volume root a. krb5
, krb5i
, o. krb5p
.
-
Identificare i client e il formato di corrispondenza del client per la nuova regola.
Il
-clientmatch
option specifica i client a cui si applica la regola. È possibile specificare valori di corrispondenza client singoli o multipli; le specifiche di valori multipli devono essere separate da virgole. È possibile specificare la corrispondenza in uno dei seguenti formati:Formato di corrispondenza del client Esempio Nome di dominio preceduto da "." carattere
.example.com
oppure.example.com,.example.net,...
Nome host
host1
oppurehost1,host2, ...
Indirizzo IPv4
10.1.12.24
oppure10.1.12.24,10.1.12.25, ...
Indirizzo IPv4 con una subnet mask espressa come numero di bit
10.1.12.10/4
oppure10.1.12.10/4,10.1.12.11/4,...
Indirizzo IPv4 con una maschera di rete
10.1.16.0/255.255.255.0
oppure10.1.16.0/255.255.255.0,10.1.17.0/255.255.255.0,...
Indirizzo IPv6 in formato punteggiato
::1.2.3.4
oppure::1.2.3.4,::1.2.3.5,...
Indirizzo IPv6 con una subnet mask espressa come numero di bit
ff::00/32
oppureff::00/32,ff::01/32,...
Un singolo netgroup con il nome del netgroup preceduto dal carattere @
@netgroup1
oppure@netgroup1,@netgroup2,...
È inoltre possibile combinare tipi di definizioni client, ad esempio
.example.com,@netgroup1
.Quando si specificano gli indirizzi IP, tenere presente quanto segue:
-
Non è consentito inserire un intervallo di indirizzi IP, ad esempio 10.1.12.10-10.1.12.70.
Le voci in questo formato vengono interpretate come una stringa di testo e trattate come nome host.
-
Quando si specificano singoli indirizzi IP nelle regole di esportazione per la gestione granulare dell'accesso client, non specificare gli indirizzi IP assegnati in modo dinamico (ad esempio DHCP) o temporaneo (ad esempio IPv6).
In caso contrario, il client perde l'accesso quando cambia l'indirizzo IP.
-
Non è consentito inserire un indirizzo IPv6 con una maschera di rete, ad esempio ff::12/ff::00.
-
-
Selezionare i tipi di accesso e di sicurezza per le corrispondenze dei client.
È possibile specificare una o più delle seguenti modalità di accesso per i client che eseguono l'autenticazione con i tipi di protezione specificati:
-
-rorule
(accesso di sola lettura) -
-rwrule
(accesso di lettura/scrittura) -
-superuser
(accesso root)Un client può ottenere l'accesso in lettura/scrittura solo per un tipo di protezione specifico se la regola di esportazione consente l'accesso in sola lettura anche per quel tipo di protezione. Se il parametro di sola lettura è più restrittivo per un tipo di protezione rispetto al parametro di lettura/scrittura, il client potrebbe non ottenere l'accesso di lettura/scrittura. Lo stesso vale per l'accesso dei superutenti.
È possibile specificare un elenco separato da virgole di più tipi di protezione per una regola. Se si specifica il tipo di protezione come
any
oppurenever
, non specificare altri tipi di protezione. Scegliere tra i seguenti tipi di protezione validi:Quando il tipo di protezione è impostato su… Un client corrispondente può accedere ai dati esportati… any
Sempre, indipendentemente dal tipo di sicurezza in entrata.
none
Se elencati da soli, ai client con qualsiasi tipo di protezione viene concesso l'accesso come anonimo. Se elencato con altri tipi di protezione, ai client con un tipo di protezione specificato viene concesso l'accesso e ai client con qualsiasi altro tipo di protezione viene concesso l'accesso come anonimo.
never
Mai, indipendentemente dal tipo di sicurezza in entrata.
krb5
Se autenticato da Kerberos 5. Authentication Only (solo autenticazione): L'intestazione di ogni richiesta e risposta viene firmata.
krb5i
Se autenticato da Kerberos 5i. Autenticazione e integrità: L'intestazione e il corpo di ogni richiesta e risposta vengono firmati.
krb5p
Se autenticato da Kerberos 5p. Autenticazione, integrità e privacy: L'intestazione e il corpo di ogni richiesta e risposta vengono firmati e il payload dei dati NFS viene crittografato.
ntlm
Se autenticato da CIFS NTLM.
sys
Se autenticato da NFS AUTH_SYS.
Il tipo di protezione consigliato è
sys`Oppure, se si utilizza Kerberos, `krb5
,krb5i
, o.krb5p
.
Se si utilizza Kerberos con NFSv3, la regola dei criteri di esportazione deve consentire
-rorule
e.-rwrule
accesso a.sys
oltre akrb5
. Ciò è dovuto alla necessità di consentire l'accesso NLM (Network Lock Manager) all'esportazione. -
-
Specificare un mapping anonimo dell'ID utente.
Il
-anon
L'opzione specifica un ID utente UNIX o un nome utente mappato alle richieste del client che arrivano con un ID utente 0 (zero), che in genere è associato al nome utente root. Il valore predefinito è65534
. I client NFS in genere associano l'ID utente 65534 con il nome utente nessuno (noto anche come root squashing). In ONTAP, questo ID utente è associato all'utente pcuser. Per disattivare l'accesso da parte di qualsiasi client con un ID utente pari a 0, specificare un valore di65535
. -
Selezionare l'ordine di indice della regola.
Il
-ruleindex
option specifica il numero di indice per la regola. Le regole vengono valutate in base al loro ordine nell'elenco dei numeri di indice; le regole con numeri di indice inferiori vengono valutate per prime. Ad esempio, la regola con indice numero 1 viene valutata prima della regola con indice numero 2.Se si desidera aggiungere… Quindi… La prima regola per un criterio di esportazione
Invio
1
.Regole aggiuntive per una policy di esportazione
-
Visualizzare le regole esistenti nel criterio:
vserver export-policy rule show -instance -policyname your_policy
-
Selezionare un numero di indice per la nuova regola in base all'ordine in cui deve essere valutata.
-
-
Selezionare il valore di accesso NFS applicabile: {
nfs
|nfs3
|nfs4
}.nfs
corrisponde a qualsiasi versione,nfs3
e.nfs4
associare solo le versioni specifiche. -
Creare la regola di esportazione e aggiungerla a un criterio di esportazione esistente:
vserver export-policy rule create -vserver vserver_name -policyname policy_name -ruleindex integer -protocol {nfs|nfs3|nfs4} -clientmatch { text | "text,text,…" } -rorule security_type -rwrule security_type -superuser security_type -anon user_ID
-
Visualizzare le regole per il criterio di esportazione per verificare la presenza della nuova regola:
vserver export-policy rule show -policyname policy_name
Il comando visualizza un riepilogo per il criterio di esportazione, incluso un elenco di regole applicate a tale criterio. ONTAP assegna a ogni regola un numero di indice della regola. Una volta conosciuto il numero di indice della regola, è possibile utilizzarlo per visualizzare informazioni dettagliate sulla regola di esportazione specificata.
-
Verificare che le regole applicate ai criteri di esportazione siano configurate correttamente:
vserver export-policy rule show -policyname policy_name -vserver vserver_name -ruleindex integer
I seguenti comandi creano e verificano la creazione di una regola di esportazione su SVM denominata vs1 in un criterio di esportazione denominato rs1. La regola ha il numero di indice 1. La regola corrisponde a qualsiasi client nel dominio eng.company.com e al netgroup @netgroup1. La regola attiva tutti gli accessi NFS. Consente l'accesso in sola lettura e in lettura/scrittura agli utenti autenticati con AUTH_SYS. I client con ID utente UNIX 0 (zero) vengono anonimizzati a meno che non vengano autenticati con Kerberos.
vs1::> vserver export-policy rule create -vserver vs1 -policyname exp1 -ruleindex 1 -protocol nfs -clientmatch .eng.company.com,@netgoup1 -rorule sys -rwrule sys -anon 65534 -superuser krb5 vs1::> vserver export-policy rule show -policyname nfs_policy Virtual Policy Rule Access Client RO Server Name Index Protocol Match Rule ------------ -------------- ------ -------- ---------------- ------ vs1 exp1 1 nfs eng.company.com, sys @netgroup1 vs1::> vserver export-policy rule show -policyname exp1 -vserver vs1 -ruleindex 1 Vserver: vs1 Policy Name: exp1 Rule Index: 1 Access Protocol: nfs Client Match Hostname, IP Address, Netgroup, or Domain: eng.company.com,@netgroup1 RO Access Rule: sys RW Access Rule: sys User ID To Which Anonymous Users Are Mapped: 65534 Superuser Security Types: krb5 Honor SetUID Bits in SETATTR: true Allow Creation of Devices: true
I seguenti comandi creano e verificano la creazione di una regola di esportazione su SVM denominata vs2 in un criterio di esportazione denominato expol2. La regola ha il numero di indice 21. La regola consente di confrontare i client con i membri del netgroup dev_netgroup_main. La regola attiva tutti gli accessi NFS. Consente l'accesso in sola lettura per gli utenti autenticati con AUTH_SYS e richiede l'autenticazione Kerberos per l'accesso in lettura-scrittura e root. Ai client con ID utente UNIX 0 (zero) viene negato l'accesso root a meno che non vengano autenticati con Kerberos.
vs2::> vserver export-policy rule create -vserver vs2 -policyname expol2 -ruleindex 21 -protocol nfs -clientmatch @dev_netgroup_main -rorule sys -rwrule krb5 -anon 65535 -superuser krb5 vs2::> vserver export-policy rule show -policyname nfs_policy Virtual Policy Rule Access Client RO Server Name Index Protocol Match Rule -------- ------------ ------ -------- ------------------ ------ vs2 expol2 21 nfs @dev_netgroup_main sys vs2::> vserver export-policy rule show -policyname expol2 -vserver vs1 -ruleindex 21 Vserver: vs2 Policy Name: expol2 Rule Index: 21 Access Protocol: nfs Client Match Hostname, IP Address, Netgroup, or Domain: @dev_netgroup_main RO Access Rule: sys RW Access Rule: krb5 User ID To Which Anonymous Users Are Mapped: 65535 Superuser Security Types: krb5 Honor SetUID Bits in SETATTR: true Allow Creation of Devices: true