Note di rilascio
Aggiungere una regola a un criterio di esportazione
Suggerisci modifiche
-
PDF del sito di questa documentazione
-
Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
-
Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
-
-
Gestione dello storage NAS
-
Configurare NFS con la CLI
-
Gestisci NFS con la CLI
-
Gestire SMB con la CLI
-
Gestire i server SMB
-
Gestire l'accesso ai file utilizzando SMB
-
-
-
Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
-
Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
-
-
Protezione dei dati e disaster recovery
-
Raccolta di documenti PDF separati
Creating your file...
Senza regole, i criteri di esportazione non possono fornire l'accesso client ai dati. Per creare una nuova regola di esportazione, è necessario identificare i client e selezionare un formato di corrispondenza client, selezionare i tipi di accesso e di sicurezza, specificare un mapping anonimo dell'ID utente, selezionare un numero di indice della regola e selezionare il protocollo di accesso. È quindi possibile utilizzare vserver export-policy rule create per aggiungere la nuova regola a un criterio di esportazione.
-
Il criterio di esportazione a cui si desidera aggiungere le regole di esportazione deve già esistere.
-
Il DNS deve essere configurato correttamente sui dati SVM e i server DNS devono avere le voci corrette per i client NFS.
Questo perché ONTAP esegue ricerche DNS utilizzando la configurazione DNS dei dati SVM per determinati formati di corrispondenza client, e gli errori nella corrispondenza delle regole dei criteri di esportazione possono impedire l'accesso ai dati del client.
-
Se si esegue l'autenticazione con Kerberos, è necessario determinare quale dei seguenti metodi di protezione viene utilizzato sui client NFS:
-
krb5(Protocollo Kerberos V5) -
krb5i(Protocollo Kerberos V5 con controllo dell'integrità mediante checksum) -
krb5p(Protocollo Kerberos V5 con servizio di privacy)
-
Non è necessario creare una nuova regola se una regola esistente in un criterio di esportazione copre i requisiti di accesso e corrispondenza del client.
Se si esegue l'autenticazione con Kerberos e si accede a tutti i volumi della SVM tramite Kerberos, è possibile impostare le opzioni della regola di esportazione -rorule, -rwrule, e. -superuser per il volume root a. krb5, krb5i, o. krb5p.
-
Identificare i client e il formato di corrispondenza del client per la nuova regola.
Il
-clientmatchoption specifica i client a cui si applica la regola. È possibile specificare valori di corrispondenza client singoli o multipli; le specifiche di valori multipli devono essere separate da virgole. È possibile specificare la corrispondenza in uno dei seguenti formati:Formato di corrispondenza del client Esempio Nome di dominio preceduto da "." carattere
.example.comoppure.example.com,.example.net,...Nome host
host1oppurehost1,host2, ...Indirizzo IPv4
10.1.12.24oppure10.1.12.24,10.1.12.25, ...Indirizzo IPv4 con una subnet mask espressa come numero di bit
10.1.12.10/4oppure10.1.12.10/4,10.1.12.11/4,...Indirizzo IPv4 con una maschera di rete
10.1.16.0/255.255.255.0oppure10.1.16.0/255.255.255.0,10.1.17.0/255.255.255.0,...Indirizzo IPv6 in formato punteggiato
::1.2.3.4oppure::1.2.3.4,::1.2.3.5,...Indirizzo IPv6 con una subnet mask espressa come numero di bit
ff::00/32oppureff::00/32,ff::01/32,...Un singolo netgroup con il nome del netgroup preceduto dal carattere @
@netgroup1oppure@netgroup1,@netgroup2,...È inoltre possibile combinare tipi di definizioni client, ad esempio
.example.com,@netgroup1.Quando si specificano gli indirizzi IP, tenere presente quanto segue:
-
Non è consentito inserire un intervallo di indirizzi IP, ad esempio 10.1.12.10-10.1.12.70.
Le voci in questo formato vengono interpretate come una stringa di testo e trattate come nome host.
-
Quando si specificano singoli indirizzi IP nelle regole di esportazione per la gestione granulare dell'accesso client, non specificare gli indirizzi IP assegnati in modo dinamico (ad esempio DHCP) o temporaneo (ad esempio IPv6).
In caso contrario, il client perde l'accesso quando cambia l'indirizzo IP.
-
Non è consentito inserire un indirizzo IPv6 con una maschera di rete, ad esempio ff::12/ff::00.
-
-
Selezionare i tipi di accesso e di sicurezza per le corrispondenze dei client.
È possibile specificare una o più delle seguenti modalità di accesso per i client che eseguono l'autenticazione con i tipi di protezione specificati:
-
-rorule(accesso di sola lettura) -
-rwrule(accesso di lettura/scrittura) -
-superuser(accesso root)
Un client può ottenere l'accesso in lettura/scrittura solo per un tipo di protezione specifico se la regola di esportazione consente l'accesso in sola lettura anche per quel tipo di protezione. Se il parametro di sola lettura è più restrittivo per un tipo di protezione rispetto al parametro di lettura/scrittura, il client potrebbe non ottenere l'accesso di lettura/scrittura. Lo stesso vale per l'accesso dei superutenti.
È possibile specificare un elenco separato da virgole di più tipi di protezione per una regola. Se si specifica il tipo di protezione come
anyoppurenever, non specificare altri tipi di protezione. Scegliere tra i seguenti tipi di protezione validi:Quando il tipo di protezione è impostato su… Un client corrispondente può accedere ai dati esportati… anySempre, indipendentemente dal tipo di sicurezza in entrata.
noneSe elencati da soli, ai client con qualsiasi tipo di protezione viene concesso l'accesso come anonimo. Se elencato con altri tipi di protezione, ai client con un tipo di protezione specificato viene concesso l'accesso e ai client con qualsiasi altro tipo di protezione viene concesso l'accesso come anonimo.
neverMai, indipendentemente dal tipo di sicurezza in entrata.
krb5Se autenticato da Kerberos 5. Authentication Only (solo autenticazione): L'intestazione di ogni richiesta e risposta viene firmata.
krb5iSe autenticato da Kerberos 5i. Autenticazione e integrità: L'intestazione e il corpo di ogni richiesta e risposta vengono firmati.
krb5pSe autenticato da Kerberos 5p. Autenticazione, integrità e privacy: L'intestazione e il corpo di ogni richiesta e risposta vengono firmati e il payload dei dati NFS viene crittografato.
ntlmSe autenticato da CIFS NTLM.
sysSe autenticato da NFS AUTH_SYS.
Il tipo di protezione consigliato è
sys`Oppure, se si utilizza Kerberos, `krb5,krb5i, o.krb5p.
Se si utilizza Kerberos con NFSv3, la regola dei criteri di esportazione deve consentire
-rorulee.-rwruleaccesso a.sysoltre akrb5. Ciò è dovuto alla necessità di consentire l'accesso NLM (Network Lock Manager) all'esportazione. -
-
Specificare un mapping anonimo dell'ID utente.
Il
-anonL'opzione specifica un ID utente UNIX o un nome utente mappato alle richieste del client che arrivano con un ID utente 0 (zero), che in genere è associato al nome utente root. Il valore predefinito è65534. I client NFS in genere associano l'ID utente 65534 con il nome utente nessuno (noto anche come root squashing). In ONTAP, questo ID utente è associato all'utente pcuser. Per disattivare l'accesso da parte di qualsiasi client con un ID utente pari a 0, specificare un valore di65535. -
Selezionare l'ordine di indice della regola.
Il
-ruleindexoption specifica il numero di indice per la regola. Le regole vengono valutate in base al loro ordine nell'elenco dei numeri di indice; le regole con numeri di indice inferiori vengono valutate per prime. Ad esempio, la regola con indice numero 1 viene valutata prima della regola con indice numero 2.Se si desidera aggiungere… Quindi… La prima regola per un criterio di esportazione
Invio
1.Regole aggiuntive per una policy di esportazione
-
Visualizzare le regole esistenti nel criterio:
vserver export-policy rule show -instance -policyname your_policy -
Selezionare un numero di indice per la nuova regola in base all'ordine in cui deve essere valutata.
-
-
Selezionare il valore di accesso NFS applicabile: {
nfs|nfs3|nfs4}.nfscorrisponde a qualsiasi versione,nfs3e.nfs4associare solo le versioni specifiche. -
Creare la regola di esportazione e aggiungerla a un criterio di esportazione esistente:
vserver export-policy rule create -vserver vserver_name -policyname policy_name -ruleindex integer -protocol {nfs|nfs3|nfs4} -clientmatch { text | "text,text,…" } -rorule security_type -rwrule security_type -superuser security_type -anon user_ID -
Visualizzare le regole per il criterio di esportazione per verificare la presenza della nuova regola:
vserver export-policy rule show -policyname policy_nameIl comando visualizza un riepilogo per il criterio di esportazione, incluso un elenco di regole applicate a tale criterio. ONTAP assegna a ogni regola un numero di indice della regola. Una volta conosciuto il numero di indice della regola, è possibile utilizzarlo per visualizzare informazioni dettagliate sulla regola di esportazione specificata.
-
Verificare che le regole applicate ai criteri di esportazione siano configurate correttamente:
vserver export-policy rule show -policyname policy_name -vserver vserver_name -ruleindex integer
I seguenti comandi creano e verificano la creazione di una regola di esportazione su SVM denominata vs1 in un criterio di esportazione denominato rs1. La regola ha il numero di indice 1. La regola corrisponde a qualsiasi client nel dominio eng.company.com e al netgroup @netgroup1. La regola attiva tutti gli accessi NFS. Consente l'accesso in sola lettura e in lettura/scrittura agli utenti autenticati con AUTH_SYS. I client con ID utente UNIX 0 (zero) vengono anonimizzati a meno che non vengano autenticati con Kerberos.
vs1::> vserver export-policy rule create -vserver vs1 -policyname exp1 -ruleindex 1 -protocol nfs
-clientmatch .eng.company.com,@netgoup1 -rorule sys -rwrule sys -anon 65534 -superuser krb5
vs1::> vserver export-policy rule show -policyname nfs_policy
Virtual Policy Rule Access Client RO
Server Name Index Protocol Match Rule
------------ -------------- ------ -------- ---------------- ------
vs1 exp1 1 nfs eng.company.com, sys
@netgroup1
vs1::> vserver export-policy rule show -policyname exp1 -vserver vs1 -ruleindex 1
Vserver: vs1
Policy Name: exp1
Rule Index: 1
Access Protocol: nfs
Client Match Hostname, IP Address, Netgroup, or Domain: eng.company.com,@netgroup1
RO Access Rule: sys
RW Access Rule: sys
User ID To Which Anonymous Users Are Mapped: 65534
Superuser Security Types: krb5
Honor SetUID Bits in SETATTR: true
Allow Creation of Devices: true
I seguenti comandi creano e verificano la creazione di una regola di esportazione su SVM denominata vs2 in un criterio di esportazione denominato expol2. La regola ha il numero di indice 21. La regola consente di confrontare i client con i membri del netgroup dev_netgroup_main. La regola attiva tutti gli accessi NFS. Consente l'accesso in sola lettura per gli utenti autenticati con AUTH_SYS e richiede l'autenticazione Kerberos per l'accesso in lettura-scrittura e root. Ai client con ID utente UNIX 0 (zero) viene negato l'accesso root a meno che non vengano autenticati con Kerberos.
vs2::> vserver export-policy rule create -vserver vs2 -policyname expol2 -ruleindex 21 -protocol nfs
-clientmatch @dev_netgroup_main -rorule sys -rwrule krb5 -anon 65535 -superuser krb5
vs2::> vserver export-policy rule show -policyname nfs_policy
Virtual Policy Rule Access Client RO
Server Name Index Protocol Match Rule
-------- ------------ ------ -------- ------------------ ------
vs2 expol2 21 nfs @dev_netgroup_main sys
vs2::> vserver export-policy rule show -policyname expol2 -vserver vs1 -ruleindex 21
Vserver: vs2
Policy Name: expol2
Rule Index: 21
Access Protocol: nfs
Client Match Hostname, IP Address, Netgroup, or Domain:
@dev_netgroup_main
RO Access Rule: sys
RW Access Rule: krb5
User ID To Which Anonymous Users Are Mapped: 65535
Superuser Security Types: krb5
Honor SetUID Bits in SETATTR: true
Allow Creation of Devices: true