限制或允许通过 SMB 进行访问的导出策略规则的示例

这些示例展示了如何通过创建导出策略规则在启用了 SMB 访问导出策略的 SVM 上限制或允许通过 SMB 进行访问。

默认情况下,SMB 访问导出策略处于禁用状态。仅当启用了 SMB 访问导出策略时,才需要配置导出策略规则来限制或允许通过 SMB 进行访问。

仅限 SMB 访问导出规则

以下命令将在名为“vs1”SVM 上创建导出规则,其配置如下:

cluster1::> vserver export-policy rule create -vserver vs1 -policyname cifs1 -ruleindex 1 -protocol cifs -clientmatch 192.168.1.0/255.255.255.0 -rorule krb5,ntlm -rwrule krb5

SMB 和 NFS 访问导出规则

以下命令将在名为“vs1”SVM 上创建导出规则,其配置如下:

cluster1::> vserver export-policy rule create -vserver vs1 -policyname cifsnfs1 -ruleindex 2 -protocol cifs,nfs -clientmatch 0.0.0.0/0 -rorule any -rwrule krb5,ntlm -anon 65534 -allow-suid true

仅限使用 NTLM 的 SMB 访问导出规则

以下命令将在名为“vs1”SVM 上创建导出规则,其配置如下:

注:如果为仅限 NTLM 的访问配置只读选项或读写选项,则必须在客户端匹配选项中使用基于 IP 地址的条目。否则,您会收到 “access denied” 错误。这是因为在使用主机名检查客户端的访问权限时,ONTAP 使用 Kerberos 服务主体名称 (SPN)。NTLM 身份验证不支持 SPN 名称。
cluster1::> vserver export-policy rule create -vserver vs1 -policyname ntlm1 -ruleindex 1 -protocol cifs -clientmatch 0.0.0.0/0 -rorule ntlm -rwrule ntlm