允许用户或组绕过目录遍历检查

如果您希望某用户能够遍历路径中的所有目录以查找某个文件,则即使该用户不具有遍历目录的权限,您也可以将 SeChangeNotifyPrivilege 权限添加到 Storage Virtual Machine (SVM)上的本地 SMB 用户或组。默认情况下,用户能够绕过目录遍历检查。

开始之前

关于本任务

将权限添加到域用户或组时,ONTAP 可以通过联系域控制器来验证域用户或组。如果 ONTAP 无法与域控制器联系,则该命令可能会失败。

步骤

  1. 通过将 SeChangeNotifyPrivilege 权限添加到本地用户或域用户或组来启用绕过遍历检查:vserver cifs users-and-groups privilege add-privilege -vserver vserver_name -user-or-group-name name -privileges SeChangeNotifyPrivilege

    -user-or-group-name 参数值是本地用户或组,或者是域用户或组。

  2. 验证特定的用户或组是否已启用绕过遍历检查:vserver cifs users-and-groups privilege show -vserver vserver_name -user-or-group-name name

示例

通过以下命令,属于“EXAMPLE\eng”组的用户能够通过向组中添加 SeChangeNotifyPrivilege 权限来绕过目录遍历检查:

cluster1::> vserver cifs users-and-groups privilege add-privilege -vserver vs1 -user-or-group-name EXAMPLE\eng -privileges SeChangeNotifyPrivilege

cluster1::> vserver cifs users-and-groups privilege show -vserver vs1
Vserver   User or Group Name    Privileges
--------- --------------------- ---------------
vs1       EXAMPLE\eng           SeChangeNotifyPrivilege