Adicione uma regra a uma política de exportação
Sem regras, a política de exportação não pode fornecer acesso de cliente aos dados. Para criar uma nova regra de exportação, você deve identificar clientes e selecionar um formato de correspondência de cliente, selecionar os tipos de acesso e segurança, especificar um mapeamento de ID de usuário anônimo, selecionar um número de índice de regras e selecionar o protocolo de acesso. Em seguida, você pode usar o vserver export-policy rule create
comando para adicionar a nova regra a uma política de exportação.
-
A política de exportação à qual deseja adicionar as regras de exportação já deve existir.
-
O DNS deve ser configurado corretamente nos dados SVM e os servidores DNS devem ter entradas corretas para clientes NFS.
Isso ocorre porque o ONTAP executa pesquisas de DNS usando a configuração DNS do SVM de dados para determinados formatos de correspondência de clientes, e falhas na correspondência de regras de política de exportação podem impedir o acesso aos dados do cliente.
-
Se você estiver autenticando com Kerberos, você deve ter determinado qual dos seguintes métodos de segurança é usado em seus clientes NFS:
-
krb5
(Protocolo Kerberos V5) -
krb5i
(Protocolo Kerberos V5 com verificação de integridade usando checksums) -
krb5p
(Protocolo Kerberos V5 com serviço de privacidade)
-
Não é necessário criar uma nova regra se uma regra existente em uma política de exportação abranger seus requisitos de correspondência de cliente e acesso.
Se você estiver autenticando com Kerberos e se todos os volumes da SVM forem acessados por Kerberos, poderá definir as opções de regra de exportação -rorule
, -rwrule
e -superuser
para o volume raiz como krb5
, krb5i
ou krb5p
.
-
Identificar os clientes e o formato de correspondência do cliente para a nova regra.
A
-clientmatch
opção especifica os clientes aos quais a regra se aplica. Valores de correspondência de cliente único ou múltiplo podem ser especificados; as especificações de vários valores devem ser separadas por vírgulas. Você pode especificar a correspondência em qualquer um dos seguintes formatos:Formato de correspondência do cliente Exemplo Nome de domínio precedido pelo caractere "."
.example.com
ou.example.com,.example.net,...
Nome do host
host1
ouhost1,host2, ...
Endereço IPv4
10.1.12.24
ou10.1.12.24,10.1.12.25, ...
Endereço IPv4 com uma máscara de sub-rede expressa como um número de bits
10.1.12.10/4
ou10.1.12.10/4,10.1.12.11/4,...
Endereço IPv4 com uma máscara de rede
10.1.16.0/255.255.255.0
ou10.1.16.0/255.255.255.0,10.1.17.0/255.255.255.0,...
Endereço IPv6 no formato pontilhado
::1.2.3.4
ou::1.2.3.4,::1.2.3.5,...
Endereço IPv6 com uma máscara de sub-rede expressa como um número de bits
ff::00/32
ouff::00/32,ff::01/32,...
Um único netgroup com o nome netgroup precedido pelo caractere at
@netgroup1
ou@netgroup1,@netgroup2,...
Você também pode combinar tipos de definições de cliente; por exemplo
.example.com,@netgroup1
, .Ao especificar endereços IP, observe o seguinte:
-
Não é permitido introduzir um intervalo de endereços IP, como 10,1.12,10-10,1.12,70.
As entradas neste formato são interpretadas como uma cadeia de texto e tratadas como um nome de host.
-
Ao especificar endereços IP individuais em regras de exportação para gerenciamento granular do acesso do cliente, não especifique endereços IP que sejam atribuídos dinamicamente (por exemplo, DHCP) ou temporariamente (por exemplo, IPv6).
Caso contrário, o cliente perde o acesso quando seu endereço IP muda.
-
Não é permitido inserir um endereço IPv6 com uma máscara de rede, como ff::12/FF::00.
-
-
Selecione os tipos de acesso e segurança para correspondências de clientes.
Você pode especificar um ou mais dos seguintes modos de acesso aos clientes que se autenticam com os tipos de segurança especificados:
-
-rorule
(acesso somente leitura) -
-rwrule
(acesso de leitura e gravação) -
-superuser
(acesso à raiz)Um cliente só pode obter acesso de leitura e gravação para um tipo de segurança específico se a regra de exportação também permitir acesso somente leitura para esse tipo de segurança. Se o parâmetro somente leitura for mais restritivo para um tipo de segurança do que o parâmetro leitura-gravação, o cliente poderá não obter acesso de leitura-gravação. O mesmo se aplica ao acesso do superusuário.
Você pode especificar uma lista separada por vírgulas de vários tipos de segurança para uma regra. Se especificar o tipo de segurança
any
como ounever
, não especifique outros tipos de segurança. Escolha entre os seguintes tipos de segurança válidos:Quando o tipo de segurança está definido como… Um cliente correspondente pode acessar os dados exportados… any
Sempre, independentemente do tipo de segurança de entrada.
none
Se listado sozinho, os clientes com qualquer tipo de segurança recebem acesso como anônimo. Se listado com outros tipos de segurança, os clientes com um tipo de segurança especificado recebem acesso e os clientes com qualquer outro tipo de segurança recebem acesso como anônimos.
never
Nunca, independentemente do tipo de segurança de entrada.
krb5
Se for autenticado pelo Kerberos 5. Somente autenticação: O cabeçalho de cada solicitação e resposta é assinado.
krb5i
Se for autenticado pelo Kerberos 5i. Autenticação e integridade: O cabeçalho e o corpo de cada solicitação e resposta são assinados.
krb5p
Se for autenticado pelo Kerberos 5P. Autenticação, integridade e privacidade: O cabeçalho e o corpo de cada solicitação e resposta são assinados e a carga útil de dados NFS é criptografada.
ntlm
Se for autenticado pelo CIFS NTLM.
sys
Se for autenticado por NFS AUTH_SYS.
O tipo de segurança recomendado é
sys
, ou se o Kerberos for usado,krb5
krb5i
, oukrb5p
.
Se você estiver usando Kerberos com NFSv3, a regra de política de exportação deverá permitir
-rorule
e-rwrule
acessarsys
alémkrb5
do . Isso ocorre devido à necessidade de permitir o acesso do Network Lock Manager (NLM) à exportação. -
-
Especifique um mapeamento de ID de usuário anônimo.
A
-anon
opção especifica um ID de usuário UNIX ou nome de usuário que é mapeado para solicitações de cliente que chegam com um ID de usuário de 0 (zero), que normalmente é associado à raiz do nome de usuário. O valor padrão é65534
. Os clientes NFS normalmente associam o ID de usuário 65534 ao nome de usuário nobody (também conhecido como root squashing). No ONTAP, esse ID de usuário está associado ao usuário pcuser. Para desativar o acesso por qualquer cliente com uma ID de usuário de 0, especifique um valor65535
de . -
Selecione a ordem do índice de regras.
A
-ruleindex
opção especifica o número do índice para a regra. As regras são avaliadas de acordo com sua ordem na lista de números de índice; regras com números de índice mais baixos são avaliadas primeiro. Por exemplo, a regra com índice número 1 é avaliada antes da regra com índice número 2.Se você está adicionando… Então… A primeira regra para uma política de exportação
Introduza
1
.Regras adicionais para uma política de exportação
-
Exibir regras existentes na política
vserver export-policy rule show -instance -policyname your_policy
-
Selecione um número de índice para a nova regra, dependendo da ordem em que ela deve ser avaliada.
-
-
Selecione o valor de acesso NFS aplicável:{
nfs
|nfs3
|nfs4
.nfs
corresponde a qualquer versão enfs3
nfs4
corresponde apenas a essas versões específicas. -
Crie a regra de exportação e adicione-a a uma política de exportação existente:
vserver export-policy rule create -vserver vserver_name -policyname policy_name -ruleindex integer -protocol {nfs|nfs3|nfs4} -clientmatch { text | "text,text,…" } -rorule security_type -rwrule security_type -superuser security_type -anon user_ID
-
Exiba as regras da política de exportação para verificar se a nova regra está presente:
vserver export-policy rule show -policyname policy_name
O comando exibe um resumo para essa política de exportação, incluindo uma lista de regras aplicadas a essa política. O ONTAP atribui a cada regra um número de índice de regra. Depois de saber o número do índice da regra, você pode usá-lo para exibir informações detalhadas sobre a regra de exportação especificada.
-
Verifique se as regras aplicadas à política de exportação estão configuradas corretamente:
vserver export-policy rule show -policyname policy_name -vserver vserver_name -ruleindex integer
Os comandos a seguir criam e verificam a criação de uma regra de exportação no SVM chamado VS1 em uma política de exportação chamada RS1. A regra tem o índice número 1. A regra corresponde a qualquer cliente no domínio eng.company.com e o netgroup netgroup1. A regra habilita todo o acesso NFS. Ele permite acesso somente leitura e leitura-gravação a usuários autenticados com AUTH_SYS. Os clientes com o ID de usuário UNIX 0 (zero) são anonimizados, a menos que autenticados com o Kerberos.
vs1::> vserver export-policy rule create -vserver vs1 -policyname exp1 -ruleindex 1 -protocol nfs -clientmatch .eng.company.com,@netgoup1 -rorule sys -rwrule sys -anon 65534 -superuser krb5 vs1::> vserver export-policy rule show -policyname nfs_policy Virtual Policy Rule Access Client RO Server Name Index Protocol Match Rule ------------ -------------- ------ -------- ---------------- ------ vs1 exp1 1 nfs eng.company.com, sys @netgroup1 vs1::> vserver export-policy rule show -policyname exp1 -vserver vs1 -ruleindex 1 Vserver: vs1 Policy Name: exp1 Rule Index: 1 Access Protocol: nfs Client Match Hostname, IP Address, Netgroup, or Domain: eng.company.com,@netgroup1 RO Access Rule: sys RW Access Rule: sys User ID To Which Anonymous Users Are Mapped: 65534 Superuser Security Types: krb5 Honor SetUID Bits in SETATTR: true Allow Creation of Devices: true
Os comandos a seguir criam e verificam a criação de uma regra de exportação no SVM chamado VS2 em uma política de exportação chamada expol2. A regra tem o índice número 21. A regra corresponde clientes aos membros do netgroup dev_netgroup_main. A regra habilita todo o acesso NFS. Ele permite acesso somente leitura para usuários autenticados com AUTH_SYS e requer autenticação Kerberos para leitura-gravação e acesso root. Os clientes com a ID de usuário UNIX 0 (zero) têm acesso root negado, a menos que autenticados com Kerberos.
vs2::> vserver export-policy rule create -vserver vs2 -policyname expol2 -ruleindex 21 -protocol nfs -clientmatch @dev_netgroup_main -rorule sys -rwrule krb5 -anon 65535 -superuser krb5 vs2::> vserver export-policy rule show -policyname nfs_policy Virtual Policy Rule Access Client RO Server Name Index Protocol Match Rule -------- ------------ ------ -------- ------------------ ------ vs2 expol2 21 nfs @dev_netgroup_main sys vs2::> vserver export-policy rule show -policyname expol2 -vserver vs1 -ruleindex 21 Vserver: vs2 Policy Name: expol2 Rule Index: 21 Access Protocol: nfs Client Match Hostname, IP Address, Netgroup, or Domain: @dev_netgroup_main RO Access Rule: sys RW Access Rule: krb5 User ID To Which Anonymous Users Are Mapped: 65535 Superuser Security Types: krb5 Honor SetUID Bits in SETATTR: true Allow Creation of Devices: true