Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理超级用户访问请求

贡献者

在配置导出策略时,您需要考虑在存储系统收到用户 ID 为 0 (即超级用户)的客户端访问请求并相应地设置导出规则时要发生的情况。

在 UNIX 环境中,用户 ID 为 0 的用户称为超级用户,通常称为 root ,他们对系统拥有无限访问权限。由于多种原因,使用超级用户权限可能会很危险,包括违反系统和数据安全。

默认情况下, ONTAP 会将用户 ID 为 0 的客户端映射到匿名用户。但是、您可以指定 - superuser 用于确定如何根据安全类型处理用户ID为0的客户端的导出规则中的参数。以下是的有效选项 -superuser 参数:

  • any

  • none

    如果未指定、则此为默认设置 -superuser 参数。

  • krb5

  • ntlm

  • sys

根据、有两种不同的方式处理用户ID为0的客户端 -superuser 参数配置:

如果 -superuser 参数和客户端的安全类型 然后,客户端 …​

匹配

获取用户 ID 为 0 的超级用户访问权限。

不匹配

以用户ID由指定的匿名用户身份获取访问 -anon 参数及其分配的权限。这与只读或读写参数指定选项无关 none

如果客户端使用用户ID 0访问采用NTFS安全模式和的卷 -superuser 参数设置为 none,ONTAP使用匿名用户的名称映射来获取正确的凭据。

示例

导出策略包含具有以下参数的导出规则:

  • -protocol nfs3

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule any

  • -rwrule krb5,ntlm

  • -anon 127

客户端1的IP地址为10.1.16.207、用户ID为746、使用NFSv3协议发送访问请求、并使用Kerberos v5进行身份验证。

客户端 2 的 IP 地址为 10.1.16.211 ,用户 ID 为 0 ,使用 NFSv3 协议发送访问请求,并使用 AUTH_SYS 进行身份验证。

这两个客户端的客户端访问协议和 IP 地址匹配。只读参数允许对所有客户端进行只读访问,而不管客户端使用哪种安全类型进行身份验证。但是,只有客户端 1 获得读写访问权限,因为它使用经过批准的安全类型 Kerberos v5 进行身份验证。

客户端 2 不会获得超级用户访问权限。相反、它会映射到匿名、因为 -superuser 未指定参数。这意味着它默认为 none 并自动将用户ID 0映射到匿名。客户端 2 也仅获取只读访问,因为其安全类型与读写参数不匹配。

示例

导出策略包含具有以下参数的导出规则:

  • -protocol nfs3

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule any

  • -rwrule krb5,ntlm

  • -superuser krb5

  • -anon 0

客户端 1 的 IP 地址为 10.1.16.207 ,用户 ID 为 0 ,使用 NFSv3 协议发送访问请求,并使用 Kerberos v5 进行身份验证。

客户端 2 的 IP 地址为 10.1.16.211 ,用户 ID 为 0 ,使用 NFSv3 协议发送访问请求,并使用 AUTH_SYS 进行身份验证。

这两个客户端的客户端访问协议和 IP 地址匹配。只读参数允许对所有客户端进行只读访问,而不管客户端使用哪种安全类型进行身份验证。但是,只有客户端 1 获得读写访问权限,因为它使用经过批准的安全类型 Kerberos v5 进行身份验证。客户端 2 不会获得读写访问权限。

导出规则允许用户 ID 为 0 的客户端进行超级用户访问。客户端1将获得超级用户访问、因为它与只读和的用户ID和安全类型匹配 -superuser parameters客户端2不会获取读写或超级用户访问权限、因为其安全类型与读写参数或不匹配 -superuser 参数。而是将客户端 2 映射到匿名用户,在这种情况下,此用户 ID 为 0 。