简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理超级用户访问请求

提供者

在配置导出策略时,您需要考虑在存储系统收到用户 ID 为 0 (即超级用户)的客户端访问请求并相应地设置导出规则时要发生的情况。

在 UNIX 环境中,用户 ID 为 0 的用户称为超级用户,通常称为 root ,他们对系统拥有无限访问权限。由于多种原因,使用超级用户权限可能会很危险,包括违反系统和数据安全。

默认情况下, ONTAP 会将用户 ID 为 0 的客户端映射到匿名用户。但是,您可以在导出规则中指定 ` - superuser` 参数,以确定如何根据客户端的安全类型处理用户 ID 为 0 的客户端。以下是 ` -superuser` 参数的有效选项:

  • 任意

  • 如果未指定 ` -superuser` 参数,则此为默认设置。

  • krb5

  • NTLM

  • sys

根据 ` -superuser` 参数配置,处理用户 ID 为 0 的客户端的方式有两种:

如果 ` * -superuser*` 参数和客户端的安全类型 …​ 然后,客户端 …​

匹配

获取用户 ID 为 0 的超级用户访问权限。

不匹配

以 ` -anon` 参数指定的用户 ID 及其分配的权限的匿名用户身份获取访问权限。这与只读或读写参数指定选项 none 无关。

如果客户端使用用户 ID 0 访问采用 NTFS 安全模式的卷,并且 ` -superuser` 参数设置为 none ,则 ONTAP 将使用匿名用户的名称映射来获取正确的凭据。

导出策略包含具有以下参数的导出规则:

  • ` 协议` nfs3

  • ` 客户端匹配` 10.1.16.0/255.255.255.0

  • ` -` `` 任意

  • ` -rwrule` krb5 , NTLM

  • ` -anon` 127

客户端 1 的 IP 地址为 10.1.16.207 ,用户 ID 为 746 ,使用 NFSv3 协议发送访问请求,并使用 Kerberos v5 进行身份验证。

客户端 2 的 IP 地址为 10.1.16.211 ,用户 ID 为 0 ,使用 NFSv3 协议发送访问请求,并使用 AUTH_SYS 进行身份验证。

这两个客户端的客户端访问协议和 IP 地址匹配。只读参数允许对所有客户端进行只读访问,而不管客户端使用哪种安全类型进行身份验证。但是,只有客户端 1 获得读写访问权限,因为它使用经过批准的安全类型 Kerberos v5 进行身份验证。

客户端 2 不会获得超级用户访问权限。而是映射到 anonymous ,因为未指定 ` -superuser` 参数。这意味着它默认为 none ,并自动将用户 ID 0 映射到匿名用户。客户端 2 也仅获取只读访问,因为其安全类型与读写参数不匹配。

导出策略包含具有以下参数的导出规则:

  • ` 协议` nfs3

  • ` 客户端匹配` 10.1.16.0/255.255.255.0

  • ` -` `` 任意

  • ` -rwrule` krb5 , NTLM

  • ` 超级用户` krb5

  • ` -anon` 0

客户端 1 的 IP 地址为 10.1.16.207 ,用户 ID 为 0 ,使用 NFSv3 协议发送访问请求,并使用 Kerberos v5 进行身份验证。

客户端 2 的 IP 地址为 10.1.16.211 ,用户 ID 为 0 ,使用 NFSv3 协议发送访问请求,并使用 AUTH_SYS 进行身份验证。

这两个客户端的客户端访问协议和 IP 地址匹配。只读参数允许对所有客户端进行只读访问,而不管客户端使用哪种安全类型进行身份验证。但是,只有客户端 1 获得读写访问权限,因为它使用经过批准的安全类型 Kerberos v5 进行身份验证。客户端 2 不会获得读写访问权限。

导出规则允许用户 ID 为 0 的客户端进行超级用户访问。客户端 1 将获得超级用户访问权限,因为它与只读和 ` -superuser` 参数的用户 ID 和安全类型匹配。客户端 2 不会获得读写或超级用户访问权限,因为其安全类型与读写参数或 ` 超级用户` 参数不匹配。而是将客户端 2 映射到匿名用户,在这种情况下,此用户 ID 为 0 。