Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

如何在 SMB 访问中使用导出策略

贡献者

如果在SMB服务器上启用了SMB访问导出策略、则在控制SMB客户端对SVM卷的访问时会使用导出策略。要访问数据,您可以创建一个允许 SMB 访问的导出策略,然后将该策略与包含 SMB 共享的卷相关联。

导出策略应用了一个或多个规则,用于指定允许哪些客户端访问数据以及只读和读写访问支持哪些身份验证协议。您可以配置导出策略,以允许通过 SMB 访问所有客户端,一个子网客户端或特定客户端,并允许在确定对数据的只读和读写访问时使用 Kerberos 身份验证, NTLM 身份验证或 Kerberos 和 NTLM 身份验证进行身份验证。

在处理应用于导出策略的所有导出规则后, ONTAP 可以确定是否授予客户端访问权限以及授予的访问级别。导出规则适用于客户端计算机,而不适用于 Windows 用户和组。导出规则不会取代基于 Windows 用户和组的身份验证和授权。除了共享和文件访问权限之外,导出规则还提供了另一层访问安全性。

您只需将一个导出策略关联到每个卷,即可配置客户端对卷的访问。每个 SVM 可以包含多个导出策略。这样,您可以对包含多个卷的 SVM 执行以下操作:

  • 为 SVM 的每个卷分配不同的导出策略,以便对 SVM 中的每个卷进行单个客户端访问控制。

  • 为 SVM 的多个卷分配相同的导出策略,以实现相同的客户端访问控制,而无需为每个卷创建新的导出策略。

每个 SVM 至少有一个名为 default 的导出策略,该策略不包含任何规则。您不能删除此导出策略,但可以重命名或修改它。默认情况下, SVM 上的每个卷都与默认导出策略相关联。如果在 SVM 上禁用了 d访问导出策略,则 "' 默认 ' ' 导出策略对 SMB 访问没有任何影响。

您可以配置规则以提供对 NFS 和 SMB 主机的访问,并将该规则与导出策略关联,然后导出策略可以与包含 NFS 和 SMB 主机都需要访问的数据的卷关联。或者,如果某些卷中只有 SMB 客户端需要访问,则可以为导出策略配置规则,这些规则只允许使用 SMB 协议进行访问,并且仅使用 Kerberos 或 NTLM (或两者)进行只读和写访问身份验证。然后,导出策略将与只需要 SMB 访问的卷相关联。

如果启用了 SMB 的导出策略,并且客户端发出适用导出策略不允许的访问请求,则此请求将失败,并显示权限被拒绝的消息。如果客户端与卷导出策略中的任何规则不匹配,则访问将被拒绝。如果导出策略为空,则会隐式拒绝所有访问。即使共享和文件权限允许访问,也是如此。这意味着,您必须将导出策略配置为在包含 SMB 共享的卷上至少允许以下内容:

  • 允许访问所有客户端或相应的部分客户端

  • 允许通过 SMB 进行访问

  • 允许使用 Kerberos 或 NTLM 身份验证(或这两者)进行适当的只读和写访问

了解相关信息 "配置和管理导出策略"