了解ONTAP SMB安全模式及其影响
建议更改
PDF
安全模式有四种: UNIX , NTFS ,混合和统一。每个安全模式对处理数据权限的方式具有不同的影响。您必须了解不同的影响,以确保选择适合您的安全模式。
请务必了解,安全模式并不确定哪些客户端类型可以或不可以访问数据。安全模式仅确定 ONTAP 用于控制数据访问的权限类型以及可以修改这些权限的客户端类型。
例如,如果某个卷使用 UNIX 安全模式,则由于 ONTAP 的多协议性质, SMB 客户端仍可访问数据(前提是它们正确进行身份验证和授权)。但是, ONTAP 使用的是 UNIX 权限,只有 UNIX 客户端才能使用原生工具进行修改。
| 安全风格 | 可以修改权限的客户端 | 客户端可以使用的权限 | 生成的有效安全模式 | 可以访问文件的客户端 |
|---|---|---|---|---|
"unix" |
NFS |
|
"unix" |
NFS 和 SMB |
NTFS |
SMB |
NTFS ACL |
NTFS |
NFS 和 SMB |
混合 |
NFS 或 SMB |
|
|
NFS 和 SMB |
统一: (仅限无限卷、在ONTAP 9.4及更早版本中。) |
NFS 或 SMB |
|
|
NFS 和 SMB |
FlexVol卷支持UNIX、NTFS和混合安全模式。混合或统一安全模式时,有效权限取决于上次修改权限的客户端类型,因为用户会逐个设置安全模式。如果修改权限的最后一个客户端是 NFSv3 客户端,则权限为 UNIX NFSv3 模式位。如果最后一个客户端是 NFSv4 客户端,则权限为 NFSv4 ACL 。如果最后一个客户端是 SMB 客户端,则权限为 Windows NTFS ACL 。
统一安全模式仅适用于无限卷,而 ONTAP 9.5 及更高版本不再支持无限卷。有关详细信息,请参见 FlexGroup 卷管理概述。
这 show-effective-permissions`参数 `vserver security file-directory`命令使您能够显示授予 Windows 或 UNIX 用户在指定文件或文件夹路径上的有效权限。此外、可选参数可 `-share-name`用于显示有效共享权限。有关的详细信息 `vserver security file-directory show-effective-permissions,请参见"ONTAP 命令参考"。
|
ONTAP 最初会设置一些默认文件权限。默认情况下, UNIX ,混合和统一安全模式卷中所有数据的有效安全模式为 UNIX ,有效权限类型为 UNIX 模式位( 0755 ,除非另有指定),直到客户端按照默认安全模式进行配置为止。默认情况下, NTFS 安全模式卷中所有数据的有效安全模式为 NTFS ,并且具有一个 ACL ,允许对任何人进行完全控制。 |
|
|
可以在 FlexVol 卷(根卷或数据卷)和 qtree 上设置安全样式。安全样式可以在创建时手动设置、自动继承或稍后更改。== 决定在 ONTAP SVM 上使用哪些 SMB 安全样式 |
为了帮助您确定要在卷上使用的安全模式,您应考虑两个因素。主要因素是管理文件系统的管理员类型。二级因素是访问卷上数据的用户或服务的类型。
在卷上配置安全模式时,应考虑环境的需求,以确保选择最佳安全模式并避免管理权限时出现问题。以下注意事项有助于您做出决定:
| 安全风格 | 选择条件 |
|---|---|
"unix" |
|
NTFS |
|
混合 |
文件系统由 UNIX 和 Windows 管理员管理,用户由 NFS 和 SMB 客户端组成。 |
了解ONTAP SMB安全模式继承
如果在创建新的 FlexVol 卷或 qtree 时未指定安全模式,则它会以不同方式继承其安全模式。
安全模式按以下方式继承:
-
FlexVol 卷继承其所属 SVM 的根卷的安全模式。
-
qtree 继承其所属 FlexVol 卷的安全模式。
-
文件或目录会继承其所在 FlexVol 卷或 qtree 的安全模式。