Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

管理超級使用者存取要求

貢獻者
PDF

設定匯出原則時、您必須考量儲存系統收到使用者ID為0的用戶端存取要求(表示以超級使用者身分)時、會發生什麼情況、並據此設定匯出規則。

在UNIX世界中、使用者ID為0的使用者稱為超級使用者、通常稱為root、在系統上擁有無限存取權限。使用進階使用者權限可能會有危險、原因包括系統和資料安全性遭到破壞。

根據預設ONTAP 、功能表會將使用者ID為0的用戶端對應至匿名使用者。不過、您可以指定 - superuser 匯出規則中的參數、可決定如何處理使用者 ID 0 呈現的用戶端、視其安全性類型而定。下列是的有效選項 -superuser 參數:

  • any

  • none

    如果您未指定、這是預設設定 -superuser 參數。

  • krb5

  • ntlm

  • sys

根據的不同、有兩種不同的方式來處理以使用者 ID 0 呈現的用戶端 -superuser 參數組態:

如果是 -superuser 參數和用戶端的安全類型 …​ 然後用戶端…​

相符

以使用者ID 0取得超級使用者存取權。

不相符

以匿名使用者的身分取得存取權、並使用指定的使用者 ID -anon 參數及其指派的權限。無論唯讀或讀寫參數是否指定選項、都是如此 none

如果用戶端提供使用者 ID 0 來存取具有 NTFS 安全性樣式的磁碟區、以及 -superuser 參數設定為 none, ONTAP 使用匿名使用者的名稱對應來取得適當的認證。

範例

匯出原則包含具有下列參數的匯出規則:

  • -protocol nfs3

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule any

  • -rwrule krb5,ntlm

  • -anon 127

用戶端 1 的 IP 位址為 10.16.207 、使用者 ID 746 、使用 NFSv3 傳輸協定傳送存取要求、並使用 Kerberos v5 進行驗證。

用戶端#2的IP位址為10.1.16.211、使用者ID為0、使用NFSv3傳輸協定傳送存取要求、並以AUTH_SYS驗證。

兩個用戶端的用戶端存取傳輸協定和IP位址都相符。唯讀參數允許所有用戶端的唯讀存取權、無論其驗證的安全類型為何。但是、只有用戶端#1會取得讀寫存取權、因為它使用核准的安全性類型Kerberos v5.x進行驗證。

用戶端#2無法取得超級使用者存取權。而是會對應至匿名、因為 -superuser 未指定參數。這表示預設為 none 並自動將使用者 ID 0 對應至匿名。用戶端#2也只會取得唯讀存取權、因為其安全性類型與讀寫參數不符。

範例

匯出原則包含具有下列參數的匯出規則:

  • -protocol nfs3

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule any

  • -rwrule krb5,ntlm

  • -superuser krb5

  • -anon 0

用戶端#1的IP位址為10.1.16.207、使用者ID為0、使用NFSv3傳輸協定傳送存取要求、並使用Kerberos v5進行驗證。

用戶端#2的IP位址為10.1.16.211、使用者ID為0、使用NFSv3傳輸協定傳送存取要求、並以AUTH_SYS驗證。

兩個用戶端的用戶端存取傳輸協定和IP位址都相符。唯讀參數允許所有用戶端的唯讀存取權、無論其驗證的安全類型為何。但是、只有用戶端#1會取得讀寫存取權、因為它使用核准的安全性類型Kerberos v5.x進行驗證。用戶端#2無法取得讀寫存取權。

匯出規則可讓使用者ID為0的用戶端擁有超級使用者存取權。用戶端 #1 獲得超級使用者存取權、因為它符合唯讀和的使用者 ID 和安全類型 -superuser 參數。用戶端 #2 無法取得讀寫或超級使用者存取權、因為其安全性類型與讀寫參數或不相符 -superuser 參數。而是將用戶端#2對應至匿名使用者、在此案例中、該使用者ID為0。