安全性類型如何決定用戶端存取層級
建議變更
PDF
用戶端驗證的安全性類型在匯出規則中扮演特殊角色。您必須瞭解安全性類型如何決定用戶端存取Volume或qtree的層級。
三種可能的存取層級如下:
-
唯讀
-
讀寫
-
超級使用者(適用於使用者ID為0的用戶端)
由於依安全性類型評估存取層級的順序如下、因此在匯出規則中建構存取層級參數時、您必須遵守下列規則:
| 若要讓用戶端取得存取層級… | 這些存取參數必須符合用戶端的安全類型… |
|---|---|
一般使用者唯讀 |
唯讀 ( |
一般使用者讀寫 |
唯讀 ( |
超級使用者唯讀 |
唯讀 ( |
超級使用者讀寫 |
唯讀 ( |
以下是這三種存取參數的有效安全類型:
-
any -
none -
never此安全性類型不適用於
-superuser參數。 -
krb5 -
krb5i -
krb5p -
ntlm -
sys
將用戶端的安全類型與三個存取參數中的每個參數配對時、可能會產生三種結果:
| 如果用戶端的安全類型… | 然後用戶端… |
|---|---|
符合存取參數中指定的。 |
使用自己的使用者ID取得該層級的存取權。 |
與指定的不相符、但存取參數包含選項 |
取得該層級的存取權、但以匿名使用者的身分、使用由指定的使用者 ID |
與指定的不相符、存取參數不包含選項 |
無法取得該層級的任何存取權。這不適用於 |
匯出原則包含具有下列參數的匯出規則:
-
-protocolnfs3 -
-clientmatch10.1.16.0/255.255.255.0 -
-roruleany -
-rwrulesys,krb5 -
-superuserkrb5
用戶端#1的IP位址為10.1.16.207、使用者ID為0、使用NFSv3傳輸協定傳送存取要求、並使用Kerberos v5進行驗證。
用戶端#2的IP位址為10.1.16.211、使用者ID為0、使用NFSv3傳輸協定傳送存取要求、並以AUTH_SYS驗證。
用戶端#3的IP位址為10.1.16.234、使用者ID為0、使用NFSv3傳輸協定傳送存取要求、但未驗證(AUTH_NONE)。
用戶端存取傳輸協定和IP位址符合這三個用戶端。唯讀參數允許所有用戶端的唯讀存取權、無論安全類型為何。讀寫參數允許以驗證為AUTH_SYS或Kerberos v5的用戶ID讀寫用戶端存取。超級使用者參數可讓超級使用者存取使用Kerberos v5驗證的用戶ID 0用戶端。
因此、用戶端#1會取得超級使用者讀寫存取權、因為它會符合所有三個存取參數。用戶端#2可取得讀寫存取權、但不具備超級使用者存取權。用戶端#3可取得唯讀存取權、但無法取得超級使用者存取權。