Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

安全性類型如何決定用戶端存取層級

貢獻者

用戶端驗證的安全性類型在匯出規則中扮演特殊角色。您必須瞭解安全性類型如何決定用戶端存取Volume或qtree的層級。

三種可能的存取層級如下:

  1. 唯讀

  2. 讀寫

  3. 超級使用者(適用於使用者ID為0的用戶端)

由於依安全性類型評估存取層級的順序如下、因此在匯出規則中建構存取層級參數時、您必須遵守下列規則:

若要讓用戶端取得存取層級…​ 這些存取參數必須符合用戶端的安全類型…​

一般使用者唯讀

唯讀 (-rorule

一般使用者讀寫

唯讀 (-rorule)和讀寫 (-rwrule

超級使用者唯讀

唯讀 (-rorule)和 -superuser

超級使用者讀寫

唯讀 (-rorule)和讀寫 (-rwrule)和 -superuser

以下是這三種存取參數的有效安全類型:

  • any

  • none

  • never

    此安全性類型不適用於 -superuser 參數。

  • krb5

  • krb5i

  • krb5p

  • ntlm

  • sys

將用戶端的安全類型與三個存取參數中的每個參數配對時、可能會產生三種結果:

如果用戶端的安全類型…​ 然後用戶端…​

符合存取參數中指定的。

使用自己的使用者ID取得該層級的存取權。

與指定的不相符、但存取參數包含選項 none

取得該層級的存取權、但以匿名使用者的身分、使用由指定的使用者 ID -anon 參數。

與指定的不相符、存取參數不包含選項 none

無法取得該層級的任何存取權。這不適用於 -superuser 參數、因為它永遠包含在內 none 即使未指定、

範例

匯出原則包含具有下列參數的匯出規則:

  • -protocol nfs3

  • -clientmatch 10.1.16.0/255.255.255.0

  • -rorule any

  • -rwrule sys,krb5

  • -superuser krb5

用戶端#1的IP位址為10.1.16.207、使用者ID為0、使用NFSv3傳輸協定傳送存取要求、並使用Kerberos v5進行驗證。

用戶端#2的IP位址為10.1.16.211、使用者ID為0、使用NFSv3傳輸協定傳送存取要求、並以AUTH_SYS驗證。

用戶端#3的IP位址為10.1.16.234、使用者ID為0、使用NFSv3傳輸協定傳送存取要求、但未驗證(AUTH_NONE)。

用戶端存取傳輸協定和IP位址符合這三個用戶端。唯讀參數允許所有用戶端的唯讀存取權、無論安全類型為何。讀寫參數允許以驗證為AUTH_SYS或Kerberos v5的用戶ID讀寫用戶端存取。超級使用者參數可讓超級使用者存取使用Kerberos v5驗證的用戶ID 0用戶端。

因此、用戶端#1會取得超級使用者讀寫存取權、因為它會符合所有三個存取參數。用戶端#2可取得讀寫存取權、但不具備超級使用者存取權。用戶端#3可取得唯讀存取權、但無法取得超級使用者存取權。