Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

如何將匯出原則用於SMB存取

貢獻者

如果SMB伺服器上已啟用SMB存取的匯出原則、則會在控制SMB用戶端對SVM磁碟區的存取時使用匯出原則。若要存取資料、您可以建立允許SMB存取的匯出原則、然後將原則與包含SMB共用的磁碟區建立關聯。

匯出原則會套用一或多個規則、指定允許哪些用戶端存取資料、以及哪些驗證傳輸協定支援唯讀和讀寫存取。您可以設定匯出原則、允許透過SMB存取所有用戶端、用戶端子網路或特定用戶端、並在決定資料的唯讀和讀寫存取時、允許使用Kerberos驗證、NTLM驗證或Kerberos和NTLM驗證進行驗證。

在處理所有套用至匯出原則的匯出規則之後ONTAP 、即可判斷用戶端是否已獲授予存取權限、以及授予何種存取層級。匯出規則適用於用戶端機器、而非Windows使用者和群組。匯出規則不會取代Windows使用者和群組型驗證與授權。匯出規則除了提供共用和檔案存取權限之外、還提供另一層存取安全性。

您只需將一個匯出原則與每個磁碟區建立關聯、即可設定用戶端對磁碟區的存取。每個SVM可包含多個匯出原則。這可讓您針對具有多個磁碟區的SVM執行下列作業:

  • 為SVM的每個Volume指派不同的匯出原則、以便個別用戶端存取控制到SVM中的每個Volume。

  • 將相同的匯出原則指派給SVM的多個磁碟區、以獲得相同的用戶端存取控制權、而無需為每個磁碟區建立新的匯出原則。

每個SVM至少有一個稱為「預設」的匯出原則、不含任何規則。您無法刪除此匯出原則、但可以重新命名或修改它。SVM上的每個Volume預設都與預設匯出原則相關聯。如果在SVM上停用SMB存取的匯出原則、「預設」匯出原則對SMB存取沒有影響。

您可以設定規則來提供NFS和SMB主機的存取權、並將該規則與匯出原則建立關聯、然後再與包含NFS和SMB主機所需存取之資料的磁碟區建立關聯。或者、如果有些磁碟區只有SMB用戶端需要存取、您可以設定匯出原則、其中的規則僅允許使用SMB傳輸協定存取、而且只使用Kerberos或NTLM(或兩者)進行唯讀和寫入存取驗證。然後、匯出原則會與僅需要SMB存取的磁碟區建立關聯。

如果啟用SMB的匯出原則、且用戶端提出的存取要求不受適用的匯出原則允許、則要求會以拒絕權限的訊息失敗。如果用戶端不符合磁碟區匯出原則中的任何規則、則會拒絕存取。如果匯出原則是空的、則所有存取都會隱含拒絕。即使共用和檔案權限不允許存取、也會發生這種情況。這表示您必須將匯出原則設定為在包含SMB共用的磁碟區上、至少允許下列項目:

  • 允許存取所有用戶端或適當的用戶端子集

  • 允許透過SMB存取

  • 使用Kerberos或NTLM驗證(或兩者)、允許適當的唯讀和寫入存取