Konfigurera åtkomstkontrollistor på NFSv4.1-volymer för Azure NetApp Files

Azure NetApp Files stöder åtkomstkontrollistor (ACL: er) på NFSv4.1-volymer. ACL:er ger detaljerad filsäkerhet via NFSv4.1.

ACL:er innehåller åtkomstkontrollentiteter (ACL), som anger behörigheter (läsning, skrivning osv.) för enskilda användare eller grupper. När du tilldelar användarroller anger du användarens e-postadress om du använder en virtuell Linux-dator som är ansluten till en Active Directory-domän. Annars anger du användar-ID:t för att ange behörigheter.

Mer information om ACL:er i Azure NetApp Files finns i Förstå ACL:er för NFSv4.x.

Krav

• ACL:er kan bara konfigureras på NFS4.1-volymer. Du kan konvertera en volym från NFSv3 till NFSv4.1.

• Du måste ha två paket installerade:

  1. nfs-utils montera NFS-volymer
  2. nfs-acl-tools för att visa och ändra NFSv4-ACL:er. Om du inte har någon av dem installerar du dem:
     • På en Red Hat Enterprise Linux- eller SUSE Linux-instans:

     sudo yum install -y nfs-utils
     sudo yum install -y nfs4-acl-tools
     

     • På Ubuntu- eller Debian-instansen:

     sudo apt-get install nfs-common
     sudo apt-get install nfs4-acl-tools
     

Konfigurera ACL:er

1. Om du vill konfigurera ACL:er för en virtuell Linux-dator som är ansluten till Active Directory slutför du stegen i Anslut en virtuell Linux-dator till en Microsoft Entra-domän.

2. Montera volymen.

3. Använd kommandot nfs4_getfacl <path> för att visa den befintliga ACL:en i en katalog eller fil.

   Standard-NFSv4.1 ACL är en nära representation av POSIX-behörigheterna på 770.

   • A::OWNER@:rwaDxtTnNcCy – ägaren har fullständig åtkomst (RWX)
   • A:g:GROUP@:rwaDxtTnNcy - gruppen har fullständig (RWX) åtkomst
   • A::EVERYONE@:tcy - Alla andra har ingen åtkomst

4. Om du vill ändra ett ACE för en användare använder du nfs4_setfacl kommandot: nfs4_setfacl -a|x A|D|U::<user|group>:<permissions_alias> <file>

   • Använd -a för att lägga till behörighet. Använd -x för att ta bort behörighet.
   • A skapar åtkomst; D nekar åtkomst. U: används för granskning av ACE:er för att logga åtkomstförsök.
   • I en Active Directory-ansluten konfiguration anger du en e-postadress för användaren. Annars anger du det numeriska användar-ID:t.
   • Behörighetsalias är bland annat läsa, skriva, lägga till, köra och andra. En fullständig lista över behörigheter finns i: NFSv4.x-behörigheter. I följande exempel som är anslutet till Active Directory ges användaren regan@contoso.com läs-, skriv- och kör-åtkomst till /nfsldap/engineering:

   nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
   

   • Om du konfigurerar ett ACE för filåtkomstloggar måste du använda prefixet U: för att ange att ACE är ett audit-ACE. I följande exempel konfigureras en granskningslogg för alla för lyckade och misslyckade åtkomstförsök: nfs4_setfacl -a U:fdiSF:EVERYONE@:rwaDdxtTnNcCoy /<mount_point>.
   • Om du vill tillämpa ACL:er rekursivt på en katalog och dess innehåll använder du -R alternativet med nfs4_setfacl kommandot . Det här alternativet säkerställer att ACL-ändringarna tillämpas på alla filer och underkataloger i den angivna katalogen.

Nästa steg

• Konfigurera NFS-klienter
• Förstå ACL:er för NFSv4.x