ボリュームのセキュリティ形式がNFSクライアントとCIFSクライアントで標準のプロトコルでない場合、ONTAP はどのようにしてアクセス権を生成しますか。
環境
ONTAP 9
回答
NTFSセキュリティ ファイル/フォルダにアクセスするNFSクライアント
NTFS ACLは、UNIXモードビットの最も制限の少ない形式に変換され、要求を行うユーザに適用されるように、Owner、Owner Group、およびその他のフィールドに適用されます。ファイルの所有権は、所有権情報を書き込んだマッピング済みユーザのUIDとGIDによって決まります。対応するSIDに明示的な権限(Everyoneなど)が設定されているかどうかによっては、「Other」フィールドが表示されることがあります。 管理者がオブジェクトの任意の所有者を割り当てた場合、新しい所有者ではなくUNIXの権限がマッピングを反映するため、混乱が生じる可能性があります。
次のアクセスマスクは、モードビットに直接変換されます。
- 読み取りと実行(r-x)、
- 読み取り(r--)、
- 書き込み(-w -)、
- 変更(rwx)、
- フルコントロール(rwx)、
- フォルダのスキャン/ファイルの実行(--x)、
- ファイルの作成/データの書き込み(-w -)、
- フォルダのリスト/データの読み取り(r--)
他の特別な権限には、UNIXモードビットへの直接変換はありません。このような場合は、modeBITSだけでこのようなアクションを実行するクライアントの機能を表現することはできません。
UNIXセキュリティファイル/フォルダにアクセスするCIFSクライアント
UNIX権限 -is-unix-nt-acl-enabled
は、このオプションがtrue(デフォルト)に設定されている場合にNTFS ACLに変換されます。
これらのフィールドはデフォルトで偽のSIDに変換され、
- UNIXPermUid\ユーザ
- UNIXPermGid\グループ
- その他
- 現在アクセスしているユーザ
現在アクセスしているユーザのエントリは、そのユーザに有効な権限を表したものであり、ファイルやフォルダに適用されている権限ではありません。
変換されない権限があるため、モードビットよりも制限の緩いNTFS ACLが表示されます。ONTAP は、この変換についてクライアントの期待を維持しようとします。つまり、マッピングされたユーザがrwxになるWindowsユーザは、実際にはフルコントロールACLを持ちます。これは、UNIXユーザがモードビットで明示的に指定できなかった特別な権限を提供している場合でも同様です。
両方の変換は、権限が書き込まれたときに実行されます。
追加情報
SID /プレフィックス
|
プレースホルダー名
|
S-1-5-21-2038298172-1297133386-111-<uidNumber >
|
UNIX PermUid
|
S-1-5-21-2038298172-1297133386-2222-<gidNumber >
|
UNIX PermGid
|
S-1-5-21-2038298172-1297133386-3333
|
UNIX Perm\other
|