ボリューム セキュリティ スタイルがプロトコルにネイティブでない場合、ONTAP は NFS および CIFS クライアントの権限をどのように生成しますか?
環境
ONTAP 9
回答
NFSクライアントがNTFSセキュリティファイル/フォルダにアクセスする
NTFS ACLは、Unixモードビットの最も権限の低いバージョンに変換され、リクエストを発行したユーザーに適用されるように、所有者、所有者グループ、およびその他のフィールドに適用されます。ファイルの所有権は、所有権情報を書き込んだマッピングされたユーザーのUIDとGIDによって決定されます。同等のSIDに明示的な権限(Everyoneなど)が付与されている場合、「その他」フィールドが表示される場合があります。 管理者がオブジェクトの任意の所有者を割り当てた場合、結果として得られるUnix権限は新しい所有者ではなく、マッピングされた所有者の権限を反映するため、混乱が生じる可能性があります。
次のアクセス マスクはモードビットに直接変換されます。
- 読み取りと実行 (rx)、
- 読み取り (r--)、
- 書き込み (-w-)、
- 変更 (rwx)、
- フル コントロール (rwx)、
- フォルダーのスキャン / ファイルの実行 (--x)、
- ファイルの作成 / データの書き込み (-w-)、
- フォルダーの一覧表示 / データの読み取り (r--)
その他の特殊な権限は、Unixモードビットに直接変換されません。そのような場合、モードビットだけではクライアントがそのようなアクションを実行できるかどうかを表現することはできません。
UNIX セキュリティファイル/フォルダにアクセスする CIFS クライアント
Unixのパーミッションは、cifsオプションを指定するとNTFS ACLに変換されます。-is-unix-nt-acl-enabled
true (デフォルト) に設定されています。
これらのフィールドはデフォルトで偽のSIDに変換され、
- UNIXPermUid\ユーザー
- UNIXPermGid\グループ
- その他
- 現在アクセスしているユーザー
現在アクセスしているユーザーのエントリは、ユーザーの有効な権限を表すものであり、ファイル/フォルダーに適用された権限ではありません。
結果として得られるNTFS ACLは、変換されない権限があるため、モードビットと比較してより許可されているように見えます。ONTAPは、この変換によってクライアントの期待を維持しようとします。つまり、マッピングされたユーザがrwx権限を持つWindowsユーザは、モードビットでは明示的に付与できない特別な権限をUnixユーザに付与する場合でも、実質的にフルコントロールACLを持つことになります。
両方の変換は、権限が書き込まれるときに実行されます。
追加情報
SID/プレフィックス
|
プレースホルダー名
|
S-1-5-21-2038298172-1297133386-11111-<uid番号>
|
UNIXパーミットユーザーID
|
S-1-5-21-2038298172-1297133386-22222-<gid番号>
|
UNIXパーミギッド
|
S-1-5-21-2038298172-1297133386-33333
|
UNIXPerm\その他
|