メインコンテンツへスキップ

ボリューム セキュリティ スタイルがプロトコルにネイティブでない場合、ONTAP は NFS および CIFS クライアントの権限をどのように生成しますか?

Views:
597
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

環境

ONTAP 9

回答

NFSクライアントがNTFSセキュリティファイル/フォルダにアクセスする

NTFS ACLは、Unixモードビットの最も権限の低いバージョンに変換され、リクエストを発行したユーザーに適用されるように、所有者、所有者グループ、およびその他のフィールドに適用されます。ファイルの所有権は、所有権情報を書き込んだマッピングされたユーザーのUIDとGIDによって決定されます。同等のSIDに明示的な権限(Everyoneなど)が付与されている場合、「その他」フィールドが表示される場合があります。  管理者がオブジェクトの任意の所有者を割り当てた場合、結果として得られるUnix権限は新しい所有者ではなく、マッピングされた所有者の権限を反映するため、混乱が生じる可能性があります。

次のアクセス マスクはモードビットに直接変換されます。

  • 読み取りと実行 (rx)、
  • 読み取り (r--)、
  • 書き込み (-w-)、
  • 変更 (rwx)、
  • フル コントロール (rwx)、
  • フォルダーのスキャン / ファイルの実行 (--x)、
  • ファイルの作成 / データの書き込み (-w-)、
  • フォルダーの一覧表示 / データの読み取り (r--)

その他の特殊な権限は、Unixモードビットに直接変換されません。そのような場合、モードビットだけではクライアントがそのようなアクションを実行できるかどうかを表現することはできません。

UNIX セキュリティファイル/フォルダにアクセスする CIFS クライアント

Unixのパーミッションは、cifsオプションを指定するとNTFS ACLに変換されます。-is-unix-nt-acl-enabled true (デフォルト) に設定されています。

これらのフィールドはデフォルトで偽のSIDに変換され、

  • UNIXPermUid\ユーザー
  • UNIXPermGid\グループ
  • その他
  • 現在アクセスしているユーザー

現在アクセスしているユーザーのエントリは、ユーザーの有効な権限を表すものであり、ファイル/フォルダーに適用された権限ではありません。

結果として得られるNTFS ACLは、変換されない権限があるため、モードビットと比較してより許可されているように見えます。ONTAPは、この変換によってクライアントの期待を維持しようとします。つまり、マッピングされたユーザがrwx権限を持つWindowsユーザは、モードビットでは明示的に付与できない特別な権限をUnixユーザに付与する場合でも、実質的にフルコントロールACLを持つことになります。

両方の変換は、権限が書き込まれるときに実行されます。

追加情報

SID/プレフィックス

 

 

プレースホルダー名

 

 

S-1-5-21-2038298172-1297133386-11111-<uid番号>

 

 

UNIXパーミットユーザーID

 

 

S-1-5-21-2038298172-1297133386-22222-<gid番号>

 

 

UNIXパーミギッド

 

 

S-1-5-21-2038298172-1297133386-33333

 

 

UNIXPerm\その他

 

 

 

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.

 

  • この記事は役に立ちましたか?