Configurar listas de controle de acesso em volumes NFSv4.1 para Arquivos NetApp do Azure

  • Artigo

Os Arquivos NetApp do Azure dão suporte a listas de controle de acesso (ACLs) em volumes NFSv4.1. As ACLs fornecem segurança granular de arquivos via NFSv4.1.

As ACLs contêm entidades de controle de acesso (ACEs), que especificam as permissões (leitura, gravação etc.) de usuários ou grupos individuais. Ao atribuir funções de usuário, forneça o endereço de email do usuário se você estiver usando uma VM Linux associada a um domínio do Active Directory. Caso contrário, forneça IDs de usuário para definir permissões.

Para saber mais sobre ACLs em Arquivos do Azure NetApp, consulte Noções básicas sobre ACLs NFSv4.x.

Requisitos

  • As ACLs só podem ser configuradas em volumes NFS4.1. Você pode converter um volume de NFSv3 para NFSv4.1.

  • Você deve ter dois pacotes instalados:

    1. nfs-utils para montar volumes NFS
    2. nfs-acl-tools para exibir e modificar ACLs NFSv4. Se você não tiver nenhum dos dois, instale-os:
      • Em uma instância do Red Hat Enterprise Linux ou SuSE Linux:
      sudo yum install -y nfs-utils
sudo yum install -y nfs4-acl-tools
      • Na instância Ubuntu ou Debian:
      sudo apt-get install nfs-common
sudo apt-get install nfs4-acl-tools

Configurar ACLs

  1. Se você quiser configurar ACLs para uma VM Linux associada ao Active Directory, conclua as etapas em Ingressar uma VM Linux em um domínio do Microsoft Entra.

  2. Monte o volume.

  3. Use o comando nfs4_getfacl <path> para exibir a ACL existente em um diretório ou arquivo.

    A ACL NFSv4.1 padrão é uma representação próxima das permissões POSIX de 770.

    • A::OWNER@:rwaDxtTnNcCy - proprietário tem acesso total (RWX)
    • A:g:GROUP@:rwaDxtTnNcy - grupo tem acesso total (RWX)
    • A::EVERYONE@:tcy - todo mundo não tem acesso

  4. Para modificar uma ACE para um usuário, use o nfs4_setfacl comando: nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

    • Use -a para adicionar permissão. Use -x para remover permissão.
    • A cria acesso; D nega acesso.
    • Em uma configuração associada ao Active Directory, insira um endereço de email para o usuário. Caso contrário, insira o ID numérico do usuário.
    • Os aliases de permissão incluem leitura, gravação, acréscimo, execução, etc. No exemplo ingressado no Active Directory a seguir, o usuário regan@contoso.com recebe acesso de leitura, gravação e execução a /nfsldap/engineering:
    nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering

Próximas etapas