Configurar listas de controle de acesso em volumes NFSv4.1 para Arquivos NetApp do Azure

Os Arquivos NetApp do Azure dão suporte a listas de controle de acesso (ACLs) em volumes NFSv4.1. As ACLs fornecem segurança granular de arquivos via NFSv4.1.

As ACLs contêm entidades de controle de acesso (ACEs), que especificam as permissões (leitura, gravação, etc.) de usuários individuais ou grupos. Ao atribuir funções de usuário, forneça o endereço de e-mail do usuário se você estiver usando uma VM Linux associada a um Domínio do Ative Directory. Caso contrário, forneça IDs de usuário para definir permissões.

Para saber mais sobre ACLs em Arquivos NetApp do Azure, consulte Compreender ACLs NFSv4.x.

Requisitos

• As ACLs só podem ser configuradas em volumes NFS4.1. Você pode converter um volume de NFSv3 para NFSv4.1.

• Você deve ter dois pacotes instalados:

  1. nfs-utils para montar volumes NFS
  2. nfs-acl-tools para exibir e modificar ACLs NFSv4. Se você não tiver nenhum dos dois, instale-os:
     • Em uma instância do Red Hat Enterprise Linux ou SuSE Linux:

     sudo yum install -y nfs-utils
     sudo yum install -y nfs4-acl-tools
     

     • Na instância Ubuntu ou Debian:

     sudo apt-get install nfs-common
     sudo apt-get install nfs4-acl-tools
     

Configurar ACLs

1. Se você quiser configurar ACLs para uma VM Linux associada ao Ative Directory, conclua as etapas em Ingressar uma VM Linux em um domínio Microsoft Entra.

2. Monte o volume.

3. Use o comando nfs4_getfacl <path> para exibir a ACL existente em um diretório ou arquivo.

   A ACL NFSv4.1 padrão é uma representação próxima das permissões POSIX de 770.

   • A::OWNER@:rwaDxtTnNcCy - o proprietário tem acesso total (RWX)
   • A:g:GROUP@:rwaDxtTnNcy - grupo tem acesso total (RWX)
   • A::EVERYONE@:tcy - todos os outros não têm acesso

4. Para modificar uma ACE para um usuário, use o nfs4_setfacl comando: nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

   • Use -a para adicionar permissão. Use -x para remover permissão.
   • A cria acesso; D nega acesso.
   • Em uma configuração associada ao Ative Directory, insira um endereço de email para o usuário. Caso contrário, insira o ID de usuário numérico.
   • Os aliases de permissão incluem leitura, gravação, acréscimo, execução, etc. No seguinte exemplo associado ao Ative Directory, o usuário regan@contoso.com recebe acesso de leitura, gravação e execução a /nfsldap/engineering:

   nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
   

Próximos passos

• Configurar clientes NFS
• Entenda as ACLs NFSv4.x.