在 Azure NetApp Files 的 NFSv4.1 磁碟區上設定訪問控制清單

Azure NetApp Files 支援 NFSv4.1 磁碟區上的訪問控制清單（ACL）。 ACL 透過 NFSv4.1 提供細微的檔案安全性。

ACL 包含存取控制實體 （ACE），可指定個別使用者或群組的許可權（讀取、寫入等）。 指派使用者角色時，如果您使用已加入 Active Directory 網域 的 Linux VM，請提供使用者電子郵件位址。 否則，請提供使用者標識碼來設定許可權。

若要深入瞭解 Azure NetApp Files 中的 ACL，請參閱 瞭解 NFSv4.x ACL。

需求

• ACL 只能在 NFS4.1 磁碟區上設定。 您可以將 磁碟區從 NFSv3 轉換為 NFSv4.1。

• 您必須安裝兩個套件：

  1. nfs-utils 掛接 NFS 磁碟區
  2. nfs-acl-tools 以檢視和修改NFSv4 ACL。 如果您兩者都沒有，請加以安裝：
     • 在 Red Hat Enterprise Linux 或 SuSE Linux 實例上：

     sudo yum install -y nfs-utils
     sudo yum install -y nfs4-acl-tools
     

     • 在 Ubuntu 或 Debian 實例上：

     sudo apt-get install nfs-common
     sudo apt-get install nfs4-acl-tools
     

設定 ACL

1. 如果您想要設定已加入 Active Directory 之 Linux VM 的 ACL，請完成將 Linux VM 加入 Microsoft Entra 網域中的步驟。

2. 掛接磁碟區。

3. 使用 命令 nfs4_getfacl <path> 來檢視目錄或檔案上的現有 ACL。

   預設的 NFSv4.1 ACL 是 770 POSIX 許可權的接近表示法。

   • A::OWNER@:rwaDxtTnNcCy - 擁有者具有完整 （RWX） 存取權
   • A:g:GROUP@:rwaDxtTnNcy - 群組具有完整 （RWX） 存取權
   • A::EVERYONE@:tcy - 其他人沒有存取權

4. 若要修改使用者的 ACE，請使用 nfs4_setfacl 命令： nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

   • 使用 -a 來新增許可權。 使用 -x 來移除許可權。
   • A 建立存取; D 拒絕存取。
   • 在已加入 Active Directory 的設定中，輸入使用者的電子郵件地址。 否則，請輸入數值使用者識別碼。
   • 許可權別名包括讀取、寫入、附加、執行等。在下列已加入 Active Directory 的範例中，會提供使用者的 regan@contoso.com 讀取、寫入和執行存取權 /nfsldap/engineering ：

   nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
   

下一步

• 設定 NFS 用戶端
• 瞭解 NFSv4.x ACL 。