在 Azure NetApp Files 的 NFSv4.1 磁碟區上設定訪問控制清單
Azure NetApp Files 支援 NFSv4.1 磁碟區上的訪問控制清單(ACL)。 ACL 透過 NFSv4.1 提供細微的檔案安全性。
ACL 包含存取控制實體 (ACE),可指定個別使用者或群組的許可權(讀取、寫入等)。 指派使用者角色時,如果您使用已加入 Active Directory 網域 的 Linux VM,請提供使用者電子郵件位址。 否則,請提供使用者標識碼來設定許可權。
若要深入瞭解 Azure NetApp Files 中的 ACL,請參閱 瞭解 NFSv4.x ACL。
需求
ACL 只能在 NFS4.1 磁碟區上設定。 您可以將 磁碟區從 NFSv3 轉換為 NFSv4.1。
您必須安裝兩個套件:
nfs-utils
掛接 NFS 磁碟區nfs-acl-tools
以檢視和修改NFSv4 ACL。 如果您兩者都沒有,請加以安裝:- 在 Red Hat Enterprise Linux 或 SuSE Linux 實例上:
sudo yum install -y nfs-utils sudo yum install -y nfs4-acl-tools
- 在 Ubuntu 或 Debian 實例上:
sudo apt-get install nfs-common sudo apt-get install nfs4-acl-tools
設定 ACL
如果您想要設定已加入 Active Directory 之 Linux VM 的 ACL,請完成將 Linux VM 加入 Microsoft Entra 網域中的步驟。
使用 命令
nfs4_getfacl <path>
來檢視目錄或檔案上的現有 ACL。預設的 NFSv4.1 ACL 是 770 POSIX 許可權的接近表示法。
A::OWNER@:rwaDxtTnNcCy
- 擁有者具有完整 (RWX) 存取權A:g:GROUP@:rwaDxtTnNcy
- 群組具有完整 (RWX) 存取權A::EVERYONE@:tcy
- 其他人沒有存取權
若要修改使用者的 ACE,請使用
nfs4_setfacl
命令:nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>
- 使用
-a
來新增許可權。 使用-x
來移除許可權。 A
建立存取;D
拒絕存取。- 在已加入 Active Directory 的設定中,輸入使用者的電子郵件地址。 否則,請輸入數值使用者識別碼。
- 許可權別名包括讀取、寫入、附加、執行等。在下列已加入 Active Directory 的範例中,會提供使用者的 regan@contoso.com 讀取、寫入和執行存取權
/nfsldap/engineering
:
nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
- 使用