Configuración de listas de control de acceso en volúmenes NFSv4.1 con Azure NetApp Files

Azure NetApp Files admite listas de control de acceso (ACL) en volúmenes NFSv4.1. Las ACL proporcionan seguridad de archivos pormenorizada mediante NFSv4.1.

Las ACL contienen entidades de control de acceso (ACE), que especifican los permisos (de lectura, escritura, etc.) de usuarios individuales o grupos. Al asignar roles de usuario, proporcione la dirección de correo electrónico del usuario si usa una máquina virtual Linux unida a un dominio de Active Directory. De lo contrario, proporcione identificadores de usuario para establecer permisos.

Para más información sobre las ACL en Azure NetApp Files, vea Descripción de las ACL de NFSv4.x.

Requisitos

• Las ACL solo se pueden configurar en volúmenes NFS4.1. Puede convertir un volumen de NFSv3 a NFSv4.1.

• Debe tener instalados dos paquetes:

  1. nfs-utils para montar volúmenes NFS
  2. nfs-acl-tools para ver y modificar las ACL de NFSv4. Si no tiene alguno de ellos, instálelos:
     • En una instancia de Red Hat Enterprise Linux o SUSE Linux:

     sudo yum install -y nfs-utils
     sudo yum install -y nfs4-acl-tools
     

     • En una instancia de Ubuntu o de Debian:

     sudo apt-get install nfs-common
     sudo apt-get install nfs4-acl-tools
     

Configuración de ACL

1. Si quiere configurar las ACL para una máquina virtual Linux unida a Active Directory, complete los pasos descritos en Unión de una máquina virtual Linux a un dominio de Microsoft Entra.

2. Monte el volumen.

3. Use el comando nfs4_getfacl <path> para ver la ACL existente en un directorio o archivo.

   La ACL de NFSv4.1 predeterminada es una representación cercana de los permisos POSIX de 770.

   • A::OWNER@:rwaDxtTnNcCy: el propietario tiene acceso completo (RWX)
   • A:g:GROUP@:rwaDxtTnNcy: el grupo tiene acceso completo (RWX)
   • A::EVERYONE@:tcy: todos los demás usuarios no tienen acceso

4. A fin de modificar una ACE para un usuario, use el comando nfs4_setfacl: nfs4_setfacl -a|x A|D|U::<user|group>:<permissions_alias> <file>

   • Use -a para agregar permisos. Use -x para quitar el permiso.
   • A crea el acceso; D lo deniega. U: se utiliza para las ACE de auditoría, con el fin de registrar los intentos de acceso.
   • En una configuración unida a Active Directory, escriba una dirección de correo electrónico para el usuario. De lo contrario, escriba el identificador de usuario numérico.
   • Entre los alias de permiso se incluyen leer, escribir, adjuntar, ejecutar y otros. Para obtener una lista completa de los permisos, consulte: Permisos NFSv4.x. En el siguiente ejemplo unido a Active Directory, el usuario regan@contoso.com recibe acceso de lectura, escritura y ejecución a /nfsldap/engineering:

   nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
   

   • Si va a configurar una ACE para los registros de acceso a archivos, debe usar el prefijo U: para indicar que ACE es de auditoría. En el ejemplo siguiente se configura un registro de auditoría para todos para los intentos de acceso exitosos y con errores: nfs4_setfacl -a U:fdiSF:EVERYONE@:rwaDdxtTnNcCoy /<mount_point>.
   • Para aplicar ACL de forma recursiva en un directorio y su contenido, use la -R opción con el nfs4_setfacl comando . Esta opción garantiza que los cambios de ACL se aplican a todos los archivos y subdirectorios del directorio especificado.

Pasos siguientes

• Configurar clientes NFS
• Descripción de las ACL de NFSv4.x