Configurar listas de controle de acesso em volumes NFSv4.1 para o Azure NetApp Files

O Azure NetApp Files dá suporte a ACLs (listas de controle de acesso) em volumes NFSv4.1. As ACLs fornecem segurança de arquivo granular por meio do NFSv4.1.

As ACLs contêm ACEs (entidades de controle de acesso), que especificam as permissões (leitura, gravação etc.) de usuários ou grupos individuais. Ao atribuir funções de usuário, forneça o endereço de email do usuário se você estiver usando uma VM Linux ingressada em um Domínio do Active Directory. Caso contrário, forneça IDs de usuário para definir permissões.

Para saber mais sobre ACLs no Azure NetApp Files, consulte Entender ACLs NFSv4.x.

Requisitos

• As ACLs só podem ser configuradas em volumes NFS4.1. Você pode converter um volume de NFSv3 para NFSv4.1.

• Você deve ter dois pacotes instalados:

  1. nfs-utils para montar volumes NFS
  2. nfs-acl-tools para exibir e modificar ACLs NFSv4. Se você também não tiver, instale-os:
     • Em uma instância do Red Hat Enterprise Linux ou SUSE Linux:

     sudo yum install -y nfs-utils
     sudo yum install -y nfs4-acl-tools
     

     • Na instância do Ubuntu ou do Debian:

     sudo apt-get install nfs-common
     sudo apt-get install nfs4-acl-tools
     

Configurar ACLs

1. Se você quiser configurar ACLs para uma VM Linux ingressada no Active Directory, conclua as etapas em Ingressar uma VM do Linux em um Domínio do Microsoft Entra.

2. Monte o volume.

3. Use o comando nfs4_getfacl <path> para exibir a ACL existente em um diretório ou arquivo.

   A ACL NFSv4.1 padrão é uma representação próxima das permissões POSIX de 770.

   • A::OWNER@:rwaDxtTnNcCy - o proprietário tem acesso completo (RWX)
   • A:g:GROUP@:rwaDxtTnNcy - o grupo tem acesso completo (RWX)
   • A::EVERYONE@:tcy - todos os outros não têm acesso

4. Para modificar um ACE para um usuário, use o comando nfs4_setfacl: nfs4_setfacl -a|x A|D|U::<user|group>:<permissions_alias> <file>

   • Use -a para adicionar permissão. Use -x para remover a permissão.
   • A cria acesso; D nega o acesso. U: é usado para auditoria de ACEs para registrar tentativas de acesso em log.
   • Em uma configuração ingressada no Active Directory, insira um endereço de email para o usuário. Caso contrário, insira a ID de usuário numérica.
   • Os aliases de permissão incluem leitura, gravação, acréscimo, execução e outros. Para obter uma lista completa de permissões, consulte: permissões NFSv4.x. No exemplo a seguir, em que foi realizado o ingresso no Active Directory, o usuário regan@contoso.com recebe acesso de leitura, gravação e execução à /nfsldap/engineering:

   nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
   

   • Se você estiver configurando um ACE para logs de acesso a arquivos, deverá usar o U: prefixo para indicar que o ACE é uma ACE de auditoria. O exemplo a seguir configura um log de auditoria para todos os usuários, registrando tentativas de acesso bem-sucedidas e mal-sucedidas: nfs4_setfacl -a U:fdiSF:EVERYONE@:rwaDdxtTnNcCoy /<mount_point>.
   • Para aplicar ACLs recursivamente em um diretório e seu conteúdo, use a opção -R com o nfs4_setfacl comando. Essa opção garante que as alterações de ACL sejam aplicadas a todos os arquivos e subdiretórios dentro do diretório especificado.

Próximas etapas

• Configurar clientes NFS
• Compreenda ACLs NFSv4.x