Configurar listas de controle de acesso em volumes NFSv4.1 para Arquivos NetApp do Azure

Os Arquivos NetApp do Azure dão suporte a listas de controle de acesso (ACLs) em volumes NFSv4.1. As ACLs fornecem segurança granular de arquivos via NFSv4.1.

As ACLs contêm entidades de controle de acesso (ACEs), que especificam as permissões (leitura, gravação, etc.) de usuários individuais ou grupos. Ao atribuir funções de usuário, forneça o endereço de e-mail do usuário se você estiver usando uma VM Linux associada a um Domínio do Ative Directory. Caso contrário, forneça IDs de usuário para definir permissões.

Para saber mais sobre ACLs em Arquivos NetApp do Azure, consulte compreender ACLs NFSv4.x.

Requisitos

• As ACLs só podem ser configuradas em volumes NFS4.1. Você pode converter um volume de NFSv3 para NFSv4.1.

• Você deve ter dois pacotes instalados:

  1. nfs-utils para montar volumes NFS
  2. nfs-acl-tools para exibir e modificar ACLs NFSv4. Se você não tiver nenhum dos dois, instale-os:
     • Em uma instância do Red Hat Enterprise Linux ou SUSE Linux:

     sudo yum install -y nfs-utils
     sudo yum install -y nfs4-acl-tools
     

     • Na instância Ubuntu ou Debian:

     sudo apt-get install nfs-common
     sudo apt-get install nfs4-acl-tools
     

Configurar ACLs

1. Se pretender configurar ACLs para uma VM Linux associada ao Active Directory, conclua os passos em Associar uma VM Linux a um domínio Microsoft Entra.

2. Monte o volume.

3. Use o comando nfs4_getfacl <path> para exibir a ACL existente em um diretório ou arquivo.

   A ACL NFSv4.1 padrão é uma representação próxima das permissões POSIX de 770.

   • A::OWNER@:rwaDxtTnNcCy - o proprietário tem acesso total (RWX)
   • A:g:GROUP@:rwaDxtTnNcy - grupo tem acesso total (RWX)
   • A::EVERYONE@:tcy - todos os outros não têm acesso

4. Para modificar uma ACE para um usuário, use o nfs4_setfacl comando: nfs4_setfacl -a|x A|D|U::<user|group>:<permissions_alias> <file>

   • Use -a para adicionar permissão. Use -x para remover a permissão.
   • A cria acesso; D nega acesso. U: é usado para auditar ACEs para registrar tentativas de acesso.
   • Em uma configuração associada ao Ative Directory, insira um endereço de email para o usuário. Caso contrário, insira o ID de usuário numérico.
   • Os aliases de permissão incluem leitura, gravação, acréscimo, execução e outros. Para obter uma lista completa de permissões, consulte: Permissões NFSv4.x. No seguinte exemplo associado ao Ative Directory, o usuário regan@contoso.com recebe acesso de leitura, gravação e execução a /nfsldap/engineering:

   nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
   

   • Se você estiver configurando uma ACE para logs de acesso a arquivos, deverá usar o prefixo U: para indicar que a ACE é uma ACE de auditoria. O exemplo a seguir configura um registo de auditoria para todos, abrangendo tentativas de acesso bem-sucedidas e falhadas: nfs4_setfacl -a U:fdiSF:EVERYONE@:rwaDdxtTnNcCoy /<mount_point>.
   • Para aplicar ACLs recursivamente num directório e seu conteúdo, use a opção -R com o comando nfs4_setfacl. Essa opção garante que as alterações da ACL sejam aplicadas a todos os arquivos e subdiretórios dentro do diretório especificado.

Próximos passos

• Configurar clientes NFS
• Compreender as ACLs NFSv4.x