Kiến thức

Tổng quan về danh sách kiểm soát truy cập OneFS

Posted on by admin

Như chúng ta đã biết, khi người dùng truy cập dữ liệu cụm OneFS qua các giao thức khác nhau, việc thực thi quyền cuối cùng sẽ diễn ra trên hệ thống tệp OneFS. Trong OneFS, điều này đạt được thông qua việc triển khai Danh sách kiểm soát truy cập (ACL), cung cấp quyền kiểm soát chi tiết trên các thư mục và tệp. Trong bài viết này, chúng ta sẽ xem xét những điều cơ bản của OneFS ACL.

ACL OneFS

OneFS cung cấp một không gian tên duy nhất cho truy cập đa giao thức và có biểu diễn ACL nội bộ riêng để thực hiện kiểm soát truy cập. ACL nội bộ được trình bày dưới dạng chế độ xem cụ thể theo giao thức của các quyền để NFS xuất hiển thị các bit chế độ POSIX cho NFSv3 và ACL cho NFSv4 và SMB. 

Khi kết nối với cụm PowerScale bằng SSH, bạn có thể quản lý không chỉ các bit chế độ POSIX mà còn cả ACL bằng các công cụ UNIX chuẩn như  lệnh chmod  . Ngoài ra, bạn có thể chỉnh sửa chính sách ACL thông qua giao diện quản trị web để cấu hình quản lý quyền OneFS cho các mạng kết hợp hệ thống Windows và UNIX.

Thiết kế OneFS ACL bắt nguồn từ Windows NTFS ACL. Do đó, nhiều định nghĩa khái niệm và hoạt động của nó tương tự như Windows NTFS ACL, chẳng hạn như quyền ACE và kế thừa.

ACL tổng hợp OneFS và ACL thực tế

Để cung cấp quyền truy cập tệp xuyên giao thức một cách liền mạch, OneFS lưu trữ một biểu diễn nội bộ về quyền của đối tượng hệ thống tệp. Biểu diễn nội bộ có thể chứa thông tin từ các bit chế độ POSIX hoặc ACL. 

OneFS có hai loại ACL để đáp ứng các tình huống khác nhau:

  • OneFS Synthetic ACL : Theo chính sách ACL mặc định, nếu không có mục ACL có thể kế thừa nào tồn tại trên thư mục cha – chẳng hạn như khi tệp hoặc thư mục được tạo thông qua phiên NFS hoặc SSH trên OneFS trong thư mục cha – thì thư mục sẽ chỉ chứa quyền bit chế độ POSIX. OneFS sử dụng biểu diễn nội bộ để tạo OneFS Synthetic ACL, đây là cấu trúc trong bộ nhớ xấp xỉ các bit chế độ POSIX của tệp hoặc thư mục cho máy khách SMB hoặc NFSv4. 
  • OneFS real ACL : Theo chính sách ACL mặc định, khi một tệp hoặc thư mục được tạo thông qua SMB hoặc khi ACL tổng hợp của tệp hoặc thư mục được sửa đổi thông qua máy khách NFSv4 hoặc SMB, OneFS real ACL được khởi tạo và lưu trữ trên đĩa. OneFS real ACL cũng có thể được khởi tạo bằng  công cụ lệnh chmod nâng cao của OneFS với tùy chọn +a , -a hoặc  =a để sửa đổi ACL. 

Mục nhập kiểm soát truy cập OneFS

Ngược lại với Windows DACL và NFSv4 ACL, mục nhập kiểm soát truy cập OneFS ACL (ACE) bổ sung thêm một loại danh tính. OneFS ACE chứa thông tin sau:

  • Tên danh tính : Tên của người dùng hoặc nhóm
  • Loại ACE : Loại ACE (cho phép hoặc từ chối)
  • Quyền ACE và cờ kế thừa : Danh sách các quyền và cờ kế thừa được phân tách bằng dấu phẩy

Quyền OneFS ACE

Tương tự như cấp độ quyền của Windows, OneFS chia quyền thành ba loại sau:

  • Quyền ACE tiêu chuẩn : Những quyền này áp dụng cho bất kỳ đối tượng nào trong hệ thống tệp
  • Quyền ACE chung : Những quyền này được ánh xạ tới một nhóm các quyền cụ thể
  • Quyền ACE cố định : Đây là các quyền cụ thể cho các đối tượng hệ thống tệp

Các quyền ACE chuẩn có thể xuất hiện đối với một đối tượng hệ thống tệp được hiển thị trong bảng sau:

Quyền của ACE Áp dụng cho Sự miêu tả
std_xóa Thư mục hoặc tập tin Quyền xóa đối tượng
std_read_dac Thư mục hoặc tập tin Quyền đọc mô tả bảo mật, không bao gồm SACL
std_write_dac Thư mục hoặc tập tin Quyền sửa đổi DACL trong mô tả bảo mật của đối tượng
std_write_chủ sở hữu Thư mục hoặc tập tin Quyền thay đổi chủ sở hữu trong mô tả bảo mật của đối tượng
std_đồng bộ hóa Thư mục hoặc tập tin Quyền sử dụng đối tượng như một nguyên hàm đồng bộ hóa luồng
std_bắt buộc Thư mục hoặc tập tin Ánh xạ tới std_delete, std_read_dac, std_write_dac và std_write_owner

Các quyền ACE chung có thể xuất hiện đối với một đối tượng hệ thống tệp được hiển thị trong bảng sau:

Quyền của ACE Áp dụng cho Sự miêu tả
chung_tất_cả Thư mục hoặc tập tin Quyền truy cập đọc, ghi và thực thi. Ánh xạ tới file_gen_all hoặc dir_gen_all.
đọc chung Thư mục hoặc tập tin Quyền truy cập đọc. Ánh xạ tới file_gen_read hoặc dir_gen_read.
viết chung Thư mục hoặc tập tin Quyền ghi. Ánh xạ tới file_gen_write hoặc dir_gen_write.
thực thi chung Thư mục hoặc tập tin Thực thi quyền truy cập. Ánh xạ tới file_gen_execute hoặc dir_gen_execute.
dir_gen_tất cả Thư mục Ánh xạ tới dir_gen_read, dir_gen_write, dir_gen_execute, delete_child và std_write_owner.
dir_gen_read Thư mục Ánh xạ tới danh sách, dir_read_attr, dir_read_ext_attr, std_read_dac và std_synchronize.
dir_gen_write Thư mục Ánh xạ tới add_file, add_subdir, dir_write_attr, dir_write_ext_attr, std_read_dac và std_synchronize.
dir_gen_execute Thư mục Bản đồ để duyệt, std_read_dac và std_synchronize.
file_gen_tất cả Tài liệu Ánh xạ tới file_gen_read, file_gen_write, file_gen_execute, delete_child và std_write_owner.
file_gen_đọc Tài liệu Ánh xạ tới file_read, file_read_attr, file_read_ext_attr, std_read_dac và std_synchronize.
tập tin_gen_ghi Tài liệu Ánh xạ tới file_write, file_write_attr, file_write_ext_attr, append, std_read_dac và std_synchronize.
file_gen_thực thi Tài liệu Bản đồ để thực thi, std_read_dac và std_synchronize.

Các quyền ACE không đổi có thể xuất hiện cho một đối tượng hệ thống tệp được hiển thị trong bảng sau:

Quyền của ACE Áp dụng cho Sự miêu tả
biến đổi Tài liệu Ánh xạ tới file_write, append, file_write_ext_attr, file_write_attr, delete_child, std_delete, std_write_dac và std_write_owner
tập tin_đọc Tài liệu Quyền đọc dữ liệu tập tin
ghi_tệp Tài liệu Quyền ghi dữ liệu tập tin
thêm vào Tài liệu Quyền thêm vào một tập tin
thực hiện Tài liệu Quyền thực hiện một tập tin
tập tin_đọc_attr Tài liệu Quyền đọc thuộc tính tệp
tập tin_ghi_attr Tài liệu Quyền ghi thuộc tính tập tin
file_đọc_phần_mở_riêng Tài liệu Quyền đọc các thuộc tính tệp mở rộng
file_write_ext_attr Tài liệu Quyền ghi các thuộc tính tệp mở rộng
xóa_con Thư mục hoặc tập tin Quyền xóa các mục con, bao gồm các tệp chỉ đọc trong một thư mục; hiện tại quyền này không được sử dụng cho một tệp, nhưng vẫn có thể được thiết lập để tương thích với Windows
danh sách Thư mục Danh sách các mục nhập
thêm_tệp Thư mục Quyền tạo một tập tin trong thư mục
thêm_thư_mục_con Thư mục Quyền tạo thư mục con
đi qua Thư mục Quyền duyệt qua thư mục
dir_read_attr Thư mục Quyền đọc thuộc tính thư mục
thư mục_ghi_attr Thư mục Quyền viết thuộc tính thư mục
dir_read_ext_attr Thư mục Quyền đọc các thuộc tính thư mục mở rộng
dir_write_ext_attr Thư mục Quyền viết thuộc tính thư mục mở rộng

Kế thừa ACL OneFS

Kế thừa cho phép phân lớp hoặc ghi đè quyền khi cần trong hệ thống phân cấp đối tượng và cho phép quản lý quyền đơn giản hơn. Ngữ nghĩa của kế thừa OneFS ACL giống với kế thừa Windows ACL và sẽ quen thuộc với những người am hiểu về kế thừa Windows NTFS ACL. Bảng sau đây hiển thị các cờ kế thừa ACE được định nghĩa trong OneFS:

Cờ kế thừa ACE Đặt trên thư mục hoặc tập tin Sự miêu tả
đối tượng_thừa hưởng Chỉ thư mục Chỉ ra ACE áp dụng cho thư mục hiện tại và các tệp trong thư mục
container_thừa hưởng Chỉ thư mục Chỉ ra ACE áp dụng cho thư mục hiện tại và các thư mục con trong thư mục
chỉ kế thừa Chỉ thư mục Chỉ ra ACE chỉ áp dụng cho các thư mục con, chỉ các tệp hoặc cả hai trong thư mục.
không_thừa_thừa_prop Chỉ thư mục Chỉ ra ACE áp dụng cho thư mục hiện tại hoặc chỉ nội dung cấp một của thư mục, không áp dụng cho nội dung cấp hai hoặc các nội dung tiếp theo
thừa hưởng_ace Tập tin hoặc thư mục Chỉ ra ACE được thừa hưởng từ thư mục cha

 

Tác giả : Lieven Lin

Bài viết mới cập nhật

Máy chủ Dell PowerEdge: Hiệu suất và hiệu quả năng lượng vô song
18/12/2024

Máy chủ Dell PowerEdge R470, R670 và R770 mang lại hiệu ...

Tăng cường hiệu suất đường ống AI với cơ sở hạ tầng PowerScale tiên tiến, tốc độ cao
17/12/2024

Bản cập nhật mới nhất của PowerScale cho phép tối ưu ...

Tăng tốc suy luận AI với NVIDIA NIM trên nền tảng đám mây APEX
17/12/2024

Tăng tốc suy luận AI với Dell APEX Cloud Platform và ...

Tổng quan về danh sách kiểm soát truy cập OneFS
16/12/2024

Như chúng ta đã biết, khi người dùng truy cập dữ ...