Truy cập dữ liệu trong OneFS – Phần 1: Giới thiệu về Quyền tệp OneFS

Bạn đã bao giờ bối rối về truy cập dữ liệu đa giao thức hệ thống tệp PowerScale OneFS chưa? Nếu vậy, loạt bài viết trên blog này sẽ giúp bạn. Chúng tôi sẽ cố gắng làm sáng tỏ truy cập dữ liệu đa giao thức OneFS. Các nhà cung cấp Network Attached Storage khác nhau có các thiết kế khác nhau để triển khai truy cập dữ liệu đa giao thức. Trong truy cập dữ liệu đa giao thức OneFS, bạn có thể truy cập cùng một tập dữ liệu một cách nhất quán với các hệ điều hành và giao thức khác nhau.

Nói một cách đơn giản, quy trình truy cập dữ liệu tổng thể trong OneFS bao gồm:

1. Khi người dùng máy khách cố gắng truy cập dữ liệu cụm OneFS thông qua các giao thức (như SMB, NFS và S3), trước tiên OneFS phải xác thực người dùng máy khách.
2. Khi xác thực thành công, OneFS sẽ kiểm tra xem người dùng có quyền chia sẻ tệp hay không, trong đó mức độ truy cập phụ thuộc vào giao thức truy cập của bạn, chẳng hạn như chia sẻ SMB, xuất NFS hay thùng S3.
3. Chỉ khi người dùng được phép có quyền trên các chia sẻ tệp thì OneFS mới áp dụng các quy tắc ánh xạ người dùng và tạo mã thông báo truy cập cho người dùng trong hầu hết các trường hợp. Mã thông báo truy cập chứa thông tin sau:

• Mã định danh bảo mật (SID), Mã định danh người dùng (UID) và Mã định danh nhóm (GID) của người dùng.
• Nhóm bổ sung của người dùng
• Quyền kiểm soát truy cập dựa trên vai trò (RBAC) của người dùng

Cuối cùng, OneFS thực thi các quyền trên dữ liệu mục tiêu cho người dùng. Quá trình này đánh giá các quyền tệp dựa trên mã thông báo truy cập của người dùng và các quyền cấp độ chia sẻ tệp.

Nghe có vẻ đơn giản nhưng một số chi tiết vẫn còn khó hiểu? Ví dụ, UID, GID và SID chính xác là gì? Mã thông báo truy cập là gì? OneFS đánh giá quyền tệp như thế nào? v.v. Đừng lo lắng nếu bạn không quen với những khái niệm này. Hãy tiếp tục đọc và chúng tôi sẽ giải thích!

Để dễ dàng hơn, chúng ta sẽ bắt đầu với quyền tệp OneFS, sau đó giới thiệu mã thông báo truy cập OneFS. Cuối cùng, chúng ta sẽ xem cách truy cập dữ liệu phụ thuộc vào giao thức bạn sử dụng.

Trong loạt bài viết trên blog này, chúng tôi sẽ đề cập đến các chủ đề sau:

• Truy cập dữ liệu trong OneFS – Phần 1: Giới thiệu về Quyền tệp OneFS
• Truy cập dữ liệu trong OneFS – Phần 2: Giới thiệu về mã thông báo truy cập OneFS
• Truy cập dữ liệu trong OneFS – Phần 3: Tại sao nên sử dụng các giao thức khác nhau?
• Truy cập dữ liệu trong OneFS – Phần 4: Sử dụng NFSv3 và NFSv4.x
• Truy cập dữ liệu trong OneFS – Phần 5: Sử dụng SMB
• Truy cập dữ liệu trong OneFS – Phần 6: Sử dụng S3
• Còn nhiều điều cần bổ sung…

Bây giờ chúng ta hãy xem xét quyền tệp OneFS. Trong môi trường đa giao thức, hệ điều hành OneFS được thiết kế để hỗ trợ các bit chế độ POSIX cơ bản và Danh sách kiểm soát truy cập (ACL). Do đó, có hai trạng thái quyền tệp được chỉ định:

• Bit chế độ POSIX – có thẩm quyền với ACL tổng hợp
• OneFS ACL – có thẩm quyền với các bit chế độ POSIX gần đúng

Bit chế độ POSIX – có thẩm quyền với ACL tổng hợp

Các bit chế độ POSIX chỉ xác định ba quyền cụ thể: read(r), write(w) và execute(x). Trong khi đó, có ba lớp mà bạn có thể gán quyền: Owner, Group và Others.

• Chủ sở hữu: đại diện cho chủ sở hữu của một tập tin/thư mục.
• Nhóm: biểu thị nhóm của một tập tin/thư mục.
• Những người khác: đại diện cho những người dùng không phải là chủ sở hữu hoặc thành viên của nhóm.

Lệnh ls -le hiển thị quyền của tệp; lệnh ls -led hiển thị quyền của thư mục. Nếu có các quyền này:

-rw-rw-r–

sau đó:

– rw- rw-r–          có nghĩa là chủ sở hữu có quyền đọc và ghi 

-rw- rw- r–          có nghĩa là nhóm có quyền đọc và ghi

-rw-rw- r–          có nghĩa là tất cả những người khác chỉ có quyền đọc

Trong ví dụ sau đối với tệp posix-file.txt , chủ sở hữu tệp Joe có quyền truy cập đọc và ghi, nhóm tệp Market có quyền truy cập đọc và ghi, còn tất cả những người khác chỉ có quyền truy cập đọc.

Cũng được hiển thị ở đây là ACL tổng hợp (hiển thị bên dưới cờ ACL TỔNG HỢP ) cho biết tệp đang ở trạng thái quyền bit tệp chế độ POSIX. Có ba Thực thể kiểm soát truy cập (ACE) được tạo cho ACL tổng hợp, tất cả đều là một cách khác để biểu diễn quyền bit chế độ POSIX của tệp.

vonefs-aima-1# ls -le posix-file.txt
-rw-rw-r-- 1 Joe Market 65 28 tháng 5 02:08 posix-file.txt
 CHỦ SỞ HỮU: người dùng:Joe
 NHÓM: nhóm:Thị trường
 ACL TỔNG HỢP
 0: người dùng:Joe cho phép file_gen_read, file_gen_write, std_write_dac
 1: nhóm: Thị trường cho phép file_gen_read, file_gen_write
 2: mọi người cho phép file_gen_read

Khi OneFS nhận được yêu cầu truy cập của người dùng, nó sẽ tạo mã thông báo truy cập cho người dùng và so sánh mã thông báo đó với quyền tệp – trong trường hợp này là các bit chế độ POSIX.  

OneFS ACL có thẩm quyền với các bit chế độ POSIX gần đúng

Ngược lại với các bit chế độ POSIX, OneFS ACL hỗ trợ nhiều quyền biểu đạt hơn. (Đối với tất cả các quyền khả dụng, được liệt kê trong Bảng 1 đến Bảng 3 của tài liệu, hãy xem Danh sách kiểm soát truy cập trên Dell EMC PowerScale OneFS .) OneFS ACL bao gồm một hoặc nhiều Mục kiểm soát truy cập (ACE). OneFS ACE chứa thông tin sau:

• Chỉ số ACE: chỉ ra thứ tự ACE trong ACL
• Loại danh tính: biểu thị loại danh tính, loại danh tính được hỗ trợ bao gồm người dùng, nhóm, mọi người, creator_owner, creator_group hoặc owner_rights
• ID danh tính: trong OneFS, UID/GID/SID được lưu trữ trên đĩa thay vì tên người dùng hoặc tên nhóm. Tên của người dùng hoặc nhóm chỉ để hiển thị.
• Loại ACE: Loại ACE (cho phép hoặc từ chối)
• Quyền ACE và cờ kế thừa: Danh sách các quyền và cờ kế thừa được phân tách bằng dấu phẩy

Ví dụ, ACE “0: group:Engineer allow file_gen_read,file_gen_execute” chỉ ra rằng chỉ mục của nó là 0 và cho phép nhóm có tên Engineer có quyền truy cập file_gen_read và file_gen_execute .

Ví dụ sau đây cho thấy một ACL đầy đủ cho một tệp. Mặc dù không có cờ ACL TỔNG HỢP, nhưng có một ký tự “+”  theo sau các bit chế độ POSIX cho biết tệp đang ở trạng thái ACL thực của OneFS. ACL OneFS của tệp cấp toàn quyền cho người dùng Joe và Bob . Nó cũng cấp quyền file_gen_read và file_gen_execute cho nhóm Market và cho mọi người . Trong trường hợp này, các bit chế độ POSIX chỉ để biểu diễn: bạn không thể biết quyền tệp chính xác từ các bit chế độ POSIX gần đúng. Do đó, bạn nên luôn dựa vào ACL OneFS để kiểm tra quyền tệp.

vonefs-aima-1# ls -le acl-file.txt
-rwxrwxr-x + 1 Joe Market 69 28 tháng 5 01:08 acl-file.txt
 CHỦ SỞ HỮU: người dùng:Joe
 NHÓM: nhóm:Thị trường
 0: người dùng:Joe cho phép file_gen_all
 1: nhóm:Market cho phép file_gen_read,file_gen_execute
 2: người dùng:Bob cho phép file_gen_all
 3: mọi người cho phép file_gen_read, file_gen_execute

Bất kể trạng thái cấp phép tệp OneFS là gì, danh tính trên đĩa cho tệp luôn là UID, GID hoặc SID. Vì vậy, đối với hai tệp trên, quyền tệp được lưu trữ trên đĩa là:

vonefs-aima-1# ls -len posix-file.txt
-rw-rw-r-- 1 2001 2003 65 28 tháng 5 02:08 posix-file.txt
 CHỦ SỞ HỮU: người dùng:2001
 NHÓM: nhóm:2003
 ACL TỔNG HỢP
 0: người dùng:2001 cho phép file_gen_read, file_gen_write, std_write_dac
 1: nhóm:2003 cho phép file_gen_read,file_gen_write
 2: SID:S-1-1-0 cho phép file_gen_read
 
vonefs-aima-1# ls -len acl-file.txt
-rwxrwxr-x + 1 2001 2003 69 28 tháng 5 01:08 acl-file.txt
 CHỦ SỞ HỮU: người dùng:2001
 NHÓM: nhóm:2003
 0: người dùng:2001 cho phép file_gen_all
 1: nhóm:2003 cho phép file_gen_read,file_gen_execute
 2: người dùng:2002 cho phép file_gen_all
 3: SID:S-1-1-0 cho phép file_gen_read,file_gen_execute

Khi OneFS nhận được yêu cầu truy cập của người dùng, nó sẽ tạo ra một mã thông báo truy cập cho người dùng và so sánh mã thông báo đó với quyền tệp. OneFS cấp quyền truy cập khi quyền tệp bao gồm một ACE cho phép danh tính trong mã thông báo truy cập tệp và không bao gồm một ACE từ chối quyền truy cập danh tính.

Khi đánh giá quyền tệp cho mã thông báo truy cập của người dùng, OneFS sẽ kiểm tra từng ACE theo thứ tự chỉ mục của ACE và dừng kiểm tra khi đáp ứng các điều kiện sau:

• Tất cả các quyền cần thiết cho yêu cầu truy cập của người dùng đều được ACL cho phép và yêu cầu truy cập được ủy quyền.
• Bất kỳ quyền nào được yêu cầu cho yêu cầu truy cập của người dùng đều bị ACL từ chối rõ ràng và yêu cầu truy cập cũng bị từ chối.
• Tất cả các ACE đã được kiểm tra, nhưng không phải tất cả các quyền cần thiết cho yêu cầu truy cập của người dùng đều được ACL cho phép, do đó yêu cầu truy cập cũng bị từ chối.

Giả sử chúng ta có một tệp có tên acl-file01.txt có các quyền tệp được hiển thị bên dưới. Khi người dùng Bob cố gắng đọc dữ liệu của tệp, OneFS sẽ kiểm tra các ACE từ chỉ mục 0 đến chỉ mục 3. Khi kiểm tra chỉ mục ACE 1, nó từ chối rõ ràng quyền đọc dữ liệu của Bob . Sau đó, các ACL dừng kiểm tra và quyền truy cập đọc bị từ chối.

vonefs-aima-1# ls -le acl-file01.txt
-rwxrw-r-- + 1 Joe Market 12 tháng 5 năm 28 06:19 acl-file01.txt
 CHỦ SỞ HỮU: người dùng:Joe
 NHÓM: nhóm:Thị trường
 0: người dùng:Joe cho phép file_gen_all
 1: người dùng:Bob từ chối file_gen_read
 2: người dùng: Bob cho phép file_gen_read, file_gen_write
 3: mọi người cho phép file_gen_read

Bây giờ hãy nói rằng chúng ta vẫn có tệp có tên acl-file01.txt , nhưng quyền của tệp bây giờ hơi khác một chút, như được hiển thị bên dưới. Khi người dùng Bob cố gắng đọc dữ liệu của tệp, OneFS sẽ kiểm tra các ACE từ chỉ mục 0 đến chỉ mục 3. Khi kiểm tra chỉ mục ACE 1, nó cho phép Bob có quyền đọc một cách rõ ràng. Do đó, quá trình kiểm tra ACL kết thúc và quyền truy cập đọc được ủy quyền. Do đó, nên đặt tất cả các ACE “từ chối” trước các ACE “cho phép” nếu bạn muốn từ chối rõ ràng các quyền cụ thể cho những người dùng/nhóm cụ thể.

vonefs-aima-1# ls -le acl-file01.txt
-rwxrw-r-- + 1 Joe Market 12 tháng 5 năm 28 06:19 acl-file01.txt
 CHỦ SỞ HỮU: người dùng:Joe
 NHÓM: nhóm:Thị trường
 0: người dùng:Joe cho phép file_gen_all
 1: người dùng: Bob cho phép file_gen_read, file_gen_write
 2: người dùng:Bob từ chối file_gen_read
 3: mọi người cho phép file_gen_read

Thay đổi trạng thái quyền của tệp

Như đã đề cập trước đó, một tệp chỉ có thể ở một trạng thái tại một thời điểm. Tuy nhiên, trạng thái quyền tệp của tệp có thể bị đảo ngược. Nếu tệp ở trong POSIX, tệp đó có thể được đảo ngược thành tệp ACL bằng cách sửa đổi quyền bằng máy khách SMB/NFSv4 hoặc bằng cách sử dụng lệnh chmod trong OneFS. Nếu tệp ở trong ACL, tệp đó có thể được đảo ngược thành tệp POSIX bằng cách sử dụng lệnh OneFS CLI: chmod –b XXX <tên tệp>. ‘XXX’ chỉ định quyền POSIX mới. Để biết thêm ví dụ, hãy xem Thay đổi trạng thái quyền tệp .

Bây giờ, bạn có thể kiểm tra quyền của tệp trên OneFS bằng lệnh ls -len filename và kiểm tra quyền của thư mục trên OneFS bằng lệnh ls -lend directory_name .