Reference Guide

NFS、SMB 和 FTP 的访问策略

在多协议环境中，存储系统使用文件系统访问策略来管理文件系统的用户访问控制。有两种安全保护机制：UNIX 和 Windows。

对于 UNIX 安全身份验证，从 UNIX 目录服务 (UDS) 构建凭据，但非安全 NFS 访问除外，其凭据由主机客户端提供。用户权限根据

模式位和 NFSv4 ACL 确定。用户和组标识符（分别为 UID 和 GID）用于标识。没有与 UNIX 安全机制关联的权限。

对于 Windows 安全身份验证，从 SMB 服务器的 Windows 域控制器 (DC) 和本地组数据库 (LGDB) 构建凭据。从 SMB ACL 决定用户

权利。安全标识符 (SID) 用于标识。有一些与 Windows 安全性关联的权限，如 TakeOwnership（接管）、Backup（备份）和 Restore

（恢复），它们由 SMB 服务器的 LGDB 或组策略对象 (GPO) 授权。

下表介绍了定义哪些协议使用哪种安全机制的访问策略：

访问策略描述

Native（默认

值）

● 每个协议均通过自身的本机安全性来管理访问。

● NFS 共享的安全性使用与检查 NFSv3 UNIX 模式位或 NFSv4 ACL 的请求关联的 UNIX 凭据。然后准予或拒绝

访问。

● SMB 共享的安全性使用与检查 SMB ACL 的请求关联的 Windows 凭据。然后准予或拒绝访问。

● NFSv3 UNIX 模式位和 NFSv4 ACL 权限的更改彼此同步。

● Unix 与 Windows 权限之间没有同步。

Windows

● 使用 Windows 安全机制确保 Windows 和 UNIX 文件级访问的安全。

● 使用 Windows 凭据检查 SMB ACL。

● 新建文件的权限由 SMB ACL 转换确定。SMB ACL 权限更改同步到 NFSv3 UNIX 模式位或 NFSv4 ACL。

● NFSv3 模式位和 NFSv4 ACL 权限更改将被拒绝。

UNIX

● 使用 UNIX 安全机制确保 Windows 和 UNIX 文件级访问的安全。

● 根据 SMB 访问请求，使用从本地文件或 UDS 构建的 UNIX 凭据检查 NFSv3 模式位或 NFSv4 ACL 的权限。

● 新建文件的权限由 UMASK 确定。

● NFSv3 UNIX 模式位或 NFSv4 ACL 权限更改同步到 SMB ACL。

● 为避免造成中断，允许更改 SMB ACL 权限，但不会维护这些权限。

对于 FTP，是使用 Windows 还是 UNIX 进行身份验证取决于在对 NAS 服务器进行身份验证时所使用的用户名格式。如果使用

Windows 身份验证，则 FTP 访问控制类似于 SMB；否则，身份验证类似于 NFS。FTP 和 SFTP 客户端在连接到 NAS 服务器时进行

身份验证。它可以是 SMB 身份验证（当用户名的格式为 domain\user 或 user@domain 时）或 UNIX 身份验证（对于单个用户名

的其他格式）。由 NAS 服务器中定义的域的 Windows DC 确保进行 SMB 身份验证。UNIX 身份验证通过 NAS 服务器按照在远程

LDAP 服务器、远程 NIS 服务器或 NAS 服务器的本地密码文件中存储的加密密码进行保证。

用于文件级安全的凭据

要强制实施文件级安全，存储系统必须构建一个与所处理的 SMB 或 NFS 请求关联的凭据。有以下两种凭据：Windows 和 UNIX。

NAS 服务器为下列使用情形构建 UNIX 和 Windows 凭据：

● 为 NFS 请求构建包含 16 个以上组的 UNIX 凭据。NAS 服务器扩展的凭据属性必须设置为提供这种能力。

● 当文件系统的访问策略是 UNIX 时，为 SMB 请求构建 UNIX 凭据。

● 为 SMB 请求构建 Windows 凭据。

● 当文件系统的访问策略是 Windows 时，为 NFS 请求构建 Windows 凭据。

注: 对于 NFS 请求，如果未设置扩展的凭据属性，则使用来自 NFS 请求的 UNIX 凭据。当 Kerberos 身份认证用于 SMB 请求时，

域用户的 Windows 凭据包括在会话建立请求的 Kerberos 票证中。

以下情形将使用永久性凭据缓存：

● 为访问具有 Windows 访问策略的文件系统而构建的 Windows 凭据。

● 在扩展凭据启用的情况下用于通过 NFS 进行访问的 Unix 凭据。

每个 NAS 服务器都有一个缓存实例。

身份验证和访问