Reference Guide
Безопасность объектов файловой системы
В среде с несколькими протоколами политика безопасности настраивается на уровне файловой системы отдельно для
каждой файловой системы. Каждая файловая система на основании настроенной для нее политики безопасности
определяет способ урегулирования различий в семантике контроля доступа протоколов NFS и SMB. Выбранная политика
доступа определяет, какой механизм применяется для обеспечения безопасности файлов в конкретной файловой системе.
ПРИМЕЧАНИЕ: Если в вашей инфраструктуре должен поддерживаться более старый протокол SMB1, его можно
активировать с помощью сервисной команды svc_nas_cifssupport. Дополнительную информацию об этой
сервисной команде см. в документе PowerStore Service Scripts Guide.
Модель безопасности UNIX
Если выбрана политика UNIX, любые попытки изменить параметры безопасности на уровне файлов по протоколу SMB,
например внести изменения в списки контроля доступа, игнорируются. Права доступа UNIX задаются битами режимов или
списком контроля доступа NFSv4 объекта файловой системы. Биты режимов представлены битовой строкой. Каждый бит
указывает режим доступа или полномочия, которые предоставлены пользователю, владеющему файлом; группе,
связанной с объектом файловой системы; и всем остальным пользователям. Биты режимов UNIX представлены в виде
трех наборов объединенных триплетов rwx (чтение, запись и выполнение) для каждой категории пользователей
(пользователь, группа и прочие). Список контроля доступа (ACL) — это список пользователей и групп пользователей, на
основании которого пользователям предоставляется доступ к сервисам или, наоборот, отказывается в доступе.
Модель безопасности Windows
Модель безопасности Windows построена главным образом на назначении прав для объектов с использованием
дескриптора безопасности (SD) и его списка контроля доступа (ACL). Если выбрана политика SMB, изменения битов
режимов по протоколу NFS игнорируются.
Доступ к объекту файловой системы основан на том, задано ли для разрешений значение «Разрешить» или «Запретить» с
помощью дескриптора безопасности. Дескриптор безопасности (SD) задает владельца объекта и идентификаторы SID
групп для объекта вместе со списками ACL. Список ACL является частью дескриптора безопасности для каждого объекта.
Каждый список ACL содержит записи контроля доступа (ACE). В свою очередь, каждый список ACE содержит один
идентификатор SID, который идентифицирует пользователя, группу или компьютер, а также список прав, запрещенных или
разрешенных для этого идентификатора SID.
Доступ к файловым системам в среде с
несколькими протоколами
Доступ к файлам обеспечивается через серверы NAS. Сервер NAS содержит набор файловых систем, в которых хранятся
данные. Сервер NAS предоставляет доступ к этим данным файловым протоколам NFS и SMB путем совместного
использования файловых систем с помощью общих ресурсов SMB и NFS. Режим сервера NAS для многопротокольного
общего доступа обеспечивает общий доступ к одним и тем же данным с помощью протоколов SMB и NFS. Поскольку режим
многопротокольного общего доступа обеспечивает одновременный доступ к файловой системе по протоколам SMB и NFS,
необходимо правильно учесть и настроить сопоставление пользователей Windows с пользователями Unix, а также
определить используемые правила безопасности (биты режимов, список управления доступом и учетные данные
пользователей) для многопротокольного общего доступа.
ПРИМЕЧАНИЕ: Информацию о настройке серверов NAS и управлении ими в отношении многопротокольного общего
доступа, сопоставления пользователей, политик доступа и учетных данных пользователей см. в онлайн-справке
PowerStore Manager.
Сопоставление пользователей
В многопротокольном контексте пользователь Windows должен сопоставляться с пользователем UNIX. Однако
пользователь UNIX должен сопоставляться с пользователем Windows только в том случае, если используется политика
доступа Windows. Установка соответствия между пользователями необходима для того, чтобы средства безопасности
22 Аутентификация и доступ