Administrator Guide
14. Cliquez sur l’onglet Autorisations de la boîte de dialogue Paramètres de sécurité avancés et appliquez les meilleures
pratiques Microsoft pour attribuer des autorisations ACL aux utilisateurs et aux groupes pour le partage SMB.
Gestion des ACL ou des SLP sur un partage SMB
Le cluster FluidFS prend en charge deux niveaux de contrôle d’accès aux partages, chiers et dossiers SMB :
• Access Control Lists (ACL) (Listes de contrôle d'accès) : gère l'accès à des chiers et dossiers spéciques. L'administrateur
peut contrôler un large éventail d'opérations que peuvent eectuer les utilisateurs et les groupes.
• Share-level permissions (SLP) (Autorisations de niveau partage) : gère l'accès à des partages entiers. L'administrateur contrôle
uniquement l'accès en lecture, en modication ou total à un partage entier.
Les SLP sont limités dans la mesure où ils ne traitent que les droits de contrôle total, modication et lecture de tout utilisateur ou
groupe donné au niveau du partage SMB. Les ACL contrôlent bien plus d'opérations que celles d'accès complet/en lecture/en
modication. Utilisez le paramètre par défaut du SLP (les utilisateurs authentiés possèdent un contrôle total) ainsi que les ACL pour
contrôler l'accès au partage SMB, sauf si une condition requise spécique pour les SLP ne peut pas être eectuée à l'aide des ACL.
Les administrateurs Windows doivent suivre les meilleures pratiques dénies par Microsoft pour les ACL et les SLP.
REMARQUE : Ne tentez pas de créer un partage SMB avec MMC. Utilisez MMC uniquement pour dénir des SLP.
Adressage automatique des ACL à UNIX Word 777
Lors de l'achage de chiers associés à des listes de contrôle d'accès (ACL) Windows depuis des clients NFS, l'algorithme
d'adressage FluidFS présente un mode d'accès UNIX traduit. Une traduction parfaite étant impossible, un heuristique est utilisé pour
convertir l'ACL Windows en mot UNIX de 9 bits. Toutefois, lorsque des SID spéciaux sont utilisés dans l'ACL (par exemple, ACE
créateur-propriétaire), l'adressage peut être inexact. Pour certaines applications, les clients NFS doivent voir l'adressage exact ou un
adressage permettant un accès plus permissif, à défaut de quoi les applications NFS peuvent ignorer les opérations refusées.
Cette version comprend une nouvelle option qui permet de présenter toutes les ACL SMB avec UNIX Word 777 depuis les clients
NFS (à des ns d'achage uniquement). Cette option, qui est désactivée par défaut, peut être congurée dans les paramètres de
volume NAS.
1. Cliquez sur la vue Stockage, puis sélectionnez un cluster FluidFS.
2. Cliquez sur l'onglet Système de chiers.
3. Sélectionnez un volume, puis cliquez sur Modier les paramètres.
4. Dans le panneau Modier les paramètres du volume NAS, cliquez sur Interopérabilité.
5. Cochez la case Adressage ACL vers UNIX 777 activé.
REMARQUE : Dans FluidFS, les vérications d'accès aux données s'eectuent toujours par rapport aux ACL de sécurité
d'origine.
Cette fonction s'applique uniquement aux volumes NAS associés à un style Windows ou à un style de sécurité mixte (pour les chiers
dotés d'ACL Windows).
Conguration des ACL sur un partage SMB
Pour dénir des ACL, utilisez les procédures de l'Explorateur Windows. Lors de la dénition d'une ACL pour un compte d'utilisateur
local, vous devez utiliser le format suivant : <client_VIP_or_name>\<local_user_name>.
Dénition des SLP sur un partage SMB à l’aide de la console MMC
Pour dénir des SLP, utilisez la console MMC (Microsoft Management Console) avec le composant logiciel enchable Dossier
partagé pour dénir des autorisations. Les administrateurs peuvent utiliser un chier MMC prédéni (.msc) depuis le menu Démarrer
de Windows Server 2003/2008/2012 et ajouter un composant logiciel enchable Dossier partagé à connecter au cluster
FluidFS.
À propos de cette tâche
La console MMC ne vous permet pas de choisir l'utilisateur à connecter à un ordinateur distant. Par défaut, la connexion est établie
avec le compte de l'utilisateur connecté à la machine. Pour utiliser un autre utilisateur pour la connexion :
Partages, exportations et volumes NAS de FluidFS
607