当卷安全模式不是协议的原生 时、ONTAP 如何为NFS和CIFS客户端生成权限?
适用场景
ONTAP 9
问题解答
访问NTFS安全 文件/文件夹的NFS客户端
NTFS ACL会转换为Unix模式的最不允许变体、并应用于所有者、所有者组和其他字段、因为它们会应用于发出请求的用户。文件的所有权由写入所有权信息的映射用户的UID和GID决定。"其他"字段可能存在、具体取决于等效SID是否具有显式权限(例如"所有人")。 如果管理员为某个对象分配任意所有者、则可能会导致混淆、因为生成的Unix权限将反映其映射、而不是新所有者的映射。
以下访问掩码将直接转换为MOdebits:
- 读取和执行(r-x)、
- 读取(r-)、
- 写入(-w-)、
- 修改(rwx)、
- 完全控制(rwx)、
- 遍历文件夹/执行文件(-x)、
- 创建文件/写入数据(-w-)、
- 列出文件夹/读取数据(r-)
其他特殊权限不会直接转换为Unix模式。在这种情况下、无法表示客户端能够单独执行此类操作。
访问UNIX安全文件/文件夹的CIFS客户端
如果将选项 -is-unix-nt-acl-enabled
设置为true (默认)、则UNIX权限将转换为NTFS ACL。
默认情况下、这些字段会转换为伪SID、显示
- UNIXPermUid\User
- UNIXPermGid\Group
- 其他
- 当前访问用户
当前访问用户的条目表示用户的有效权限、而不是对文件/文件夹应用的权限。
与MOdeits相比、生成的NTFS ACL看起来更宽松、因为某些权限没有转换。ONTAP 会尝试在此转换中保持客户端的预期—如果Windows用户的映射用户将获得rwx、则该用户将有效地拥有完全控制ACL、即使这提供了无法通过MOdebits显式授予Unix用户的特殊权限。
写入权限后、将执行这两种转换。
追加信息
SID/前缀
|
占位符名称
|
S-1-5-21-2038298172-129713336-11111-<uidNumber>
|
UNIXPermUid
|
S-1-5-21-2038298172-129713336-22222-<gidNumber>
|
UNIXPermGid
|
S-1-5-21-2038298172-129713336-33333
|
UNIXPerm\other
|