基于访问的枚举(ABE)如何工作？

适用场景

• ONTAP 9
• Data ONTAP 8 7-模式

问题解答

• 在CIFS共享上启用基于访问的枚举(ABE)后、无权访问其下的文件夹或文件的用户 将无法 在其环境中看到这些信息。
  • 文件和文件夹的实际权限不会更改、只有可见性会更改。
  • Abe不会隐藏共享本身、它仅会根据访问权限隐藏在其下创建的文件夹/文件。​​
  • 如果用户或自动化系统出于索引编制或管理目的而依赖于所有文件和文件夹的可见性、则ABE可能会中断这些操作。

注意： 每个SVM没有全局选项、如果需要、每个共享必须启用ABE

• 本地管理员仍具有无限制枚举
  • BUILTIIN\Administrators组的成员将 被授予对本地系统的无限制访问权限
  • 因此、此组中的帐户可以枚举整个目录
• 默认情况下、ABE处于禁用状态
• 启用ABE
  • 适用于Data ONTAP 8 7-模式
    • cifs shares -change sharename -accessbasedenum
  • 适用于ONTAP  9
    • ::> cifs share properties add -vserver <vserver> -share-name <share> -share-properties access-based-enumeration
• 禁用 ABE
  • 适用于Data ONTAP 8 7-模式
    • cifs shares -change sharename -noaccessbasedenum
  • 适用于ONTAP  9
    • ::> cifs share properties remove -vserver <vserver> -share-name <share> -share-properties access-based-enumeration

追加信息

• 如果使用accessbasedenum 选项创建CIFS共享测试
  • 共享\FILERTEST 将映射到用户DOMAINuserA
    • 此时将创建一个名为PROVA的文件夹、其中包含DOMAINuserA的权限所有者/完全控制。
  • 另一个用户(如DOMAINuserB)将能够看到共享测试，但不会看到共享\FILERTEST 下的文件夹PROVA。这是预期行为
  • 可通过一些选项隐藏CIFS共享测试、例如：
    • 使用-nobrowse 选项禁用CIFS共享浏览
      • 创建共享并在名称末尾附加$符号。
• 从9.9.1 9.9.1开始、我们引入了一个CIFS选项、用于根据共享级别权限枚举共享的
  • -is-share-enum-permission-check-enabled (权限：高级)  
  • 如果此参数设置为true、则NetShareEnum调用将仅使用用户有权访问的共享进行响应。默认值为false 、表示它将使用所有共享进行响应。
•  在SMB共享上启用或禁用基于访问的枚举(ONTAP 9+)
• 使用基于访问的枚举在共享上提供文件夹安全性(集群模式ONTAP 8.3.1)
• Data ONTAP 7.3文件访问和协议
• NA_CIFS共享手册页
• 通过基于访问的枚举概述(NetApp．com)为共享提供文件夹安全性
• 无需重新连接客户端即可查看ABE的影响、在下一个查询目录中、如果启用了ABE、则不会再在结果中返回用户无权访问的文件\文件夹。
• 如果用户是本地管理员(位于SVM上)的成员、则他们将能够查看共享。