未解決
3 Apprentice
•
1.4K メッセージ
0
37
2025年2月12日 10:13
PowerScale マルチプロトコルアクセス時のACLに関して
掲題の件ですが、同じフォルダ/ファイルに対して同じユーザからNFS/CIFSでアクセスする際のACLに関してご教授ください。
以下コミュニティにもある通り、NTFS ACLがついているフォルダ/ファイルに関してはNTFS ACLが優先されるとありますが、基本的にNFSv3ではACLはサポートされていませんが、そこはPowerScaleが内部でOneFS ACL?という独自にACLを持っておりこれを使用するためNFSv3でもNTFS ACLでのアクセス制御になるので、常にNTFS ACLで設定を行っていればLinuxでもNTFS ACLでの制御が可能という認識であっておりますでしょうか。
https://www.dell.com/community/ja/conversations/%E3%82%B9%E3%83%88%E3%83%AC%E3%83%BC%E3%82%B8-%E3%82%B3%E3%83%9F%E3%83%A5%E3%83%8B%E3%83%86%E3%82%A3/isilon-%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%9E%E3%83%83%E3%83%94%E3%83%B3%E3%82%B0%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/647f73f3f4ccf8a8de1bb80a?keyword=Isilon%20ACL
その場合のグループに関してですが、これはLinux側でもWindows側のグループをしっかり割り当てておけばグループでのアクセス権管理もできるという認識でしょうか。
例えば、以下の状況でLinux側からNFSでUser1がフォルダAにアクセスすることは可能でしょうか。
・Windows側でUser1はDomain Usersグループに参加している
・フォルダAにDomain Users=フルーコントロールのみ割り当てている
・Linux側のUser1はDomain Usersグループには参加していない
また、このNTFS ACLが優先されるといった説明が書いてある資料もしくはKBはありますでしょうか。
ayas
Community Manager
•
7.2K メッセージ
0
2025年2月13日 06:29
Mawataraiさん
NTFS ACLがついているフォルダ/ファイルに関してはNTFS ACLが優先されるとありますが、基本的にNFSv3ではACLはサポートされていませんが、そこはPowerScaleが内部でOneFS ACL?という独自にACLを持っておりこれを使用するためNFSv3でもNTFS ACLでのアクセス制御になるので、常にNTFS ACLで設定を行っていればLinuxでもNTFS ACLでの制御が可能という認識であっておりますでしょうか。
⇒OneFS ACLはプロトコル別でそれぞれアクセスコントロール方式を使い分けるのでNTFS ACLですでにフォルダが作成されているのであればそれに対応したアクセス制御が行われます。それぞれの対応表は以下になります。
Access Control Lists on Dell EMC PowerScale OneFS
Page 28 ~Table 9 Windows permission mapping のところ
例えば、以下の状況でLinux側からNFSでUser1がフォルダAにアクセスすることは可能でしょうか。
・Windows側でUser1はDomain Usersグループに参加している
・フォルダAにDomain Users=フルーコントロールのみ割り当てている
・Linux側のUser1はDomain Usersグループには参加していない
⇒ NTFS ACLで権限を持つUserの権限がPOSIX側でのGIDにも反映されるのか、ということですが
Linux側のUser1がWindows側でUser1でマッピングされているのであればアクセス可能なのではないでしょうか。もしくはNTFS ACL設定されたフォルダAにアクセスできるGIDがNFS User1に紐付けられている、ことが必要だと思います。
このNTFS ACLが優先されるといった説明が書いてある資料もしくはKBはありますでしょうか。
⇒こちらが一番いい例だと思うのですが、基本的に作成されたSMBでACL適応であれば
それが優先される、(作成されたプロトコルでのパーミッションを優先する)という理解です。
参考:PowerScale OneFS 9.10.0.0 Web Administration Guide
Page 187
The OneFS file system installs with UNIX permissions as the default. You can give a file or directory an ACL by using Windows
Explorer or OneFS administrative tools. Typically, files created over SMB or in a directory that has an ACL, receive an ACL. If a file receives an ACL, OneFS stops enforcing the file's mode bits; the mode bits are provided for only protocol compatibility, not for access control.
King
3 Apprentice
•
1.4K メッセージ
0
2025年2月20日 05:07
@ayas
ご回答いただきありがとうございました。
回答をもとにいろいろ検証しておりました。
例えば、以下の状況でLinux側からNFSでUser1がフォルダAにアクセスすることは可能でしょうか。
・Windows側でUser1はDomain Usersグループに参加している
・フォルダAにDomain Users=フルーコントロールのみ割り当てている
・Linux側のUser1はDomain Usersグループには参加していない
⇒ NTFS ACLで権限を持つUserの権限がPOSIX側でのGIDにも反映されるのか、ということですが
Linux側のUser1がWindows側でUser1でマッピングされているのであればアクセス可能なのではないでしょうか。もしくはNTFS ACL設定されたフォルダAにアクセスできるGIDがNFS User1に紐付けられている、ことが必要だと思います。
→こちらに関してですが、NFS User1にもGIDを持たせる必要があるが正解でした。
NFS User1に対象のGIDがない場合はアクセス出来ませんでした。
また追加でご教授いただきたいのですが、SMBからアクセスするとユーザマッピングがされますが、まだユーザマッピングされていないユーザに関して、最初にLDAP認証でLinuxサーバにログインしその後マウントしたPowerScaleの領域にファイル等を書き込んだ場合ユーザマッピングはされないかと思いますが、こちらLinuxから先にアクセスした場合でもADとのユーザマッピングをする方法はありますでしょうか。
ayas
Community Manager
•
7.2K メッセージ
1
2025年2月21日 08:20
Mawataraiさん
ご返信と情報の共有を有難うございました。
SMBからアクセスするとユーザマッピングがされますが、まだユーザマッピングされていないユーザに関して、最初にLDAP認証でLinuxサーバにログインしその後マウントしたPowerScaleの領域にファイル等を書き込んだ場合ユーザマッピングはされないかと思いますが、
こちらLinuxから先にアクセスした場合でもADとのユーザマッピングをする方法はありますでしょうか。
⇒Linux UserをAD Userにマッピングすれば可能ではないでしょうか。
環境がない為テストできませんがこちらの設定でUser同士を紐付けることができれば可能ではないかと。。。
GUIのAccess →MemeberShio and Roles →User Mappingタブ
上記の設定のProviderのところでAD、LDAPをそれぞれ選択してUserを紐づけできるのではないでしょうか。