Permissões de ACL necessárias para trabalhar em arquivos e diretórios

As permissões de ACL Ler permissões e Ler atributos são requeridas para listar um arquivo. Um proprietário de arquivo requer somente a permissão Ler atributos para listar um arquivo, uma vez que a permissão Ler permissões fica implícita. Um usuário diferente deve possuir tanto a permissão Ler permissões quanto Ler atributos ativadas para listar de forma confiável o arquivo. Essas permissões são concedidas automaticamente juntas quando readaccess é concedido. Se o arquivo já estiver no cache do sistema Storwize V7000 Unified porque foi listado recentemente, qualquer usuário será capaz de listar os arquivos, independentemente dos valores das permissões Permissões de leitura e Atributos de leitura.

A ACL inicial de um objeto recém criado é determinado pela avaliação da ACE herdada da pasta-pai. Se não houver ACEs herdadas, uma ACL padrão será aplicada. Esta ACL padrão não corresponde à ACL padrão no Microsoft Windows. As ACLs do Sistema consistem em entradas de alerta e de alarme para propósitos de auditoria. Estas entradas não são suportadas pelo Storwize V7000 Unified.

Quando o proprietário de um arquivo ou pasta muda e uma ACE existe para o proprietário anterior, a ACE para o proprietário anterior se aplica ao novo proprietário. O proprietário do arquivo deve ser um usuário e não um grupo de segurança.

A tabela a seguir descreve as permissões de ACL requeridas quando o usuário do arquivo não é o proprietário do arquivo, em que "X" indica permissão requerida no arquivo ou diretório que é o objeto da operação e "P" indica permissão requerida no diretório pai do arquivo/diretório que é o objeto da operação.

Tabela 1. Permissões de ACL necessárias para trabalhar em arquivos e diretórios
Operação de ACL Permissão de ACL
  Acessar pasta / executar arquivo Listar pasta / ler dados Atributo de leitura Atributo estendido de leitura Criar arquivos / gravar dados Criar pastas / anexar dados Atributo de gravação Atributos estendidos de gravação Excluir subpastas e arquivos Excluir Permissões de leitura Permissões de gravação Assumir como proprietário
Executar arquivo X X                      
Listar pasta   X                      
Ler dados do arquivo   X X X                  
Atributos de leitura     X                    
Criar arquivo         X                
Criar pasta           X              
Gravar dados no arquivo   X X   X X X X          
Atributos do arquivo de gravação             X            
Atributos da pasta de gravação             X            
Excluir arquivo   P X   P       P ou X      
Excluir pasta   P X   P       P ou X      
Renomear arquivo   P X   P       P ou X      
Renomear pasta   P X   P P     P ou X      
Ler permissões de arquivo                     X    
Ler permissões da pasta                     X    
Permissões do arquivo de gravação                     X X  
Permissões de pasta de gravação                     X X  
Assumir como proprietário do arquivo                         X
Assumir como proprietário da pasta                         X
Tabela 2. Permissões ACL requeridas para trabalhar nos arquivos e diretórios, enquanto usa NFS
Operação de ACL Permissão de ACL
  Acessar pasta / executar arquivo Listar pasta / ler dados Atributo de leitura Atributo estendido de leitura Criar arquivos / gravar dados Criar pastas / anexar dados Atributo de gravação Atributos estendidos de gravação Excluir subpastas e arquivos Excluir ACL de leitura ACL de gravação Assumir como proprietário
Executar arquivo X                        
Listar pasta   X                      
Ler dados do arquivo P X                      
Atributos de leitura P                        
Criar arquivo P       P                
Criar pasta P         P              
Gravar dados no arquivo P       X                
Atributos do arquivo de gravação P           X            
Atributos da pasta de gravação P           X            
Excluir arquivo P       P       P        
Excluir pasta P       P       P        
Renomear arquivo P   X   P       P        
Renomear pasta P   X   P P     P        
ACL do arquivo de leitura P                   X    
ACL da pasta de leitura P                   X    
ACL do arquivo de gravação P                   X X  
ACL da pasta de gravação P                   X X  
Assumir como proprietário do arquivo P                       X
Assumir como proprietário da pasta P                       X
Nota:
  • Para a operação “Ler dados do arquivo", o Storwize V7000 Unified verifica a validade da máscara de acesso de solicitação do cliente somente se o atributo “Permissões de leitura" for ativado no arquivo. Se o atributo “Permissões de leitura" não estiver ativado, então somente as permissões "Listar pasta/ler dados" e “Atributos de leitura" serão requeridas para ler a partir do arquivo.
  • Para a operação “Gravar dados para arquivo” do Storwize V7000 Unified verifica a validade da máscara de acesso de solicitação do cliente somente se o atributo “Permissões de leitura" for ativado no arquivo. Se o atributo “Permissões de leitura" não estiver ativado, então somente permissões "Criar arquivos/gravar dados" e "Criar pastas/anexar dados" serão requeridas para gravar no arquivo.
  • Os arquivos que requerem permissão “Atravessar pasta/executar arquivo” não requerem o atributo “Efeituar bypass da verificação de travessa” para serem ativados. Este atributo é ativado por padrão em arquivos do Storwize V7000 Unified e está sempre ativado em arquivos do Storwize V7000 Unified.
  • A permissão do atributo estendido de Leitura é requerido por clientes CIFS com as versões recentes do Microsoft Windows (para Microsoft Windows 2008, Microsoft Windows 2012, e Microsoft Windows 8 versões) para operações de cópia de arquivo. O conjunto de ACLs padrão sem herança não contêm essa permissão. É recomendado que você use as permissões herdadas sempre que possível e ative esta permissão nas permissões herdadas para impedir que o valor padrão a seja usado e cause problemas.

Para clientes Microsoft Windows, o sistema Storwize V7000 Unified mapeia ACLs NFSv4 para ACLs do Windows NT, e faz um mapeamento reverso para ACLs do Windows NT configuradas pela estação de trabalho do Windows. ACLs NFSv4 GPFS e ACLs CIFS não são equivalentes. Por exemplo, CIFS suporta grupos aninhados ilimitados, os quais não são totalmente suportados por ACLs NFSv4 GPFS. O sistema Storwize V7000 Unified mapeia a maioria dos recursos da ACL CIFS para ACLs NFSv4 GPFS, com algumas limitações. Consulte Limitações de autorização.

O proprietário de um arquivo não pode ser migrado usando um ID do usuário, deve-se configurar e usar um usuário administrativo do sistema Storwize V7000 Unified para executar a migração de dados. Ao migrar arquivos e diretórios existentes a partir de outros sistemas para o sistema Storwize V7000 Unified, a ACL não pode conter direitos de passagem explícitos para os usuários porque o sistema de origem pode conceder esse direito implicitamente. Após migrar os arquivos com ACLs, assegure-se de que direitos de passagem sejam concedidos ao diretório-pai de cada caminho exportado.

Um exemplo disso é o privilégio do Windows BypassTraversalCheck, que é ativado por padrão. A opção --bypassTraversalCheck do comando da CLI chcfg Storwize V7000 Unified permite aos usuários CIFS atravessar diretórios sem permissões explícitas ACL. Listagem de arquivos em um diretório ainda deve ser permitida pela permissão de leitura da ACL. Por exemplo, na estrutura do diretório /A/B/C, suponha que um usuário do CIFS tenha permissão de leitura no C, mas nenhuma permissão em A e B. Quando a opção --bypassTraversalCheck for configurada ao seu valor padrão de sim, este usuário CIFS poderá acessar C sem ter as permissões Examinar pasta /executar arquivo configuradas para permitir em A e B, mas ainda não tem permissão para procurar o conteúdo de A e B.

É recomendado que você inclua a permissão "Atravessar pasta / executar arquivo" para todos os arquivos executáveis, mesmo se o atributo "Efetuar bypass de verificação de travessa" seja ativado sobre esses arquivos. Storwize V7000 Unified verifica a permissão “Atravessar pasta / executar arquivo” em arquivos executáveis sem consideração ao estado do atributo “Efetuar bypass de verificação de travessa”.

Nota: Ter a opção --bypassTraversalCheck que está ativada permite que um usuário acesse diretamente os arquivos e pastas que o usuário possui, e que estão contidas em pastas-pai para o qual o usuário não possui permissões de Leitura ou Gravação. Os usuários sem acesso de Read e Execute ao compartilhamento ou exportação no qual os arquivos e pastas do usuário de propriedade estão localizados podem Ler e Modificar os arquivos dentro da exportação para os quais o usuário tenha permissões concedidas pela opção --bypassTraversalCheck. No entanto, neste caso, as operações como Rename file e Delete file não são concedidas por padrão. Esse é um comportamento normal do CIFS. Modifique as ACLs como requerido para ativar essas operações.
Os bits POSIX de um arquivo é outro método de autenticação, diferente de ACLs. Os bits POSIX também podem ser usados para especificar permissões de acesso para um arquivo. Sistemas de arquivos UNIX permitem que você especifique o proprietário e o grupo de um arquivo. É possível usar os bits POSIX de um arquivo para configurar o controle de acesso para um proprietário, um grupo e para todos os usuários para ler, atualizar ou executar o arquivo. Bits POSIX são menos flexíveis do que ACLs.
Nota: Alterando os bits POSIX de um sistema de arquivos GPFS aciona uma modificação da ACL do NFSv4 GPFS do sistema de arquivos, incluindo a exclusão de algumas ACEs. Como o sistema Storwize V7000 Unified usa ACLs NFSv4 GPFS para controle de acesso, os administradores do Storwize V7000 Unified podem desejar evitar a alteração de bits POSIX de arquivos armazenados no sistema Storwize V7000 Unified, a menos que estas modificações específicas de ACL do NFSv4 GPFS e exclusões da ACE sejam desejadas.

Clientes NFSv3 podem configurar e ler as permissões do UNIX tradicionais; as permissões de configurações dos clientes NFSv3 do UNIX reduzem a ACL para corresponder às permissões do UNIX. Na maioria dos casos NFS somente, as permissões de POSIX são usadas diretamente. Para clientes NFSv3, compartilhamento de arquivo com proteção de acesso do CIFS é feito usando as ACLs NFSv4 em GPFS, mas os clientes NFSv3 somente consulte o mapeamento de ACLs às permissões de acesso ao UNIX tradicionais. As ACLs NFSv4 integrais são impingidas no servidor.