使用 SMB 设置文件访问
若要允许客户端访问文件,您必须使用已启用了 CIFS 的存储虚拟机(SVM)上的 SMB 来完成几个步骤。
- 配置安全模式
可为 FlexVol 卷和 Qtree 配置安全模式,以便确定 ONTAP 用来控制数据访问的权限类型,以及何种客户端类型可以修改这些权限。 - 在 NAS 名称空间中创建和管理数据卷
要在 NAS 环境中管理文件访问,必须管理存储虚拟机(SVM) 上的数据卷和接合点。其中包括规划名称空间体系结构、创建具有接合点或没有接合点的卷、装载或卸载卷,并显示数据卷和 NFS 服务器或 CIFS 服务器名称空间的相关信息。 - 配置名称映射
ONTAP 使用名称映射将 CIFS 标识映射到 Linux 标识,将 Kerberos 标识映射到 Linux 标识,将 Linux 标识映射到 CIFS 标识。无论从 NFS 客户端还是 CIFS 客户端连接,都需要此信息才能获取用户凭证和提供正确的文件访问权限。 - 配置多域名称映射搜索
您可配置存储虚拟机(SVM)执行多域名称映射搜索。这样可便于 ONTAP 在将 Linux 用户名映射为 Windows 用户名时,搜索所有双向可信域,以查找匹配。 - 创建并配置 SMB 共享
在用户和应用程序可通过 SMB 访问 CIFS 服务器上的数据之前,必须创建并配置 SMB 共享,这是在卷中指定的访问点。您可通过指定共享参数和共享属性来自定义共享。现有共享可以随时修改。 - 使用 SMB 共享 ACL 来保护文件访问
您可以在 SMB 共享上配置共享访问控制列表(ACL),通过网络保护对文件和文件夹的访问。共享级 ACL 结合文件级权限和导出策略(可选)一起使用来确定有效访问权限。 - 使用文件权限保护文件访问
您可通过配置共享(SMB 客户端通共享访问数据)内包含的文件和文件夹的文件权限来保护访问。文件级权限可与共享级 ACL 结合使用,也可选择与导出策略结合使用,以确定有效访问权限。可能使用 NTFS 权限或 Linux 权限保护文件和文件夹。 - 使用动态访问控制(DAC)保护文件访问
可通过使用动态访问控制,以及通过在 Active Directory 中创建访问策略并通过应用的组策略对象(GPO)将其应用至 SVM 上的文件和文件夹来保护访问。可配置审核以使用中心访问策略暂存事件在应用前查看中心访问策略的更改效果。 - 使用导出策略保护 SMB 访问
您可以选择使用导出策略限制对 SVM 卷上文件和文件夹的 SMB 访问。可以将导出策略与共享级和文件级权限结合使用,确定有效的访问权限。 - 使用存储级访问防护保护文件访问
除了通过本机文件级和导出以及共享安全性来保护访问,还可配置存储级访问防护,这是 ONTAP 在卷级层应用的第三层安全保护。存储级访问防护适用于从所有 NAS 协议对应用的存储对象进行的访问。
提供反馈