跳到主要内容

限制或允许通过 SMB 进行访问的导出策略规则示例

以下示例显示了,在 SMB 访问的导出策略已启用的 SVM 上,如何创建可限制或允许通过 SMB 进行访问的导出策略规则。

默认情况下,SMB 访问的导出策略处于禁用状态。只有在 SMB 访问的导出策略已启用时,才需要配置可限制或允许通过 SMB 进行访问的导出策略规则。

仅适用于 SMB 访问的导出规则

以下命令将在名为vs1SVM 上创建导出规则,其配置如下:

  • 策略名称:cifs1

  • 索引号:1

  • 客户端匹配:仅匹配 192.168.1.0/24 网络上的客户端

  • 协议:仅允许 SMB 访问

  • 只读访问权限:使用 NTLM 或 Kerberos 认证的客户端

  • 读写访问权限:使用 Kerberos 认证的客户端

cluster1::> vserver export-policy rule create -vserver vs1 -policyname cifs1 ‑ruleindex 1 
-protocol cifs -clientmatch 192.168.1.0/255.255.255.0 -rorule krb5,ntlm -rwrule krb5

适用于 SMB 和 NFS 访问的导出规则

以下命令将在名为vs1SVM 上创建导出规则,其配置如下:

  • 策略名称:cifsnfs1

  • 索引号:2

  • 客户端匹配:匹配所有客户端

  • 协议:SMB 和 NFS 访问

  • 只读访问权限:所有客户端

  • 读写访问权限:使用 Kerberos 认证(NFS 和 SMB)或 NTLM 认证(SMB)的客户端

  • Linux 用户标识为 0(零)的映射:映射到用户标识 65534(通常情况下会映射到用户名 nobody)

  • suid 和 sgid 访问权限:允许

cluster1::> vserver export-policy rule create -vserver vs1 -policyname cifsnfs1 
‑ruleindex 2 -protocol cifs,nfs -clientmatch 0.0.0.0/0 -rorule any -rwrule krb5,ntlm -anon 65534 -allow-suid true

仅适用于使用 NTLM 的 SMB 访问导出规则

以下命令将在名为vs1SVM 上创建导出规则,其配置如下:

  • 策略名称:ntlm1

  • 索引号:1

  • 客户端匹配:匹配所有客户端

  • 协议:仅允许 SMB 访问

  • 只读访问权限:仅使用 NTLM 的客户端

  • 读写访问权限:仅使用 NTLM 的客户端

如果要为仅 NTLM 的访问配置只读选项或读写选项,则必须使用客户端匹配选项中基于 IP 地址的条目。否则,将收到拒绝访问的错误。这是因为使用主机名检查客户端访问权限时,ONTAP 使用 Kerberos 服务主体名称(SPN)。NTLM 认证不支持 SPN 名称。
cluster1::> vserver export-policy rule create -vserver vs1 -policyname ntlm1 
‑ruleindex 1 -protocol cifs -clientmatch 0.0.0.0/0 -rorule ntlm -rwrule ntlm