限制或允许通过 SMB 进行访问的导出策略规则示例
以下示例显示了,在 SMB 访问的导出策略已启用的 SVM 上,如何创建可限制或允许通过 SMB 进行访问的导出策略规则。
默认情况下,SMB 访问的导出策略处于禁用状态。只有在 SMB 访问的导出策略已启用时,才需要配置可限制或允许通过 SMB 进行访问的导出策略规则。
仅适用于 SMB 访问的导出规则
以下命令将在名为vs1
的 SVM 上创建导出规则,其配置如下:
策略名称:cifs1
索引号:1
客户端匹配:仅匹配 192.168.1.0/24 网络上的客户端
协议:仅允许 SMB 访问
只读访问权限:使用 NTLM 或 Kerberos 认证的客户端
读写访问权限:使用 Kerberos 认证的客户端
cluster1::> vserver export-policy rule create -vserver vs1 -policyname cifs1 ‑ruleindex 1
-protocol cifs -clientmatch 192.168.1.0/255.255.255.0 -rorule krb5,ntlm -rwrule krb5
适用于 SMB 和 NFS 访问的导出规则
以下命令将在名为vs1
的 SVM 上创建导出规则,其配置如下:
策略名称:cifsnfs1
索引号:2
客户端匹配:匹配所有客户端
协议:SMB 和 NFS 访问
只读访问权限:所有客户端
读写访问权限:使用 Kerberos 认证(NFS 和 SMB)或 NTLM 认证(SMB)的客户端
Linux 用户标识为 0(零)的映射:映射到用户标识 65534(通常情况下会映射到用户名 nobody)
suid 和 sgid 访问权限:允许
cluster1::> vserver export-policy rule create -vserver vs1 -policyname cifsnfs1
‑ruleindex 2 -protocol cifs,nfs -clientmatch 0.0.0.0/0 -rorule any -rwrule krb5,ntlm -anon 65534 -allow-suid true
仅适用于使用 NTLM 的 SMB 访问导出规则
以下命令将在名为vs1
的 SVM 上创建导出规则,其配置如下:
策略名称:ntlm1
索引号:1
客户端匹配:匹配所有客户端
协议:仅允许 SMB 访问
只读访问权限:仅使用 NTLM 的客户端
读写访问权限:仅使用 NTLM 的客户端
注
如果要为仅 NTLM 的访问配置只读选项或读写选项,则必须使用客户端匹配选项中基于 IP 地址的条目。否则,将收到拒绝访问的错误。这是因为使用主机名检查客户端访问权限时,ONTAP 使用 Kerberos 服务主体名称(SPN)。NTLM 认证不支持 SPN 名称。
cluster1::> vserver export-policy rule create -vserver vs1 -policyname ntlm1
‑ruleindex 1 -protocol cifs -clientmatch 0.0.0.0/0 -rorule ntlm -rwrule ntlm
提供反馈