如何对 SMB 访问使用导出策略
如果 CIFS 服务器上启用了 SMB 访问导出策略,则会用其控制 SMB 客户端对 SVM 卷的访问。若要访问数据,您可创建允许 SMB 访问的导出策略,然后将该策略与包含 SMB 共享的卷关联。
导出策略具有一条或多条已应用于其的规则,并且导出策略规定了被允许访问数据的客户端以及支持只读和读写访问权限的认证协议。您可配置导出策略以允许通过 SMB 访问所有客户端、客户端子网或特定客户端,以及允许在确定对数据的只读权限和读写权限时,使用 Kerberos 认证方式、NTLM 认证方式或同时使用两者进行认证。
在处理了应用于导出策略的所有导出规则后,ONTAP 可决定是否授予客户端访问权限以及授予访问权限的级别。导出规则应用于客户端计算机,而非 Windows 用户和组。导出规则不会替换基于 Windows 用户和组的认证和授权。导出规则在共享和文件访问权限以外再加上另一层访问安全。可以为每个卷只关联一个导出策略,以配置客户端对卷的访问权限。每个 SVM 可包含多个导出策略。这样,便可以对带有多个卷的 SVM 执行以下操作:
向 SVM 的每个卷分配不同的导出策略,以控制单个客户端对 SVM 中的每个卷的访问。
向 SVM 的多个卷分配相同的导出策略,以进行相同的客户端访问控制,而无需为每个卷创建一个新的导出策略。
只能为每个卷关联一个导出策略,以配置客户端对卷的访问权限。每个 SVM 可包含多个导出策略。这样,便可以对带有多个卷的 SVM 执行以下操作:
向 SVM 的每个卷分配不同的导出策略,以控制单个客户端对 SVM 中的每个卷的访问。
向 SVM 的多个卷分配相同的导出策略,以进行相同的客户端访问控制,而无需为每个卷创建一个新的导出策略。
每个 SVM 至少有一个称为default
的导出策略,其中不包含任何规则。无法删除此导出策略,但可重命名或对其进行修改。SVM 上的每个卷在默认情况下已与默认导出策略关联。如果 SVM 上的 SMB 访问导出策略已禁用,则default
导出策略不会对 SMB 访问产生任何影响。
您可配置为 NFS 和 SMB 主机提供访问权限的规则,并将该规则导出策略关联,之后该规则可与包含 NFS 和 SMB 主机需访问数据的卷关联。或者,如果有仅 SMB 客户端需要访问的卷,则可配置导出规则仅允许使用 SMB 协议进行访问并且仅使用 Kerberos 或 NTLM(或同时使用两者)进行只读和读写访问权限认证的导出策略。然后将导出策略与仅需要 SMB 访问权限的卷关联。
如果 SMB 导出策略已启用并且客户端请求适用导出策略不允许的访问权限,则该请求将失败,并会收到权限被拒绝的消息。如果客户端与卷的导出策略中的任何规则都不匹配,则会拒绝访问。如果导出策略为空,则会隐式拒绝所有访问。即使共享和文件权限以其他方式允许访问,也是如此。这意味着,必须配置导出策略,以在包含 SMB 共享的卷上最低限度地允许以下操作:
允许访问所有客户端或客户端的相应子网
允许通过 SMB 访问
通过使用 Kerberos 或 NTLM 认证(或同时使用两者)允许相应的只读和写入访问权限
有关配置及管理导出策略的信息,请参阅《NFS 参考》。