跳到主要内容

允许用户或组绕过目录遍历检查

如果要让用户能够遍历某个文件的路径中的所有目录(即使用户对于所遍历的目录没有权限),可以将 SeChangeNotifyPrivilege 权限添加到存储虚拟机(SVM)上的本地 SMB 用户或组。默认情况下,用户可绕过目录遍历检查。

开始之前

  • CIFS 服务器必须存在于 SVM 上。

  • 必须启用本地用户和组 CIFS 服务器选项。

  • 要添加 SeChangeNotifyPrivilege 权限的本地或域用户或组必须已经存在。

关于本任务

在向域用户或组添加权限时,ONTAP 可能通过联系域控制器验证域用户或组。如果 ONTAP 无法联系到域控制器,该命令可能失败。

  1. 通过将 SeChangeNotifyPrivilege 权限添加到本地或域用户或组来启用绕过遍历检查:vserver cifs users-and-groups privilege add-privilege -vserver vserver_name -user-or-group-name name -privileges SeChangeNotifyPrivilege

    -user-or-group-name 参数的值为本地用户或组,或域用户或组。

  2. 验证指定的用户或组是否已启用绕过遍历检查:vserver cifs users-and-groups privilege show -vserver vserver_name ‑user-or-group-name name

示例

以下命令通过将 SeChangeNotifyPrivilege 权限添加到组,允许属于EXAMPLE\eng组的用户绕过目录遍历检查:

cluster1::> vserver cifs users-and-groups privilege add-privilege -vserver vs1 
-user-or-group-name EXAMPLE\eng -privileges SeChangeNotifyPrivilege

cluster1::> vserver cifs users-and-groups privilege show -vserver vs1
Vserver   User or Group Name    Privileges
--------- --------------------- ---------------
vs1       EXAMPLE\eng           SeChangeNotifyPrivilege