Délégation d'autorisations ZFS

Vous pouvez utiliser la commande zfs allow pour déléguer les autorisations sur les systèmes de fichiers ZFS vers des utilisateurs non root en utilisant l'une des méthodes suivantes :

Vous pouvez déléguer des autorisations individuelles à un utilisateur, à un groupe, voire à tous les utilisateurs.
Vous pouvez déléguer des groupes d'autorisations individuelles sous forme de jeu d'autorisations à un utilisateur, à un groupe, voire à tous les utilisateurs.
Vous pouvez déléguer des autorisations localement, soit uniquement au système de fichiers actuel, soit à l'ensemble de ses descendants.

Le tableau suivant décrit les opérations pouvant être déléguées et toute autorisation dépendante requise pour réaliser ces opérations déléguées.

Autorisation (sous-commande)	Description	Dépendances
`allow`	Autorisation d'accorder des autorisations qui vous ont été octroyées à un autre utilisateur.	Nécessité de disposer de l'autorisation en cours d'octroi.
`clone`	Autorisation de cloner tout instantané du jeu de données.	Nécessité de disposer des autorisations `create` et `mount` sur le système de fichiers d'origine.
`create`	Autorisation de créer des jeux de données descendants.	Nécessité de disposer de l'autorisation `mount`.
`destroy`	Autorisation de détruire un jeu de données.	Nécessité de disposer de l'autorisation `mount`.
`diff`	Autorisation d'identifier les chemins d'accès à l'intérieur d'un jeu de données.	Les utilisateurs non root ont besoin de cette autorisation pour utiliser la commande `zfs diff`.
`hold`	Autorisation de conservation d'un instantané.
`mount`	Autorisation de monter et démonter un système de fichiers, et de créer et détruire les liens vers des périphériques de volume.
`promote`	Autorisation de promouvoir le clonage d'un jeu de données.	Nécessité de disposer également des autorisations `mount` et `promote` sur le système de fichiers d'origine.
`receive`	Autorisation de créer des systèmes de fichiers descendants à l'aide de la commande `zfs receive`.	Nécessité de disposer également des autorisations `mount` et `create`.
`release`	Autorisation de libérer un instantané conservé, ce qui peut détruire l'instantané.
`rename`	Autorisation de renommer un jeu de données.	Nécessité de disposer également des autorisations `create` et `mount` sur le nouveau parent.
`restauration`	Autorisation de restaurer un instantané.
`send`	Autorisation d'envoyer un flux d'instantané.
`share`	Autorisation de partager et de départager un système de fichiers	`share` et `share.nfs` sont tous les deux nécessaires pour créer un partage NFS. `share` et `share.smb` sont tous les deux nécessaires pour créer un partage SMB.
`snapshot`	Autorisation de créer un instantané d'un jeu de données.

Vous pouvez déléguer le jeu d'autorisations suivant mais une autorisation peut être limitée à l'accès, à la lecture ou à la modification :

groupquota
groupused
key
keychange
userprop
userquota
userused

Vous pouvez en outre déléguer l'administration des propriétés ZFS suivantes à des utilisateurs non root :

aclinherit
aclmode
atime
canmount
casesensitivity
checksum
compression
copies
dedup
devices
encryption
exec
keysource
logbias
mountpoint
nbmand
normalization
primarycache
quota
readonly
recordsize
refquota
refreservation
reservation
rstchown
secondarycache
setuid
shadow
share.nfs
share.smb
snapdir
sync
utf8only
version
volblocksize
volsize
vscan
xattr
zoned

Certaines de ces propriétés ne peuvent être définies qu'à la création d'un jeu de données. Pour une description de ces propriétés, reportez-vous à la section Présentation des propriétés ZFS.

Délégation des autorisations ZFS (`zfs allow`)

La syntaxe de zfs allow est la suivante :

zfs allow -[ldugecs] everyone|user|group[,...] perm|@setname,...] filesystem| volume

La syntaxe de zfs allow suivante (en gras) identifie les utilisateurs auxquels les autorisations sont déléguées :

zfs allow [-uge]|user|group|everyone [,...] filesystem | volume

Vous pouvez spécifier plusieurs entrées sous forme de liste séparée par des virgules. Si aucune option -uge n'est spécifiée, l'argument est interprété en premier comme le mot-clé everyone, puis comme un nom d'utilisateur et enfin, comme un nom de groupe. Pour spécifier un utilisateur ou un groupe nommé "everyone", utilisez l'option -u ou l'option -g. Pour spécifier un groupe portant le même nom qu'un utilisateur, utilisez l'option -g. L'option -c délègue des autorisations create-time.

La syntaxe de zfs allow suivante (en gras) identifie la méthode de spécification des autorisations et jeux d'autorisations :

zfs allow [-s] ... perm|@setname [,...] filesystem | volume

Vous pouvez spécifier plusieurs autorisations sous forme de liste séparée par des virgules. Les noms d'autorisations sont identiques aux sous-commandes et propriétés ZFS. Pour plus d'informations, reportez-vous à la section précédente.

Les autorisations peuvent être regroupées en jeux d'autorisations et sont identifiées par l'option -s. Les jeux d'autorisations peuvent être utilisés par d'autres commandes zfs allow pour le système de fichiers spécifié et ses descendants. Les jeux d'autorisations sont évalués dynamiquement et de ce fait, toute modification apportée à un jeu est immédiatement mise à jour. Les jeux d'autorisations doivent se conformer aux mêmes critères d'attribution de noms que les systèmes de fichiers ZFS, à ceci près que leurs noms doivent commencer par le caractère arobase (@) et ne pas dépasser 64 caractères.

La syntaxe de zfs allow suivante (en gras) identifie la méthode de délégation des autorisations :

zfs allow [-ld] ... ... filesystem | volume

L'option -l indique que les autorisations sont accordées au système de fichiers spécifié mais pas à ses descendants, à moins de spécifier également l'option -d. L'option -d indique que les autorisations sont accordées aux systèmes de fichiers descendants mais pas à ce système de fichiers, à moins de spécifier également l'option - l. Si aucune option n'est spécifiée, les autorisations sont accordées au système de fichiers ou au volume ainsi qu'à ses descendants.

Suppression des autorisations déléguées de ZFS (`zfs unallow`)

Vous pouvez supprimer des autorisations précédemment déléguées à l'aide de la commande zfs unallow.

Supposons par exemple que vous déléguiez les autorisations create, destroy, mount et snapshot de la manière suivante :

# zfs allow cindy create,destroy,mount,snapshot tank/home/cindy
# zfs allow tank/home/cindy
---- Permissions on tank/home/cindy ----------------------------------
Local+Descendent permissions:
        user cindy create,destroy,mount,snapshot

Pour supprimer ces autorisations, vous devez respecter la syntaxe suivante :

# zfs unallow cindy tank/home/cindy
# zfs allow tank/home/cindy

Ignorer les liens de navigation
Quitter l'aperu
	Administration d'Oracle Solaris 11.1 : Systèmes de fichiers ZFS Oracle Solaris 11.1 Information Library (Français)