Guia de administração do ZFS Oracle Solaris

Visão geral da administração delegada de ZFS

Este recurso permite distribuir permissões refinadas a usuários específicos, grupos ou a todos. São suportados dois tipos de permissões delegadas:

As permissões individuais podem ser explicitamente especificadas como criar, destruir, montar, realizar um instantâneo, etc.
Os grupos de permissões denominados conjuntos de permissões podem ser definidos. Um conjunto de permissões pode ser atualizado mais tarde e todos os consumidores deste conjunto adquirem automaticamente a alteração. Os conjuntos de permissões começam com o caractere @ e estão limitados a 64 caracteres de extensão. Depois do caractere @, os caracteres restantes do nome do conjunto apresentam as mesmas restrições que os nomes de um sistema de arquivos ZFS normal.

A administração delegada de ZFS oferece recursos semelhantes ao modelo de segurança RBAC. Este recurso oferece as seguintes vantagens na administração de conjuntos de armazenamento e sistemas de arquivos do ZFS:

As permissões seguem o pool de armazenamento do ZFS quando tal pool for migrado.
Oferece herança dinâmica, onde é possível controlar como as permissões se propagam pelos sistemas de arquivos.
Pode ser configurado de forma que somente o criador de um sistema de arquivos possa destruir tal sistema de arquivos.
Você pode distribuir permissões para especificar sistemas de arquivos. Os sistemas de arquivos recém-criados podem adquirir automaticamente as permissões.
Fornece administração do NFS simples. Por exemplo, um usuário com permissões explícitas pode criar um instantâneo sobre o NFS no diretório .zfs/snapshot apropriado.

Considere o uso da administração delegada para distribuir tarefas do ZFS. Para obter mais informações sobre o uso de RBAC para gerenciar tarefas gerais de administração do Solaris, consulte Parte III, Roles, Rights Profiles, and Privileges, no System Administration Guide: Security Services.

Desativando permissões delegadas do ZFS

É possível controlar os recursos de administração delegados utilizando a propriedade delegation do conjunto. Por exemplo:

# zpool get delegation users
NAME  PROPERTY    VALUE       SOURCE
users  delegation  on          default
# zpool set delegation=off users
# zpool get delegation users
NAME  PROPERTY    VALUE       SOURCE
users  delegation  off         local

Por padrão, a propriedade delegation é habilitada.