Esta función permite distribuir permisos más concretos a determinados usuarios, grupos o a todo el mundo. Se permiten dos tipos de permisos delegados:
Se pueden especificar permisos concretos a determinadas personas, por ejemplo crear, destruir, montar, crear instantánea, etcétera.
Se pueden definir grupos de permisos denominadosconjuntos de permisos. Un conjunto de permisos se puede actualizar posteriormente y todos los usuarios de dicho conjunto adquieren ese cambio de forma automática. Los conjuntos de permisos comienzan con el carácter @ y tienen un límite de 64 caracteres. Después del carácter @, los demás caracteres del nombre del conjunto están sujetos a las mismas restricciones que los nombres de sistemas de archivos ZFS normales.
La administración delegada de ZFS proporciona funciones parecidas al modelo de seguridad RBAC. Esta función aporta las ventajas siguientes en la administración de agrupaciones de almacenamiento y sistemas de archivos ZFS:
Si se migra la agrupación, se mantienen los permisos en la agrupación de almacenamiento ZFS.
Proporciona herencia dinámica para poder controlar cómo se propagan los permisos por los sistemas de archivos.
Se puede configurar para que sólo el creador de un sistema de archivos pueda destruir el sistema de archivos.
Se pueden distribuir permisos en determinados sistemas de archivos. Los sistemas de archivos creados pueden designar permisos automáticamente.
Proporciona administración NFS simple. Por ejemplo, un usuario que cuenta con permisos explícitos puede crear una instantánea por NFS en el correspondiente directorio .zfs/snapshot.
A la hora de distribuir tareas de ZFS, plantéese la posibilidad de utilizar la administración delegada. Si desea información sobre el uso de RBAC para llevar a cabo tareas generales de administración de Solaris, consulte la Parte III, Roles, Rights Profiles, and Privileges de System Administration Guide: Security Services.
Puede controlar las funciones de administración delegada mediante la propiedad delegation de la agrupación. Por ejemplo:
# zpool get delegation users NAME PROPERTY VALUE SOURCE users delegation on default # zpool set delegation=off users # zpool get delegation users NAME PROPERTY VALUE SOURCE users delegation off local |
De forma predeterminada se activa la propiedad delegation.