1. Oracle Solaris ZFS-Dateisystem (Einführung)
2. Erste Schritte mit Oracle Solaris ZFS
3. Unterschiede zwischen Oracle Solaris ZFS und herkömmlichen Dateisystemen
4. Verwalten von Oracle Solaris ZFS-Speicher-Pools
5. Installieren und Booten eines Oracle Solaris ZFS-Root-Dateisystems
6. Verwalten von Oracle Solaris ZFS-Dateisystemen
7. Arbeiten mit Oracle Solaris ZFS-Snapshots und -Klonen
8. Schützen von Oracle Solaris ZFS-Dateien mit Zugriffskontrolllisten und Attributen
9. Delegierte Oracle Solaris ZFS-Administration
Delegieren von ZFS-Zugriffsrechten
Delegieren von ZFS-Zugriffsrechten (zfs allow)
Löschen von delegierten ZFS-Zugriffsrechten (zfs unallow)
Delegieren von ZFS-Zugriffsrechten (Beispiele)
Anzeigen von delegierten ZFS-Zugriffsrechten (Beispiele)
Löschen von delegierten ZFS-Zugriffsrechten (Beispiele)
10. Fortgeschrittene Oracle Solaris ZFS-Themen
11. Problembehebung und Pool-Wiederherstellung in Oracle Solaris ZFS
Die delegierte ZFS-Administration dient zum Verteilen fein abgestimmter Zugriffsrechte an bestimmte Benutzer, Gruppen oder an "everyone". Es werden zwei Arten der delegierten Zugriffsrechte unterstützt:
Einzelne Zugriffsrechte wie create, destroy, mount, snapshot usw. können ausdrücklich angegeben werden.
Auch können Gruppen von Zugriffsrechten, so genannte Zugriffsrechtsätze, definiert werden. Ein Zugriffsrechtsatz kann zu einem späteren Zeitpunkt aktualisiert werden. Die daraus resultierenden Änderungen wirken sich automatisch auf alle Benutzer des Satzes aus. Zugriffsrechtsätze beginnen mit dem Zeichen @ und sind auf eine Länge von 64 Zeichen begrenzt. Für die auf das Zeichen @ folgenden übrigen Zeichen im Namen gelten dieselben Einschränkungen wie für normale ZFS-Dateisystemnamen.
Die delegierte ZFS-Administration bietet ähnliche Möglichkeiten wie das RBAC-Sicherheitsmodell. Die delegierte ZFS-Administration stellt für die Verwaltung von ZFS-Speicher-Pools und -Dateisystemen die folgenden Vorteile dar:
Bei jeder Migration des ZFS-Speicher-Pools werden seine Zugriffsberechtigungen mit ihm weitergegeben.
Durch dynamische Vererbung kann gesteuert werden, wie die Zugriffsrechte durch die Dateisysteme weitergegeben werden.
Möglich ist eine Konfiguration, bei der nur der Ersteller eines Dateisystems dieses wieder löschen kann.
Zugriffsrechte können gezielt an bestimmte Dateisysteme delegiert werden. Neu erstellte Dateisysteme können Zugriffsrechte automatisch übernehmen.
Es wird eine einfache NFS-Administration ermöglicht. So kann beispielsweise ein Benutzer mit ausdrücklichen Zugriffsrechten über NFS einen Schnappschuss im entsprechenden .zfs/snapshot -Verzeichnis erstellen.
Die delegierte Administration bietet sich für die Verteilung von ZFS-Aufgaben an. Informationen zum Einsatz von RBAC für allgemeine Oracle Solaris-Administrationsaufgaben finden Sie in Teil III, Rollen, Berechtigungsprofile und Berechtigungen in Systemverwaltungshandbuch: Sicherheitsservices.
Die Funktionen der delegierten Administration können durch Setzen der Pool-Eigenschaft delegation gesteuert werden. Beispiel:
# zpool get delegation users NAME PROPERTY VALUE SOURCE users delegation on default # zpool set delegation=off users # zpool get delegation users NAME PROPERTY VALUE SOURCE users delegation off local
Standardmäßig ist die Eigenschaft delegation aktiviert.