Délégation de droits ZFS

Vous pouvez utiliser la commande zfs allow pour déléguer des droits d'accès aux jeux de données ZFS aux utilisateurs non racine, de la manière suivante :

Vous pouvez déléguer des droits individuels à un utilisateur, à un groupe, voire à tous les utilisateurs.
Vous pouvez déléguer des groupes de droits individuels sous forme de jeu de droits à un utilisateur, à un groupe, voire à tous les utilisateurs.
Vous pouvez déléguer des droits localement uniquement au jeu de données actuel ou à tous les descendants de celui-ci.

Le tableau suivant décrit les opérations pouvant être déléguées et tout droit dépendant devant réaliser ces opérations déléguées.

Droit (sous-commande)	Description	Dépendances
`allow`	Droit d'accorder des droits qui vous ont été octroyés à un autre utilisateur.	Doit également disposer du droit à autoriser.
`clone`	Droit de cloner tout instantané du jeu de données.	Doit également disposer des droits `create` et `mount` sur le système de fichiers d'origine.
`create`	Droit de créer des jeux de données descendants.	Doit également disposer du droit `mount`.
`destroy`	Droit de détruire un jeu de données.	Doit également disposer du droit `mount`.
`diff`	Droit d'identifier les chemins d'accès à l'intérieur d'un jeu de données.	Les utilisateurs non-root ont besoin de ce droit pour utiliser la commande `zfs diff`.
`hold`	Droit de conservation d'un instantané.
`mount`	Droit de monter et démonter un jeu de données, et de créer et détruire les liens vers des périphériques de volume.
`promote`	Droit de promouvoir le clonage d'un jeu de données.	Doit également disposer des droits `mount` et `promote` sur le système de fichiers d'origine.
`receive`	Droit de créer des systèmes de fichiers descendants à l'aide de la commande `zfs receive`.	Doit également disposer des droits `mount` et `create`.
`release`	Droit de libérer un instantané conservé, ce qui peut détruire l'instantané.
`rename`	Droit de renommer un jeu de données.	Doit également disposer des droits `create` et `mount` sur le nouveau parent.
`rollback`	Droit de restaurer un instantané.
`send`	Droit d'envoyer un flux d'instantané.
`share`	Droit de partager et d'annuler le partage d'un·jeu de données.
`snapshot`	Droit de créer un instantané du·jeu de données.

Vous pouvez déléguer le jeu de droits suivant mais un droit peut être limité à l'accès, à la lecture ou à la modification :

groupquota
groupused
userprop
userquota
userused

Vous pouvez en outre déléguer l'administration des propriétés ZFS suivantes à des utilisateurs non racine :

aclinherit
atime
canmount
casesensitivity
Somme de contrôle
compression
copies
devices
exec
logbias
mountpoint
nbmand
normalization
primarycache
quota
readonly
recordsize
refquota
refreservation
reservation
rstchown
secondarycache
setuid
shareiscsi
sharenfs
sharesmb
snapdir
sync
utf8only
version
volblocksize
volsize
vscan
xattr
zoned

Certaines de ces propriétés ne peuvent être définies qu'à la création d'un jeu de données. Pour une description de ces propriétés, reportez-vous à la section Présentation des propriétés ZFS.

Délégation des autorisations ZFS (`zfs allow`)

La syntaxe de zfs allow est la suivante :

zfs allow -[ldugecs] everyone|user|group[,...] perm|@setname,...] filesystem| volume

La syntaxe de zfs allow suivante (en gras) identifie les utilisateurs auxquels les droits sont délégués :

zfs allow [-uge]|user|group|everyone [,...] filesystem | volume

Vous pouvez spécifier plusieurs entrées sous forme de liste séparée par des virgules. Si aucune option -uge n'est spécifiée, l'argument est interprété en premier comme le mot-clé everyone, puis comme un nom d'utilisateur et enfin, comme un nom de groupe. Pour spécifier un utilisateur ou un groupe nommé "everyone", utilisez l'option -u ou l'option -g. Pour spécifier un groupe portant le même nom qu'un utilisateur, utilisez l'option -g. L'option -c délègue des droits create-time.

La syntaxe de zfs allow suivante (en gras) identifie la méthode de spécification des droits et jeux de droits :

zfs allow [-s] ... perm|@setname [,...] filesystem | volume

Vous pouvez spécifier plusieurs droits sous forme de liste séparée par des virgules. Les noms de droits sont identiques aux sous-commandes et propriétés ZFS. Pour plus d'informations, reportez-vous à la section précédente.

Les droits peuvent être regroupés en jeux de droits et sont identifiés par l'option -s. Les jeux de droits peuvent être utilisés par d'autres commandes zfs allow pour le système de fichiers spécifié et ses descendants. Les jeux de droits sont évalués dynamiquement et de ce fait, toute modification apportée à un jeu est immédiatement mise à jour. Les jeux de droits doivent se conformer aux mêmes critères d'attribution de noms que les systèmes de fichiers ZFS, à ceci près que leurs noms doivent commencer par le caractère arobase (@) et ne pas dépasser 64 caractères.

La syntaxe de zfs allow suivante (en gras) identifie la méthode de délégation des droits :

zfs allow [-ld] ... ... filesystem | volume

L'option -l indique que les droits sont accordés au jeu de données spécifié mais pas à ses descendants, à moins de spécifier également l'option -d. L'option -d indique que les droits sont accordés pour les jeux de données descendants mais pas pour l'actuel jeu de données, à moins de spécifier également l'option -l. Si aucune option n'est spécifiée, les droits sont accordés au système de fichiers ou au volume ainsi qu'à ses descendants.

Suppression des droits délégués de ZFS (`zfs unallow`)

Vous pouvez supprimer des droits précédemment délégués à l'aide de la commande zfs unallow.

Supposons par exemple que vous déléguiez les droits create, destroy, mount et snapshot de la manière suivante :

# zfs allow cindy create,destroy,mount,snapshot tank/home/cindy
# zfs allow tank/home/cindy
---- Permissions on tank/home/cindy ----------------------------------
Local+Descendent permissions:
        user cindy create,destroy,mount,snapshot

Pour supprimer ces droits, vous devez utiliser la syntaxe suivante :

# zfs unallow cindy tank/home/cindy
# zfs allow tank/home/cindy

Ignorer les liens de navigation
Quitter l'aperu
	Guide d'administration Oracle Solaris ZFS