공유 - 루트 디렉토리 ACL
파일 및 디렉토리에 대한 세분화된 액세스는 액세스 제어 목록을 통해 관리됩니다. ACL은 특정 사용자 또는 그룹에 부여된 권한(있는 경우)을 설명합니다. 어플라이언스는 SMB를 통해서도 액세스할 수 있는 NFSv4 스타일 ACL을 지원합니다. NFSv3에서 사용되는 POSIX 드래프트 ACL은 지원되지 않습니다. 일부 단순 ACL은 NFSv3을 통해 표현될 수 있지만 복잡한 ACL 변경 작업을 수행하면 NFSv3을 통해 액세스할 때 정의되지 않은 동작이 수행될 수 있습니다.
루트 디렉토리 액세스와 같이 이 등록 정보는 파일 시스템의 루트 디렉토리에만 영향을 줍니다. ACL은 인밴드 프로토콜 관리를 통해 제어될 수 있지만 BUI는 파일 시스템의 루트 디렉토리에 대해서만 ACL을 설정하는 방법을 제공합니다. CLI를 통해 루트 디렉토리 ACL을 설정할 수 있는 방법은 없습니다. BUI가 옵션이 아닌 경우 인밴드 관리 도구를 사용할 수 있습니다. 이 ACL을 변경하는 경우 파일 시스템에 있는 기존 파일 및 디렉토리는 영향을 받지 않습니다. ACL 상속 동작에 따라 이러한 설정이 새로 만든 파일 및 디렉토리에 의해 상속되거나 상속되지 않습니다. 그러나 SMB를 사용하여 단순 ACL을 통해 디렉토리에서 파일을 만드는 경우 모든 ACL 항목이 상속됩니다.
ACL은 모든 숫자의 ACE(액세스 제어 항목)로 구성됩니다. 각 ACE는 유형/대상, 모드, 권한 세트 및 상속 플래그를 설명합니다. ACE는 ACL 시작 부분부터 시작하여 순서대로 적용되어 지정된 동작을 허용해야 할지 여부를 결정합니다. 데이터 프로토콜을 통한 인밴드 구성 ACL에 대한 자세한 내용은 해당 클라이언트 설명서를 참조하십시오. ACL 관리를 위한 BUI 인터페이스 및 루트 디렉토리에 대한 영향이 여기에 설명되어 있습니다.
표 5-15 공유 - ACL 유형
|
|
|
소유자
|
디렉토리의 현재 소유자. 소유자가 변경되는 경우 이 ACE가 새 소유자에 적용됩니다.
|
|
그룹
|
디렉토리의 현재 그룹. 그룹이 변경되는 경우 이 ACE가 새 그룹에 적용됩니다.
|
|
모든 사람
|
모든 사용자
|
|
이름이 지정된 사용자
|
'대상' 필드에 의해 이름이 지정된 사용자. 사용자는 현재 이름 서비스 구성에서 확인할 수 있는 사용자 ID 또는 이름으로 지정될 수 있습니다.
|
|
이름이 지정된 그룹
|
'대상' 필드에 의해 이름이 지정된 그룹. 그룹은 현재 이름 서비스 구성에서 확인할 수 있는 그룹 ID 또는 이름으로 지정될 수 있습니다.
|
|
표 5-16 공유 - ACL 모드
|
|
허용 |
ACE 대상에 명시적으로 권한이 부여됩니다.
|
거부 |
ACE 대상에 명시적으로 권한이 거부됩니다.
|
|
표 5-17 공유 - ACL 권한
|
|
|
|
|
읽기
|
|
|
(r)
|
데이터 읽기/디렉토리 나열
|
디렉토리 내용을 나열할 수 있는 권한입니다. 파일에 의해 상속된 경우 해당 파일의 데이터를 읽을 수 있는 권한입니다.
|
|
(x)
|
파일 실행/디렉토리 순회
|
디렉토리에서 항목을 순회(조회)할 수 있는 권한입니다. 파일에 의해 상속된 경우 해당 파일을 실행할 수 있는 권한입니다.
|
|
(a)
|
속성 읽기
|
파일의 기본 속성(비ACL)을 읽을 수 있는 권한입니다. 기본 속성은 stat 레벨 속성으로 간주되며 이 권한을 허용하는 경우 사용자는 ls 및 stat에 해당되는 항목을 실행할 수 있습니다.
|
|
(R)
|
확장된 속성 읽기
|
파일의 확장된 속성을 읽거나 확장된 속성 디렉토리에서 조회할 수 있는 권한입니다.
|
|
|
쓰기
|
|
|
(w)
|
데이터 쓰기/파일 추가
|
디렉토리에 새 파일을 추가할 수 있는 권한입니다. 파일에 의해 상속된 경우 해당 파일의 오프셋 범위의 모든 위치에서 파일의 데이터를 수정할 수 있는 권한입니다. 여기에는 파일의 크기를 늘리거나 임의 오프셋에 쓸 수 있는 기능이 포함되어 있습니다.
|
|
(p)
|
데이터 추가/하위 디렉토리 추가
|
디렉토리 내에서 하위 디렉토리를 만들 수 있는 권한입니다. 파일에 의해 상속된 경우 파일의 끝에서만 시작하여 해당 파일의 데이터를 수정할 수 있는 권한입니다. 이 권한(파일에 적용된 경우)은 현재 지원되지 않습니다.
|
|
(d)
|
삭제
|
파일을 삭제할 수 있는 권한입니다.
|
|
(D)
|
하위 파일 삭제
|
디렉토리 내에서 파일을 삭제할 수 있는 권한입니다. 2011.1 소프트웨어 릴리스부터는 고정된 비트가 설정된 경우 파일 소유자만 자식 파일을 삭제할 수 있습니다.
|
|
(A)
|
속성 쓰기
|
파일 또는 디렉토리와 연관된 시간을 변경할 수 있는 권한입니다.
|
|
(W)
|
확장된 속성 쓰기
|
확장된 속성을 만들거나 확장된 속성 디렉토리에 쓸 수 있는 권한입니다.
|
|
|
Admin
|
|
|
(c)
|
ACL 읽기/권한
|
ACL을 읽을 수 있는 권한입니다.
|
|
(C)
|
ACL 쓰기/권한
|
ACL을 쓰거나 기본 액세스 모드를 변경할 수 있는 권한입니다.
|
|
(o)
|
소유자 변경
|
소유자를 변경할 수 있는 권한입니다.
|
|
|
상속
|
|
|
(f)
|
파일에 적용
|
디렉토리에서 새로 만든 모든 파일에 상속합니다.
|
|
(d)
|
디렉토리에 적용
|
디렉토리에서 새로 만든 모든 디렉토리에 상속합니다.
|
|
(i)
|
자신에 적용 안함
|
현재 ACE가 현재 디렉토리에 적용되지 않지만 자식에 적용됩니다. 이 플래그의 경우 "파일에 적용" 및 "디렉토리에 적용" 중 하나가 설정되어야 합니다.
|
|
(n)
|
과거 자식 적용 안함
|
현재 ACE는 트리의 한 레벨인 즉시 자식에게만 상속되어야 합니다. 이 플래그의 경우 "파일에 적용" 및 "디렉토리에 적용" 중 하나가 설정되어야 합니다.
|
|
공유를 만들 때 Windows 기본 권한 사용 옵션이 사용되는 경우 공유의 루트 디렉토리에 대해 다음과 같은 3개의 항목이 있는 ACL이 만들어집니다.
표 5-18 공유 루트 디렉토리 엔티티
|
|
|
|
소유자
|
허용
|
전체 권한
|
|
그룹
|
허용
|
읽기 및 실행
|
|
모든 사람
|
허용
|
읽기 및 실행
|
|
