Oracle ZFS Storage Appliance gewährt den Dateizugriff über Access Control-Listen (ACLs). Mit einer ACL wird der Zugriff auf eine bestimmte Datei oder ein bestimmtes Verzeichnis gewährt oder abgelehnt.
Das von Oracle ZFS Storage Appliance bereitgestellte ACL-Modell basiert auf dem NFSv4 ACL-Modell, das sich von der Windows-ACL-Semantik ableitet. Es handelt sich dabei um ein umfassendes ACL-Modell, das feingranulierten Zugriff auf Dateien und Verzeichnisse bietet. Jede Datei und jedes Verzeichnis innerhalb der Storage Appliance besitzt eine eigene ACL. Sowohl für SMB als auch für NFS durchlaufen sämtliche ACL-Entscheidungen denselben Algorithmus zur Bestimmung, wem Zugriff auf Dateien und Verzeichnisse gewährt und wem er verweigert wird.
Eine ACL setzt sich aus einem oder mehreren ACEs (Access Control Entries) zusammen. Jeder ACE enthält einen Eintrag für die Berechtigungen, die der ACE erteilt oder ablehnt, für wen der ACE gilt und welche Übernahmeflags verwendet werden.
In NFSv4 ACLs können einzelne ACEs von neu erstellten Dateien und Verzeichnissen übernommen werden. Die ACE-Übernahme wird über mehrere Flags zu Übernahmeebenen gesteuert, die der Administrator bei der anfänglichen Konfiguration der ACL festlegt.
NFSv4 ACLs sind reihenfolgenabhängig und werden von oben nach unten verarbeitet. Eine einmal erteilte Berechtigung kann von einem nachfolgenden ACE nicht entzogen werden. Eine einmal verwehrte Berechtigung kann von einem nachfolgenden ACE nicht erteilt werden.
Eine ACL mit einer SMB Share-Ebene ist eine ACL, die zusammen mit einer Datei- oder Verzeichnis-ACL im Share bestimmt, welche Berechtigungen für eine Datei gelten. Die Share-Ebenen-ACL bietet eine weitere Stufe der Zugriffskontrolle über die der Datei-ACLs hinaus und stellt noch detailliertere Zugriffskontrollkonfigurationen bereit. Share-Ebenen-ACLs werden beim Export des Dateisystems über das SMB-Protokoll eingerichtet. Wird das Dateisystem nicht über das SMB-Protokoll exportiert, hat eine Einrichtung der Share-Ebenen-ACL keine Auswirkungen. Standardmäßig erteilen Share-Ebenen-ACLs allen Benutzern Vollzugriff.
ACL-Verhaltens- und Übernahmeeigenschaften gelten nur für NFS-Clients. SMB-Clients verwenden eine strenge Windows-Semantik und haben Priorität gegenüber ZFS-Eigenschaften. Der Unterschied besteht darin, dass NFS im Gegensatz zu SMB-Clients POSIX-Semantik verwendet. Die Eigenschaften sind größtenteils mit POSIX kompatibel.