Oracle ZFS Storage Appliance 通过访问控制列表 (Access Control List, ACL) 提供文件访问控制。ACL 是一种机制,可允许或拒绝访问特定文件或目录。
Oracle ZFS Storage Appliance 提供的 ACL 模型以 NFSv4 ACL 模型为基础,派生于 Windows ACL 语义。这是一种丰富的 ACL 模型,可提供对文件和目录的细粒度访问。存储设备中的每个文件和目录都具有一个 ACL,SMB 和 NFS 的所有访问控制决定都会使用相同的算法,从而确定允许或拒绝哪些用户访问文件和目录。
一个 ACL 由一个或多个访问控制条目 (Access Control Entry, ACE) 组成。每个 ACE 都包含 ACE 授予或拒绝的权限的条目、ACE 应用到的用户和所使用的继承级标志。
通过 NFSv4 ACL,新创建的文件和目录即可继承单个 ACE。ACE 继承由初始配置 ACL 时管理员在其中设置的多个继承级标志控制。
NFSv4 ACL 具有一定的顺序,将从上到下进行处理。授予权限后,后续 ACE 将无法取消该权限。拒绝权限后,后续 ACE 将无法授予该权限。
SMB 共享资源级 ACL 是一种与共享资源中文件或目录 ACL 结合使用以确定该文件的有效权限的 ACL。共享资源级 ACL 在文件 ACL 之上又提供了一个访问控制层,以便提供更加复杂的访问控制配置。共享资源级 ACL 在使用 SMB 协议导出文件系统时进行设置。如果未通过 SMB 协议导出文件系统,则设置共享资源级 ACL 将不起任何作用。默认情况下,共享资源级 ACL 会向每个人授予完全控制权限。
ACL 行为和继承属性仅适用于 NFS 客户机。SMB 客户机使用严格的 Windows 语义且优先于 ZFS 属性。区别在于 NFS 使用 POSIX 语义而 SMB 客户机不使用该语义。这些属性主要与 POSIX 兼容。