ACL du répertoire racine
Les accès plus fins aux fichiers et aux répertoires sont gérés via les listes de contrôle d'accès (ACL). Une ACL décrit les autorisations octroyées aux utilisateurs et aux groupes, le cas échéant. L'appareil prend en charge les ACL de type NFSv4, également accessibles sur SMB. Les ACL POSIX-draft (utilisés par NFSv3) ne sont pas prises en charge. Certaines ACL triviales peuvent être représentées sur NFSv3, mais des modifications complexes de l'ACL peuvent entraîner un comportement indéfini lors de l'accès sur NFSv3.
De la même manière que la propriété accès au répertoire root, cette propriété affecte le répertoire root du système de fichiers. Les ACL peuvent être contrôlées via la gestion de protocole in-band mais la BUI propose un moyen de définir l'ACL uniquement pour le répertoire root du système de fichiers. Il n'existe aucun moyen de paramétrer l'ACL du répertoire root dans la CLI. Vous pouvez utiliser les outils de gestion in-band si la BUI n'est pas une option. La modification de l'ACL n'affecte pas les fichiers et les répertoires existants dans le système de fichiers. En fonction du comportement d'héritage des ACL, il est possible que ces paramètres soient ou non hérités lorsque vous créez de nouveaux fichiers et répertoires. Toutefois, toutes les entrées ACL sont héritées si SMB est utilisé pour créer un fichier ou un répertoire avec une ACL triviale.
Une ACL est composée d'un nombre indéfini d'entrées de contrôle d'accès (ACE). Chaque ACE décrit un type/une cible, un mode, un ensemble d'autorisations et des indicateurs d'héritage. Les ACE sont appliquées dans l'ordre, en partant du début de l'ACL, pour déterminer si une action spécifique est autorisée. Pour plus d'informations sur la configuration in-band des ACL via les protocoles de données, consultez la documentation client appropriée. L'interface BUI de gestion des ACL et les effets sur le répertoire racine y sont également décrits.
Table 116 Partages : Types d'ACL
|
|
Propriétaire
|
Propriétaire actuel du répertoire. Si le propriétaire est modifié, cette ACE s'applique au nouveau propriétaire.
|
Groupe
|
Groupe actuel du répertoire. Si le groupe est modifié, cette ACE s'applique au nouveau groupe.
|
Tout le monde
|
Tous les utilisateurs
|
Utilisateurs nommés
|
Utilisateur désigné dans le champ 'cible'. Vous pouvez spécifier un ID d'utilisateur ou un nom qui peut être résolu par la configuration de service de noms actuelle.
|
Groupe nommé
|
Groupe désigné dans le champ 'cible'. Vous pouvez spécifier un ID de groupe ou un nom qui peut être résolu par la configuration de service de noms actuelle.
|
|
Table 117 Partages : Modes d'ACL
|
|
![Liste de contrôle d'accès : règle autoriser image:Liste de contrôle d'accès : règle autoriser](figures/acl_allow.png)
Autoriser
|
Les autorisations sont explicitement octroyées à la cible ACE.
|
![Liste de contrôle d'accès : règle refuser image:Liste de contrôle d'accès : règle refuser](figures/acl_deny.png)
Refuser
|
Les autorisations sont explicitement refusées à la cible ACE.
|
|
Table 118 Partages : Autorisations ACL
|
|
|
|
Lecture
|
|
(r)
|
Lire les données/Lister le contenu du répertoire
|
Autorisation de répertorier le contenu d'un répertoire. Lorsqu'elle est héritée d'un fichier, autorisation de lire les données du fichier.
|
(x)
|
Exécuter le fichier/Parcourir le répertoire
|
Autorisation de parcourir (rechercher) les entrées du répertoire. Lorsqu'elle est héritée d'un fichier, autorisation d'exécuter le fichier.
|
(a)
|
Lire les attributs
|
Autorisation de lire les attributs basiques (non ACL) d'un fichier. Les attributs basiques sont considérés comme étant les attributs de niveau stat et, après l'octroi de cette autorisation, l'utilisateur peut exécuter les équivalents ls et stat.
|
(R)
|
Lire les attributs étendus
|
Autorisation de lire les attributs étendus d'un fichier ou de réaliser une recherche dans le répertoire des attributs étendus.
|
|
Ecriture
|
|
(w)
|
Ecrire des données/Ajouter un fichier
|
Autorisation d'ajouter un fichier au répertoire. Lorsqu'elle est héritée d'un fichier, autorisation de modifier les données du fichier n'importe où dans la plage d'offset. Cette autorisation inclut la capacité d'agrandir le fichier ou d'écrire dans un offset arbitraire.
|
(p)
|
Ajouter des données/Ajouter un sous-répertoire
|
Autorisation de créer un sous-répertoire dans un répertoire. Lorsqu'elle est héritée d'un fichier, autorisation de modifier les données du fichier, mais uniquement en partant de la fin du fichier. Cette autorisation (lorsqu'elle est appliquée aux fichiers) n'est pas pris en charge pour le moment.
|
(d)
|
Suppression
|
Autorisation de supprimer un fichier.
|
(D)
|
Supprimer l'enfant
|
Autorisation de supprimer un fichier dans un répertoire. A partir de la version logicielle 2011.1, si le sticky bit est défini, un fichier enfant peut être supprimé uniquement par le propriétaire du fichier.
|
(A)
|
Ecrire des attributs
|
Autorisation de modifier les horodatages associés à un fichier ou à un répertoire.
|
(W)
|
Ecrire des attributs étendus
|
Autorisation de créer des attributs étendus ou d'écrire dans le répertoire des attributs étendus.
|
|
Admin
|
|
(c)
|
Lire ACL/Autorisations
|
Autorisation de lire l'ACL.
|
(C)
|
Ecrire ACL/Autorisations
|
Autorisation d'écrire l'ACL ou de modifier les modes d'accès standard.
|
(o)
|
Modifier le propriétaire
|
Autorisation de modifier le propriétaire.
|
|
Héritage
|
|
(f)
|
Appliquer aux fichiers
|
S'applique à tous les fichiers récemment créés dans un répertoire.
|
(d)
|
Appliquer aux répertoires
|
S'applique à tous les répertoires récemment créés dans un répertoire.
|
(i)
|
Ne pas appliquer à soi-même
|
L'ACE actuelle n'est pas appliquée au répertoire actuel, mais à ses enfants. Cet indicateur impose que le type "Appliquer aux fichiers" ou "Appliquer aux répertoires" soit défini.
|
(n)
|
Ne pas appliquer au-delà des enfants
|
L'ACE actuelle doit s'appliquer à un seul niveau de l'arborescence (seulement aux enfants immédiats). Cet indicateur impose que le type "Appliquer aux fichiers" ou "Appliquer aux répertoires" soit défini.
|
|
Si les autorisations Windows par défaut sont utilisées au moment de la création du partage, une ACL est créée pour le répertoire racine du partage avec les trois entrées suivantes :
Table 119 Partages : Entités du répertoire racine
|
|
|
Propriétaire
|
Allow
|
Contrôle total
|
Groupe
|
Allow
|
Lecture et exécution
|
Tout le monde
|
Allow
|
Lecture et exécution
|
|