Cette section aborde les sujets suivants :
Pour plus d'informations sur le protocole SMB, consultez les rubriques suivantes :
Pour plus d'informations sur les autres protocoles pris en charge, reportez-vous aux sections suivantes :
Chaque partage possède des propriétés de protocole spécifiques qui définissent le comportement de différents protocoles pour ce partage. Ces propriétés peuvent être définies pour chaque partage ou héritées d'un partage contenu dans un projet. Le tableau suivant présente les propriétés de protocole SMB et leurs valeurs possibles.
|
La propriété de mise en cache côté client (csc) détermine si les fichiers et les programmes du partage sont mis en cache sur le client local pour être utilisés hors ligne lorsqu'ils sont déconnectés de l'appareil.
|
Des exceptions au mode de partage global peuvent être définies pour les clients ou les collections de clients en définissant des modes de partage spécifiques au client ou des exceptions. Il est recommandé de définir le mode de partage global sur none afin de limiter l'accès pour certains clients, puis d'octroyer progressivement un accès de plus en plus large à des groupes de plus en plus restreints. Par exemple, vous pouvez créer un partage avec le mode de partage global none (qui refuse l'accès à tous les clients), puis accorder un accès en lecture seule à un sous-ensemble de clients. Ensuite, vous pouvez accorder l'accès en lecture et écriture à un sous-ensemble encore plus réduit de clients, et finalement l'accès en lecture-écriture aux seuls hôtes sécurisés.
|
Pour chaque client ou collection de clients, spécifiez si le client dispose d'un accès en lecture seule ou en lecture/écriture au partage.
Gestion des groupes réseau - Les groupes réseau peuvent être utilisés pour contrôler l'accès lors d'exportations SMB. La gestion de groupes réseau peut toutefois s'avérer complexe. A la place, vous pouvez envisager d'utiliser des règles de sous-réseau IP ou des règles de domaine DNS.
Si des groupes réseau sont utilisés, ils seront résolus à partir de NIS ou LDAP, selon le service activé. Si LDAP est utilisé, chaque groupe réseau doit se trouver à l'emplacement par défaut, ou=Netgroup,(Base DN) et doit utiliser le schéma standard.
En général, le composant nom d'utilisateur d'une entrée de groupe réseau n'a aucune conséquence sur SMB, contrairement au composant nom d'hôte. Les noms d'hôte contenus dans les groupes réseau doivent être canoniques et, s'ils ont été choisis à l'aide de DNS, ils doivent être complets. Concrètement, le sous-système SMB tente de vérifier que l'adresse IP du client qui a fait la demande soit résolue en nom d'hôte canonique qui correspond soit au nom de domaine complet (FQDN), soit à un membre d'un des groupes réseau spécifiés. Cette correspondance doit être exacte, y compris concernant les composants de domaine. Dans le cas contraire, l'exception n'est pas valide et on passe à l'exception suivante. Pour plus d'informations sur la résolution du nom d'hôte, consultez la section DNS.
Depuis la version logicielle 2013.1.0, les utilisateurs de clients UNIX peuvent appartenir à un maximum de 1 024 groupes sans aucune perte de performance. Les versions précédentes prenaient en charge jusqu'à 16 groupes par utilisateur de client UNIX.
Options des modes de partage et d'exception SMB
Dans la CLI, tous les modes de partage SMB et les exceptions sont spécifiés à l'aide d'une chaîne d'options unique pour la propriété sharesmb. Cette chaîne est une liste de valeurs séparées par des virgules. Elle doit commencer par ro, rw, on ou off, de la même manière que pour les modes de partage globaux décrits dans la BUI.
|
L'exemple suivant définit le mode de partage en lecture seule pour tous les clients.
set sharesmb=ro
Il est possible de spécifier des exceptions SMB supplémentaires en ajoutant du texte sous la forme "option=collection", où "option" correspond à ro ou rw. Vous ne pouvez pas autoriser un accès root avec des exceptions SMB. La collection est spécifiée par le caractère de préfixe à partir de la table 114 et par un nom d'hôte/domaine DNS ou un numéro de réseau CIDR.
Par exemple, pour accorder un accès en lecture-écriture à tous les hôtes du domaine sf.example.com, saisissez :
set sharesmb="ro,rw=.sf.example.com"
Cet exemple accorde un accès en lecture-écriture aux clients dotés des adresses IP 2001:db8:410:d43::/64 et 192.0.2.254/22:
set sharesmb="on,ro=@[2001:db8:410:d43::/64]:@192.0.2.254/22"
Les noms de groupe réseau peuvent être utilisés partout où un nom d'hôte complet peut être utilisé. Par exemple, vous pouvez autoriser l'accès en lecture-écriture au groupe réseau "engineering" comme suit :
set sharesmb="ro,rw=engineering"
Une liste de contrôle d'accès (ACL) au niveau du partage, lorsqu'elle est combinée avec l'ACL d'un fichier ou d'un répertoire dans le partage, détermine les autorisations en vigueur pour ce fichier. Par défaut, l'ACL octroie un contrôle total à tout le monde. L'ACL offre une couche supplémentaire de contrôle d'accès par rapport aux ACL sur les fichiers et permet de configurer plus précisément le contrôle d'accès. Cette propriété peut être définie uniquement lorsque le système de fichiers a été exporté en configurant le nom de ressource SMB. Si le système de fichiers n'est pas exporté via le protocole SMB, le paramétrage de l'ACL au niveau du partage n'a aucune conséquence.
Lorsque la propriété d'énumérations en fonction des accès est activée, les clients peuvent voir des entrées de répertoire des fichiers qu'ils ne peuvent pas ouvrir. Les entrées de répertoire sont filtrées uniquement lorsque le client n'a pas accès au fichier. Par exemple, si un client tente d'ouvrir un fichier avec un accès en lecture-écriture alors que l'ACL n'attribue qu'un accès en lecture, l'ouverture du fichier échoue mais ce fichier est quand même inclus dans la liste des entrées.
Pour plus d'informations sur les ACL, reportez-vous à la section Listes de contrôle d'accès des systèmes de fichiers.