ACL de directorio raíz
El acceso específico en archivos y directorios se gestiona mediante una lista de control de acceso (ACL, Access Control List). Una ACL describe los permisos otorgados, si existen, a grupos o usuarios específicos. El dispositivo admite ACL de estilo NFSv4.0 y NFSv4.1, a las que también se puede acceder mediante SMB. No se admiten ACL de borrador POSIX (utilizadas por NFSv3). Se pueden representar algunas ACL triviales mediante NFSv3, pero si se realizan cambios complicados en la ACL, se puede producir un comportamiento indefinido cuando se accede mediante NFSv3.
Al igual que el acceso al directorio raíz, esta propiedad solo afecta el directorio raíz del sistema de archivos. Las ACL se pueden controlar mediante la gestión de protocolos en banda, pero la BUI y la CLI ofrecen una manera de configurar la ACL solo para el directorio raíz del sistema de archivos. Puede utilizar herramientas de gestión en banda si la BUI no es una opción. El cambio de esta ACL no afecta los directorios y archivos existentes en el sistema de archivos. Según el comportamiento de herencia de la ACL, estas configuraciones pueden o no ser heredadas por los directorios y archivos recientemente creados. Sin embargo, cuando se utiliza SMB para crear un archivo en un directorio con una ACL trivial, se heredan todas las entradas de la ACL.
Una ACL se compone de una cantidad no específica de entradas de control de acceso (ACE, Access Control Entries). En cada ACE, se describe un tipo/destino, un juego de permisos, indicadores de herencia y un modo. Las ACE se aplican en orden, desde el comienzo de la ACL, para determinar si se debe permitir una acción determinada. Para obtener información sobre las ACL de configuración en banda mediante protocolos de datos, consulte la documentación del cliente adecuada. Aquí se describe la interfaz de la BUI para gestionar las ACL y el efecto sobre el directorio raíz.
Tabla 124 Recursos compartidos: tipos de ACL
|
|
|
Propietario
|
Propietario actual del directorio. Si se cambia el propietario, esta ACE se aplicará al nuevo propietario.
|
|
Grupo
|
Grupo actual del directorio. Si se cambia el grupo, esta ACE se aplicará al nuevo grupo.
|
|
Todos
|
Cualquier usuario.
|
|
Usuario nombrado
|
Usuario designado por el campo de destino. El usuario se puede especificar como un ID de usuario o un nombre que se puede resolver mediante la configuración de servicio de nombres actual.
|
|
Grupo nombrado
|
Grupo designado por el campo de destino. El grupo se puede especificar como un ID de grupo o un nombre que se puede resolver mediante la configuración de servicio de nombres actual.
|
|
Tabla 125 Recursos compartidos: modos de ACL
|
|
Permitir |
Los permisos se otorgan de manera explícita al destino de la ACE.
|
Denegar |
Los permisos se deniegan de manera explícita al destino de la ACE.
|
|
Tabla 126 Recursos compartidos: permisos de ACL
|
|
|
|
|
Lectura
|
|
|
(r)
|
Leer datos/Mostrar directorio
|
Permiso para mostrar el contenido de un directorio. Cuando es heredado por un archivo, comprende el permiso para leer los datos del archivo.
|
|
(x)
|
Ejecutar archivo/Recorrer directorio
|
Permiso para recorrer (consultar) las entradas de un directorio. Cuando es heredado por un archivo, comprende el permiso para ejecutar el archivo.
|
|
(a)
|
Leer atributos
|
Permiso para leer atributos básicos (sin ACL) de un archivo. Los atributos básicos se consideran los atributos de nivel de estadística y la admisión de este permiso significa que el usuario puede ejecutar los equivalentes a ls y stat.
|
|
(R)
|
Leer atributos extendidos
|
Permiso para leer los atributos extendidos de un archivo o realizar una consulta en el directorio de atributos extendidos.
|
|
|
Escritura
|
|
|
(w)
|
Escribir datos/Agregar archivo
|
Permiso para agregar un nuevo archivo a un directorio. Cuando es heredado por un archivo, comprende el permiso para modificar los datos de un archivo en cualquier lugar del rango de desplazamiento del archivo. Comprende la capacidad de aumentar el archivo o escribir en cualquier desplazamiento arbitrario.
|
|
(p)
|
Anexar datos/Agregar subdirectorio
|
Permiso para crear un subdirectorio dentro de un directorio. Cuando es heredado por un archivo, comprende el permiso para modificar los datos del archivo, pero solo a partir del final del archivo. En la actualidad, no se admite este permiso (cuando se aplica a archivos).
|
|
(d)
|
Suprimir
|
Permiso para suprimir un archivo.
|
|
(D)
|
Suprimir elemento secundario
|
Permiso para suprimir un archivo dentro de un directorio. A partir de la versión de software 2011.1, si está configurado el indicador sticky bit, solo el propietario del archivo puede suprimir el archivo secundario.
|
|
(A)
|
Write Attributes (Escribir atributos)
|
Permiso para cambiar los horarios asociados con un archivo o directorio.
|
|
(W)
|
Write Extended Attributes (Escribir atributos extendidos)
|
Permiso para crear atributos extendidos o escribir en el directorio de atributos extendidos.
|
|
|
Admin
|
|
|
(c)
|
Read ACL/Permissions (Leer ACL/permisos)
|
Permiso para leer la ACL.
|
|
(C)
|
Write ACL/Permissions (Escribir ACL/permisos)
|
Permiso para escribir la ACL o cambiar los modos de acceso básico.
|
|
(o)
|
Cambiar propietario
|
Permiso para cambiar el propietario.
|
|
|
Herencia
|
|
|
(f)
|
Aplicar a archivos
|
Permite heredar en los archivos creados recientemente en un directorio.
|
|
(d)
|
Aplicar a directorios
|
Permite heredar en todos los directorios creados recientemente en un directorio.
|
|
(i)
|
No aplicar a sí mismo
|
La ACE actual no se aplica al directorio actual, pero sí se aplica a los elementos secundarios. Este indicador requiere la configuración de una de las siguientes opciones: Aplicar a archivos o Aplicar a directorios.
|
|
(n)
|
No aplicar elementos secundarios pasados
|
La ACE actual solo debe heredar un nivel de los tres hacia los elementos secundarios inmediatos. Este indicador requiere la configuración de una de las siguientes opciones: Aplicar a archivos o Aplicar a directorios.
|
|
Cuando la opción de utilizar los permisos predeterminados de Windows se usa en el momento de la creación del recurso compartido, se crea una ACL con las siguientes tres entradas para el directorio raíz del recurso compartido:
Tabla 127 Entidades de directorio raíz de recursos compartidos
|
|
|
|
Propietario
|
Permitir
|
Control completo
|
|
Grupo
|
Permitir
|
Leer y ejecutar
|
|
Todos
|
Permitir
|
Leer y ejecutar
|
|
En la CLI, configure las propiedades de ACL de directorio raíz después de desplazarse hasta el contexto shares y seleccionar un proyecto y un sistema de archivos. Use comas para separar las propiedades ACE y separe las entradas ACE múltiples con comas. Los campos target e inheritance son opcionales. Para establecer las propiedades, introduzca set root_acl=ace1,ace2,ace3,..., donde acen es:
type:<target:>permissions:<inheritance:>mode
Ejemplos:
set root_acl=owner@:r:allow
set root_acl=everyone@:rwx:fd:allow
set root_acl=user:root:r:allow