Go to main content
Guía de administración de Oracle® ZFS Storage Appliance, versión OS8.7.0

Salir de la Vista de impresión

Actualización: Marzo de 2017
 
 

ACL de directorio raíz

El acceso específico en archivos y directorios se gestiona mediante una lista de control de acceso (ACL, Access Control List). Una ACL describe los permisos otorgados, si existen, a grupos o usuarios específicos. El dispositivo admite ACL de estilo NFSv4.0 y NFSv4.1, a las que también se puede acceder mediante SMB. No se admiten ACL de borrador POSIX (utilizadas por NFSv3). Se pueden representar algunas ACL triviales mediante NFSv3, pero si se realizan cambios complicados en la ACL, se puede producir un comportamiento indefinido cuando se accede mediante NFSv3.

Al igual que el acceso al directorio raíz, esta propiedad solo afecta el directorio raíz del sistema de archivos. Las ACL se pueden controlar mediante la gestión de protocolos en banda, pero la BUI y la CLI ofrecen una manera de configurar la ACL solo para el directorio raíz del sistema de archivos. Puede utilizar herramientas de gestión en banda si la BUI no es una opción. El cambio de esta ACL no afecta los directorios y archivos existentes en el sistema de archivos. Según el comportamiento de herencia de la ACL, estas configuraciones pueden o no ser heredadas por los directorios y archivos recientemente creados. Sin embargo, cuando se utiliza SMB para crear un archivo en un directorio con una ACL trivial, se heredan todas las entradas de la ACL.

Una ACL se compone de una cantidad no específica de entradas de control de acceso (ACE, Access Control Entries). En cada ACE, se describe un tipo/destino, un juego de permisos, indicadores de herencia y un modo. Las ACE se aplican en orden, desde el comienzo de la ACL, para determinar si se debe permitir una acción determinada. Para obtener información sobre las ACL de configuración en banda mediante protocolos de datos, consulte la documentación del cliente adecuada. Aquí se describe la interfaz de la BUI para gestionar las ACL y el efecto sobre el directorio raíz.

Tabla 124  Recursos compartidos: tipos de ACL
Tipo
Descripción
Propietario
Propietario actual del directorio. Si se cambia el propietario, esta ACE se aplicará al nuevo propietario.
Grupo
Grupo actual del directorio. Si se cambia el grupo, esta ACE se aplicará al nuevo grupo.
Todos
Cualquier usuario.
Usuario nombrado
Usuario designado por el campo de destino. El usuario se puede especificar como un ID de usuario o un nombre que se puede resolver mediante la configuración de servicio de nombres actual.
Grupo nombrado
Grupo designado por el campo de destino. El grupo se puede especificar como un ID de grupo o un nombre que se puede resolver mediante la configuración de servicio de nombres actual.
Tabla 125  Recursos compartidos: modos de ACL
Modo
Descripción
image:Lista de control de acceso: permitir regla Permitir
Los permisos se otorgan de manera explícita al destino de la ACE.
image:Lista de control de acceso: denegar regla Denegar
Los permisos se deniegan de manera explícita al destino de la ACE.
Tabla 126  Recursos compartidos: permisos de ACL
Permiso
Descripción
Lectura
(r)
Leer datos/Mostrar directorio
Permiso para mostrar el contenido de un directorio. Cuando es heredado por un archivo, comprende el permiso para leer los datos del archivo.
(x)
Ejecutar archivo/Recorrer directorio
Permiso para recorrer (consultar) las entradas de un directorio. Cuando es heredado por un archivo, comprende el permiso para ejecutar el archivo.
(a)
Leer atributos
Permiso para leer atributos básicos (sin ACL) de un archivo. Los atributos básicos se consideran los atributos de nivel de estadística y la admisión de este permiso significa que el usuario puede ejecutar los equivalentes a ls y stat.
(R)
Leer atributos extendidos
Permiso para leer los atributos extendidos de un archivo o realizar una consulta en el directorio de atributos extendidos.
Escritura
(w)
Escribir datos/Agregar archivo
Permiso para agregar un nuevo archivo a un directorio. Cuando es heredado por un archivo, comprende el permiso para modificar los datos de un archivo en cualquier lugar del rango de desplazamiento del archivo. Comprende la capacidad de aumentar el archivo o escribir en cualquier desplazamiento arbitrario.
(p)
Anexar datos/Agregar subdirectorio
Permiso para crear un subdirectorio dentro de un directorio. Cuando es heredado por un archivo, comprende el permiso para modificar los datos del archivo, pero solo a partir del final del archivo. En la actualidad, no se admite este permiso (cuando se aplica a archivos).
(d)
Suprimir
Permiso para suprimir un archivo.
(D)
Suprimir elemento secundario
Permiso para suprimir un archivo dentro de un directorio. A partir de la versión de software 2011.1, si está configurado el indicador sticky bit, solo el propietario del archivo puede suprimir el archivo secundario.
(A)
Write Attributes (Escribir atributos)
Permiso para cambiar los horarios asociados con un archivo o directorio.
(W)
Write Extended Attributes (Escribir atributos extendidos)
Permiso para crear atributos extendidos o escribir en el directorio de atributos extendidos.
Admin
(c)
Read ACL/Permissions (Leer ACL/permisos)
Permiso para leer la ACL.
(C)
Write ACL/Permissions (Escribir ACL/permisos)
Permiso para escribir la ACL o cambiar los modos de acceso básico.
(o)
Cambiar propietario
Permiso para cambiar el propietario.
Herencia
(f)
Aplicar a archivos
Permite heredar en los archivos creados recientemente en un directorio.
(d)
Aplicar a directorios
Permite heredar en todos los directorios creados recientemente en un directorio.
(i)
No aplicar a sí mismo
La ACE actual no se aplica al directorio actual, pero sí se aplica a los elementos secundarios. Este indicador requiere la configuración de una de las siguientes opciones: Aplicar a archivos o Aplicar a directorios.
(n)
No aplicar elementos secundarios pasados
La ACE actual solo debe heredar un nivel de los tres hacia los elementos secundarios inmediatos. Este indicador requiere la configuración de una de las siguientes opciones: Aplicar a archivos o Aplicar a directorios.

Cuando la opción de utilizar los permisos predeterminados de Windows se usa en el momento de la creación del recurso compartido, se crea una ACL con las siguientes tres entradas para el directorio raíz del recurso compartido:

Tabla 127  Entidades de directorio raíz de recursos compartidos
Tipo
Acción
Acceso
Propietario
Permitir
Control completo
Grupo
Permitir
Leer y ejecutar
Todos
Permitir
Leer y ejecutar

En la CLI, configure las propiedades de ACL de directorio raíz después de desplazarse hasta el contexto shares y seleccionar un proyecto y un sistema de archivos. Use comas para separar las propiedades ACE y separe las entradas ACE múltiples con comas. Los campos target e inheritance son opcionales. Para establecer las propiedades, introduzca set root_acl=ace1,ace2,ace3,..., donde acen es:

type:<target:>permissions:<inheritance:>mode

Ejemplos:

set root_acl=owner@:r:allow

set root_acl=everyone@:rwx:fd:allow

set root_acl=user:root:r:allow