En esta sección, se incluyen los siguientes temas:
Para obtener más información acerca del protocolo SMB, consulte estos temas:
Para obtener información acerca de otros protocolos admitidos, consulte las secciones siguientes:
Cada recurso compartido tiene propiedades específicas del protocolo que definen el comportamiento de protocolos diferentes para ese recurso compartido. Estas propiedades pueden ser definidas para cada recurso compartido o heredadas del proyecto del recurso compartido. En la siguiente tabla, se muestran las propiedades del protocolo SMB y los valores posibles.
|
La propiedad de almacenamiento en caché de lado de cliente (csc) controla si los archivos y los programas del recurso compartido se almacenan en caché en el cliente local para usarlos fuera de línea cuando no hay conexión con el dispositivo.
|
Los bloqueos oportunistas son un mecanismo de almacenamiento en caché de clientes que facilita el almacenamiento en caché local para reducir el tráfico de red y mejorar el rendimiento. La propiedad (oplocks) controla si el servidor otorga o deniega los bloqueos oportunistas en el nivel del recurso compartido y se aplica tanto a bloqueos oportunistas de concesión (SMB 2.1 y posteriores) y heredados (SMB 2.0 y anteriores).
El cliente solicita un bloqueo oportunista sobre un archivo dentro de un recurso compartido y esa solicitud se otorga o deniega en función de la configuración del servidor y el estado actual del archivo. Si el cliente intenta acceder a un archivo de manera incongruente con los bloqueos oportunistas que ya se han otorgado para ese archivo, se produce un conflicto. En estos casos, el servidor inicia un proceso para romper los bloqueos oportunistas existentes antes de continuar con la operación que genera el conflicto.
La activación de los bloqueos oportunistas mejora el rendimiento cuando hay solo un cliente que accede a los archivos que están en un recurso compartido. Sin embargo, en algunas situaciones, como cuando varios clientes acceden simultáneamente al mismo archivo, puede introducir una sobrecarga innecesaria. Así, los bloqueos oportunistas se pueden activar o desactivar por recurso compartido, en lugar de hacerlo de manera generalizada, en función del patrón de cargas de trabajo esperadas.
Si no se define una propiedad de bloqueos oportunistas en el nivel del recurso compartido, la configuración por defecto es la propiedad de bloqueos oportunistas globales en el nivel del servicio. Para obtener más información, consulte "Activar bloqueos oportunistas" en la sección Propiedades del servicio SMB.
|
Es posible definir excepciones para el modo de recurso compartido global para clientes o juegos de clientes. Para ello, se deben definir modos de recurso compartido específicos para el cliente o excepciones. Para restringir el acceso a determinados clientes, defina el modo de recurso compartido global en none y otorgue cada vez más acceso a grupos más pequeños. Por ejemplo, puede crear un recurso compartido con el modo de recurso compartido global definido en none, el cual deniega el acceso a todos los clientes y, luego, otorgar acceso de solo lectura a un subjuego de los clientes. Además, puede otorgar acceso de lectura/escritura a un subjuego aún más pequeño de los clientes y, finalmente, solo los host de confianza tendrán acceso de lectura/escritura.
|
Para cada cliente o juego de clientes, debe especificar si el cliente tiene acceso de solo lectura o acceso de lectura y escritura al recurso compartido.
Gestión de grupos de red: los grupos de red se pueden usar para controlar el acceso de las exportaciones de SMB. Sin embargo, gestionar grupos de red puede ser complejo. En su lugar, considere usar reglas de subred de IP o reglas de dominio DNS.
Si se usan grupos de red, se resolverán desde NIS o LDAP, según qué servicio esté activado. Si se usa LDAP, cada grupo de red se debe encontrar en la ubicación por defecto, ou=Netgroup, (DN de base), y se debe usar un esquema estándar.
El componente de nombre de usuario de una entrada de grupo de red generalmente no afecta el SMB; solo el nombre del host resulta significativo. Los nombres de host incluidos en grupos de red deben ser canónicos y, si se resuelven mediante DNS, deben ser completos. Es decir, el subsistema de SMB intentará verificar que la dirección IP del cliente solicitante se convierta en un nombre de host canónico que coincida con el FQDN especificado o con uno de los miembros de uno de los grupos de red especificados. Esta coincidencia debe ser exacta, incluidos todos los componentes del dominio; de lo contrario, la excepción no coincidirá y se intentará la excepción siguiente. Para obtener más información sobre la resolución de nombres de hosts, consulte DNS.
A partir de la versión de software 2013.1.0, los usuarios del cliente UNIX pueden pertenecer a un máximo de 1024 grupos sin una degradación del rendimiento. Las versiones anteriores admitían hasta 16 grupos por usuario del cliente UNIX.
Modos de recurso compartido de SMB y opciones de excepciones
En la CLI, todas las excepciones y los modos de recursos compartidos de SMB se especifican mediante una única cadena de opciones para la propiedad sharesmb. Esta cadena es una lista de valores separados por comas. Debe comenzar con ro, rw, on u off, como analogía de los modos de recursos compartidos globales descritos para la BUI.
|
En el ejemplo siguiente, se configura el modo de recurso compartido para todos los clientes en solo lectura.
set sharesmb=ro
Es posible especificar excepciones de SMB adicionales mediante el agregado de texto con la forma "opción=recopilación", donde "opción" es ro o rw. No se puede otorgar acceso root con excepciones de SMB. La recopilación es especificada por el carácter de prefijo de la tabla 114 y un nombre de dominio/nombre de host DNS o número de red CIDR.
Por ejemplo, para otorgar acceso de lectura y escritura a todos los hosts del dominio sf.example.com:
set sharesmb="ro,rw=.sf.example.com"
En este ejemplo, se otorga acceso de solo lectura a los clientes con las direcciones IP 2001:db8:410:d43::/64 y 192.0.2.254/22:
set sharesmb="on,ro=@[2001:db8:410:d43::/64]:@192.0.2.254/22"
Los nombres de grupos de red se pueden utilizar en cualquier lugar donde se puede utilizar un nombre de host completo. Por ejemplo, puede permitir el acceso de lectura y escritura al grupo de red "ingeniería" de la siguiente manera:
set sharesmb="ro,rw=engineering"
Una lista de control de acceso (ACL) de nivel de recurso compartido, cuando se la combina con la ACL de un archivo o un directorio en el recurso compartido, determina los permisos vigentes para ese archivo. Por defecto, esta ACL otorga control total a todos. Esta ACL proporciona otra capa de control de acceso superior a las ACL de archivos y permite realizar configuraciones de control de acceso más sofisticadas. Esta propiedad solo se puede determinar después de exportar el sistema de archivos mediante la configuración del nombre de recurso de SMB. Si el sistema de archivos no se exporta mediante el protocolo SMB, la configuración de la ACL de nivel de recurso compartido no se aplicará.
Cuando está activada la enumeración basada en el acceso, los clientes pueden ver entradas de directorios para los archivos que ellos no pueden abrir. Las entradas de directorio solo se filtran cuando el cliente no tiene acceso a ese archivo. Por ejemplo, si un cliente intenta abrir un archivo para obtener acceso de lectura y escritura, pero la ACL otorga acceso de solo lectura, se producirá un error en esa solicitud abierta, pero el archivo aún será incluido en la lista de entradas.
Para obtener más información acerca de las ACL, consulte Listas de control de acceso para sistemas de archivos.