Oracle ZFS Storage Appliance は、アクセス制御リスト (ACL) を使用してファイルアクセス制御を提供します。ACL は、特定のファイルまたはディレクトリへのアクセスを許可または拒否するメカニズムです。
Oracle ZFS Storage Appliance で提供される ACL モデルは、Windows ACL セマンティクスから派生した NFSv4 ACL モデルに基いています。これは、ファイルおよびディレクトリへのきめ細かなアクセスを提供する高機能な ACL モデルです。ストレージアプライアンス内のすべてのファイルおよびディレクトリは ACL を保持し、SMB と NFS のアクセス制御決定すべてで同じアルゴリズムが使用され、ファイルおよびディレクトリへのアクセスを許可または拒否するユーザーが決定されます。
ACL は、1 つ以上のアクセス制御エントリ (ACE) で構成されます。各 ACE には、ACE が付与または拒否するアクセス権、ACE の適用先ユーザー、および使用される継承レベルフラグのエントリが含まれます。
NFSv4 ACL を使用すると、新たに作成されたファイルやディレクトリで ACE を個別に継承できます。ACE の継承は、初期構成時に管理者が ACL に設定する複数の継承レベルフラグによって制御されます。
NFSv4 ACL は順序に依存しており、上から順に処理されます。いったんアクセス権が付与されたら、後続の ACE を取り除くことはできません。いったんアクセス権が拒否されたら、後続の ACE を許可することはできません。
SMB シェアレベル ACL は、シェア内のファイルまたはディレクトリ ACL と組み合わされた ACL で、ファイルの有効なアクセス権を決定します。シェアレベル ACL は、ファイル ACL の上に別のアクセス制御レイヤーを提供して、より洗練されたアクセス制御構成を実現します。シェアレベル ACL は、ファイルシステムのエクスポート時に SMB プロトコルを使用して設定されます。ファイルシステムが SMB プロトコルを使用してエクスポートされない場合は、シェアレベル ACL を設定しても何も効果はありません。デフォルトでは、シェアレベル ACL はすべてのユーザーに完全な制御を許可します。
ACL の動作および継承プロパティーは、NFS クライアントにのみ適用されます。SMB クライアントは、厳密な Windows セマンティクスを使用し、ZFS プロパティーよりも優先されます。異なるのは、NFS は POSIX セマンティクスを使用し、SMB クライアントは使用しない点です。プロパティーは、主に POSIX と互換性があります。