Protocole SMB

Langue :

Cette section aborde les sujets suivants :

Pour plus d'informations sur le protocole SMB, consultez les rubriques suivantes :

Pour plus d'informations sur les autres protocoles pris en charge, reportez-vous aux sections suivantes :

Propriétés de protocole SMB

Chaque partage possède des propriétés de protocole spécifiques qui définissent le comportement de différents protocoles pour ce partage. Ces propriétés peuvent être définies pour chaque partage ou héritées d'un partage contenu dans un projet.

Table 132 Propriétés de protocole SMB

Propriété de la BUI	Propriété de la CLI	Type de propriété	Description
Mode de partage	`off` \| `rw` \| `ro`	Hérité	Spécifie si le partage est disponible uniquement pour la lecture, pour la lecture et l'écriture ou aucune des deux. Voir Table 134, Valeurs du mode de partage SMB (BUI et CLI) in Exceptions du mode de partage du protocole SMB.
Nom de la ressource	`resource_name`	Hérité	Nom utilisé par les clients SMB pour désigner ce partage. Des exceptions au mode de partage peuvent être spécifiées pour cette ressource. Voir Table 134, Valeurs du mode de partage SMB (BUI et CLI) in Exceptions du mode de partage du protocole SMB.
Activer l'énumération basée sur l'accès	`abe`	Hérité	Spécifie si l'énumération basée sur l'accès doit être effectuée.
Activer l'accès invité	`guestok`	Hérité	Spécifie si l'accès doit être accordé à l'invité. Cette propriété est désactivée par défaut.
Est un espace de noms DFS	`dfsroot`	Hérité	Spécifie si ce partage est provisionné en tant qu'espace de noms DFS autonome.
Stratégie de mise en mémoire cache côté client	`csc`	Hérité	Options de configuration par partage fournies pour prendre en charge la mise en cache côté client. Pour plus d'informations, reportez-vous à la section Propriété de mise en cache côté client.
Stratégie de verrouillages opportunistes	`oplocks`	Hérité	Spécifie si des verrouillages opportunistes sont activés au niveau du partage. Pour plus d'informations, reportez-vous à la section Propriété de verrouillages opportunistes.
Activer la disponibilité continue	`cont_avail`	Hérité	Spécifie si des clients SMB3 peuvent demander des descripteurs de fichiers persistants pour le partage. Lorsque cette option est activée, l'appareil peut stocker l'état associé à un descripteur de fichier persistant dans un emplacement de stockage stable et permanent. L'état peut être restauré de façon transparente en cas de défaillance du contrôleur, telle qu'une opération de reprise et de rétablissement sur des contrôleurs en cluster. Les partages SMB disponibles en continu ne peuvent pas être partagés via NFS, ni utilisés sur des charges de travail disposant d'un nombre élevé d'ouvertures/fermetures tel qu'un répertoire personnel. Les partages SMB disponibles en continu sont uniquement recommandés pour les applications d'entreprise disposant d'un nombre limité d'ouvertures/fermetures.
Chiffrer l'accès aux données	`encrypt`	Hérité	Spécifie si le chiffrement SMB3 est activé au niveau du partage. Lorsque cette option est activée, le serveur SMB exige que les clients chiffrent les demandes d'accès au partage. Cette exigence peut être ignorée si le serveur permet l'accès non chiffré. Cette propriété est désactivée par défaut. Pour les propriétés de chiffrement SMB globales, reportez-vous à "Chiffrer l'accès aux données" et "Rejeter l'accès non chiffré" dans la section Propriétés du service SMB.
Ignorer la vérification de parcours	`bypasstraverse`	Hérité	Spécifie si la vérification de parcours doit être ignorée pour le partage. Cette propriété est désactivée par défaut. Lorsque cette option est désactivée, la sémantique UNIX est utilisée : toujours appliquer les autorisation de parcours des dossiers lors de la navigation d'un objet sur le partage. Lorsque cette option est activée, la sémantique Windows est utilisée : l'accès à un objet sur ce partage dépend des droits de l'utilisateur, ignorant les autorisations de parcours des dossiers.

Propriété de mise en cache côté client

La propriété de mise en cache côté client (csc) détermine si les fichiers et les programmes du partage sont mis en cache sur le client local pour être utilisés hors ligne lorsqu'ils sont déconnectés de l'appareil.

Valeur BUI	Valeur CLI	Description
Sans cache	`none`	Désactive la mise en cache côté client pour le partage. Aucun des fichiers ou des programmes du partage ne sont disponibles hors ligne. Cette option empêche les fichiers hors ligne sur les ordinateurs clients de faire des copies des fichiers et programmes sur le dossier partagé.
Mise en cache manuelle	`manual`	Seuls les fichiers et les programmes spécifiés sont mis en cache sur le client local et sont disponibles hors ligne. Il s'agit de l'option par défaut lorsque vous paramétrez un dossier partagé. Avec cette option, aucun fichier ou programme n'est disponible hors ligne par défaut. Vous pouvez choisir les fichiers et programmes auxquels vous pouvez accéder lorsque vous n'êtes pas connecté au réseau.
Mise en cache automatique de documents	`documents`	Tous les fichiers accédés à partir du partage sont mis en cache sur le client local et disponibles hors ligne. Les fichiers sont automatiquement réintégrés lorsque le client local est à nouveau en ligne. Les programmes accédés à partir du partage ne sont pas disponibles hors ligne à moins qu'ils aient été mis en cache localement.
Mise en cache automatique de programmes	`programs`	Tous les programmes accédés à partir du partage sont mis en cache sur le client local et disponibles hors ligne. En ligne, les programmes sont exécutés depuis le client local. En outre, tous les fichiers accédés à partir du partage sont mis en cache sur le client local et disponibles hors ligne. Les fichiers sont automatiquement réintégrés lorsque le client local est à nouveau en ligne.

Propriété de verrouillages opportunistes

Les verrouillages opportunistes correspondent à un mécanisme de mise en cache client qui facilite la mise en cache locale afin de réduire le trafic réseau et d'améliorer la performance. La propriété (oplocks) détermine si le serveur accorde ou refuse des verrouillages opportunistes au niveau du partage et s'il s'applique à la fois aux verrouillages opportunistes de type bail (SMB 2.1 et versions ultérieures) and aux verrouillages hérités (SMB 2.0 et versions antérieures).

Le client demande le verrouillage opportuniste d'un fichier dans un partage et cette demande est accordée ou refusée en fonction de la configuration du serveur et de l'état actuel du fichier. Si le client tente d'accéder à un fichier d'une façon qui n'est pas compatible avec les verrouillages opportunistes déjà accordés pour ce fichier, un conflit survient. Dans ce genre de situation, le serveur lance un processus pour casser les verrouillages opportunistes existants avant de poursuivre avec l'opération en conflit.

L'activation de verrouillages opportunistes améliore la performance lorsque les fichiers dans un partage sont accessibles par un seul client. Cependant, dans certains scénarios tels que celui où plusieurs clients accèdent simultanément à un même fichier, cela peut entraîner une surcharge système inutile. Les verrouillages opportunistes peuvent ainsi être activés ou désactivés au niveau de chaque partage sans recourir à un contrôle global en fonction du modèle prévu des charges de travail.

Si aucune propriété des verrouillages opportunistes n'est définie au niveau du partage, la valeur par défaut correspond à la propriété de verrouillages opportunistes globale définie au niveau du service. Pour plus d'informations, reportez-vous à "Activer Oplocks" dans la section Propriétés du service SMB.

Valeur BUI	Valeur CLI	Description	Exemple
Enabled (Activé)	`enabled`	Active les verrouillages opportunistes pour un partage	`set sharesmb="myshare,oplocks=enabled,abe=off,dfsroot=false"`
Désactivé	`disabled`	Désactive les verrouillages opportunistes pour un partage	`set sharesmb="myshare,oplocks=disabled,abe=off,dfsroot=false"`
`empty`	`--`	La propriété des verrouillages opportunistes n'est ni activée ni désactivée. Utilise la propriété des verrouillages opportunistes globale lorsque la propriété au niveau partage n'est pas définie.	`set sharesmb="myshare,abe=off,dfsroot=false"`

Exceptions du mode de partage du protocole SMB

Des exceptions au mode de partage global peuvent être définies pour les clients ou les collections de clients en définissant des modes de partage spécifiques au client ou des exceptions. Il est recommandé de définir le mode de partage global sur none afin de limiter l'accès pour certains clients, puis d'octroyer progressivement un accès de plus en plus large à des groupes de plus en plus restreints. Par exemple, vous pouvez créer un partage avec le mode de partage global none (qui refuse l'accès à tous les clients), puis accorder un accès en lecture seule à un sous-ensemble de clients. Ensuite, vous pouvez accorder l'accès en lecture et écriture à un sous-ensemble encore plus réduit de clients, et finalement l'accès en lecture-écriture aux seuls hôtes sécurisés.

Table 133 Types de client

Type	Préfixe CLI	Description	Exemple
Hôte (FQDN) ou Netgroup	`none`	Client unique dont l'adresse IP est résolue en nom complet spécifié ou groupe réseau qui contient les noms complets vers lesquels est résolue l'adresse IP d'un client.	hostname.sf.example.com
Domaine DNS	`.`	Tous les clients dont l'adresse IP est résolue en nom complet qui se termine par ce suffixe.	sf.example.com
Sous-réseau IPv4	@	Tous les clients dont les adresses IP sont comprises dans le sous-réseau IPv4 indiqué, en notation CIDR.	192.0.2.254/22
Sous-réseau IPv6	@	Tous les clients dont les adresses IP sont comprises dans le sous-réseau IPv6 indiqué, en notation CIDR.	2001:db8:410:d43::/64

Pour chaque client ou collection de clients, spécifiez si le client dispose d'un accès en lecture seule ou en lecture/écriture au partage.

Gestion des groupes réseau - Les groupes réseau peuvent être utilisés pour contrôler l'accès lors d'exportations SMB. La gestion de groupes réseau peut toutefois s'avérer complexe. A la place, vous pouvez envisager d'utiliser des règles de sous-réseau IP ou des règles de domaine DNS.

Si des groupes réseau sont utilisés, ils seront résolus à partir de NIS ou LDAP, selon le service activé. Si LDAP est utilisé, chaque groupe réseau doit se trouver à l'emplacement par défaut, ou=Netgroup,(Base DN) et doit utiliser le schéma standard.

En général, le composant nom d'utilisateur d'une entrée de groupe réseau n'a aucune conséquence sur SMB, contrairement au composant nom d'hôte. Les noms d'hôte contenus dans les groupes réseau doivent être canoniques et, s'ils ont été choisis à l'aide de DNS, ils doivent être complets. Concrètement, le sous-système SMB tente de vérifier que l'adresse IP du client qui a fait la demande soit résolue en nom d'hôte canonique qui correspond soit au nom de domaine complet (FQDN), soit à un membre d'un des groupes réseau spécifiés. Cette correspondance doit être exacte, y compris concernant les composants de domaine. Dans le cas contraire, l'exception n'est pas valide et on passe à l'exception suivante. Pour plus d'informations sur la résolution du nom d'hôte, consultez la section DNS.

Depuis la version logicielle 2013.1.0, les utilisateurs de clients UNIX peuvent appartenir à un maximum de 1 024 groupes sans aucune perte de performance. Les versions précédentes prenaient en charge jusqu'à 16 groupes par utilisateur de client UNIX.

Options des modes de partage et d'exception SMB

Dans la CLI, tous les modes de partage SMB et les exceptions sont spécifiés à l'aide d'une chaîne d'options unique pour la propriété sharesmb. Cette chaîne est une liste de valeurs séparées par des virgules. Elle doit commencer par ro, rw, on ou off, de la même manière que pour les modes de partage globaux décrits dans la BUI.

Table 134 Valeurs du mode de partage SMB (BUI et CLI)

Valeur du mode de partage dans la BUI	Valeur du mode de partage dans la CLI	Description	Exemple
Aucune	`off`	Le mode de partage est désactivé.	`sharesmb=off`
	`on`	Le nom de partage correspond au nom d'ensemble de données, il est en mesure de lire et d'écrire ou de lire uniquement si les exceptions SMB `rw` ou `ro` sont définies. Pour tous les autres clients, le mode de partage est désactivé.	`sharesmb="on,ro=sf.example.com"`
	`resource_name`	Le nom de partage correspond au nom de la ressource, il est en mesure de lire et d'écrire ou de lire uniquement si les exceptions SMB `rw` ou `ro` sont définies. Pour tous les autres clients, le mode de partage est désactivé.	`sharesmb="myshare,ro=sf.example.com"`
Lecture/écriture	`on`	Le nom de partage correspond au nom d'ensemble de données, il est en mesure de lire et d'écrire pour tous les clients en l'absence d'exceptions SMB.	`sharesmb=on`
	`rw`	Le nom de partage correspond au nom d'ensemble de données, il est en mesure de lire et d'écrire pour tous les clients, sauf ceux pour qui l'exception `ro` est définie.	`sharesmb=rw` ou `sharesmb="rw,ro=sf.example.com"`
	`resource_name`	Le nom de partage correspond au nom de la ressource, il est en mesure de lire et d'écrire pour tous les clients en l'absence d'exceptions SMB.	`sharesmb=myshare`
	`resource_name,rw`	Le nom de partage correspond au nom de la ressource, il est en mesure de lire et d'écrire pour tous les clients, sauf ceux pour qui l'exception `ro` est définie. Les exceptions SMB peuvent ou non être définies.	`sharesmb="myshare,rw"` ou `sharesmb="myshare,rw,ro=sf.example.com"`
Lecture seule	`ro`	Le nom de partage correspond au nom d'ensemble de données, il est en mesure de lire uniquement pour tous les hôtes, sauf ceux pour qui l'exception `rw` est définie.	`sharesmb="ro,rw=sf.example.com"`
Lecture seule	`resource_name,ro`	Le nom de partage correspond au nom de la ressource, il est en mesure de lire uniquement pour tous les clients, sauf ceux pour qui l'exception `rw` est définie. Les exceptions SMB peuvent ou non être définies.	`sharesmb="myshare,ro"` ou `sharesmb="myshare,ro,rw=sf.example.com"`

L'exemple suivant définit le mode de partage en lecture seule pour tous les clients.

set sharesmb=ro

Il est possible de spécifier des exceptions SMB supplémentaires en ajoutant du texte sous la forme option=collection, où option correspond à ro ou rw. Vous ne pouvez pas autoriser un accès root avec des exceptions SMB. La collection est spécifiée par le caractère de préfixe à partir de la table 114 et par un nom d'hôte/domaine DNS ou un numéro de réseau CIDR.

Par exemple, pour accorder un accès en lecture-écriture à tous les hôtes du domaine sf.example.com, saisissez :

set sharesmb="ro,rw=.sf.example.com"

Cet exemple accorde un accès en lecture-écriture aux clients dotés des adresses IP 2001:db8:410:d43::/64 et 192.0.2.254/22:

set sharesmb="on,ro=@[2001:db8:410:d43::/64]:@192.0.2.254/22"

Les noms de groupe réseau peuvent être utilisés partout où un nom d'hôte complet peut être utilisé. Par exemple, vous pouvez autoriser l'accès en lecture-écriture au groupe réseau engineering comme suit :

set sharesmb="ro,rw=engineering"

ACL au niveau du partage

Une liste de contrôle d'accès (ACL) au niveau du partage, lorsqu'elle est combinée avec l'ACL d'un fichier ou d'un répertoire dans le partage, détermine les autorisations en vigueur pour ce fichier. Par défaut, l'ACL octroie un contrôle total à tout le monde. L'ACL offre une couche supplémentaire de contrôle d'accès par rapport aux ACL sur les fichiers et permet de configurer plus précisément le contrôle d'accès. Cette propriété peut être définie uniquement lorsque le système de fichiers a été exporté en configurant le nom de ressource SMB. Si le système de fichiers n'est pas exporté via le protocole SMB, le paramétrage de l'ACL au niveau du partage n'a aucune conséquence.

Lorsque la propriété d'énumérations en fonction des accès est activée, les clients peuvent voir des entrées de répertoire des fichiers qu'ils ne peuvent pas ouvrir. Les entrées de répertoire sont filtrées uniquement lorsque le client n'a pas accès au fichier. Par exemple, si un client tente d'ouvrir un fichier avec un accès en lecture-écriture alors que l'ACL n'attribue qu'un accès en lecture, l'ouverture du fichier échoue mais ce fichier est quand même inclus dans la liste des entrées.

Pour plus d'informations sur les ACL, reportez-vous à la section Listes de contrôle d'accès des systèmes de fichiers.