Protocolo SMB
En esta sección, se incluyen los siguientes temas:
Para obtener más información acerca del protocolo SMB, consulte estos temas:
Para obtener información acerca de otros protocolos admitidos, consulte las secciones siguientes:
Propiedades de protocolo SMB
Cada recurso compartido tiene propiedades específicas del protocolo que definen el comportamiento de protocolos diferentes para ese recurso compartido. Estas propiedades pueden ser definidas para cada recurso compartido o heredadas del proyecto del recurso compartido.
Tabla 132 Propiedades de protocolo SMB
|
|
|
|
|
Modo de recurso compartido
|
off | rw | ro
|
Heredada
|
|
|
Nombre de recurso
|
resource_name
|
Heredada
|
|
|
Activar enumeración basada en el acceso
|
abe
|
Heredada
|
Especifica si se debe realizar una enumeración basada en el acceso.
|
|
Activar acceso de invitado
|
guestok
|
Heredada
|
Especifica si se debe otorgar acceso de invitado. Esta propiedad está desactivada por defecto.
|
|
Es un espacio de nombres de DFS
|
dfsroot
|
Heredada
|
Especifica si este recurso compartido se aprovisiona como espacio de nombres de DFS independiente.
|
|
Política de almacenamiento en caché de lado de cliente
|
csc
|
Heredada
|
|
|
Política de bloqueo oportunista
|
oplocks
|
Heredada
|
|
|
Activar disponibilidad continua
|
cont_avail
|
Heredada
|
Especifica si los clientes SMB3 pueden solicitar manejadores de archivos persistentes para el recurso compartido. Cuando se activa esta opción, el dispositivo puede almacenar el estado asociado con un manejador de archivos persistente en almacenamiento estable persistente. El estado se puede almacenar de manera transparente en caso de un fallo de controlador, como una operación de toma de control y failback en controladores en cluster. Los recursos compartidos SMB con disponibilidad continua no se pueden compartir por medio de NFS ni usar en cargas de trabajo como las de directorio raíz, que tienen un número muy alto de aperturas y cierres. Los recursos compartidos SMB con disponibilidad continua solo se recomiendan para aplicaciones empresariales que tengan un número limitado de aperturas y cierres.
|
|
Cifrar acceso a datos
|
encrypt
|
Heredada
|
Especifica si se debe activar el cifrado SMB3 en el nivel de recurso compartido. Cuando se activa esta opción, el servidor SMB exige que los clientes cifren las solicitudes para acceder al recurso compartido. Es posible omitir esta imposición si el servidor permite el acceso no cifrado. Esta propiedad está desactivada por defecto. Para conocer las propiedades de cifrado SMB a nivel global, consulte "Cifrado de acceso a datos" y "Rechazo de acceso no cifrado" en Propiedades del servicio SMB. |
|
Omitir control de desvío
|
bypasstraverse
|
Heredada
|
Especifica si se debe omitir el control de desvío para el recurso compartido. Esta propiedad está desactivada por defecto.
Cuando se desactiva esta opción, se utiliza la semántica de UNIX: siempre forzar los permisos de desvío de las carpetas durante el desplazamiento hacia un objeto en este recurso compartido.
Cuando se activa esta opción, se utiliza la semántica de Windows: el acceso a un objeto de este recurso compartido depende de los derechos del usuario sobre ese objeto; se ignoran los permisos de desvío de las carpetas.
|
|
Propiedad de almacenamiento en caché de lado de cliente
La propiedad de almacenamiento en caché de lado de cliente (csc) controla si los archivos y los programas del recurso compartido se almacenan en caché en el cliente local para usarlos fuera de línea cuando no hay conexión con el dispositivo.
|
|
|
|
Sin almacenamiento en caché
|
none
|
Desactiva el almacenamiento en caché de lado de cliente para el recurso compartido. Los archivos y programas del recurso compartido no están disponibles fuera de línea. Esta opción bloquea los archivos fuera de línea de la computadora cliente e impide que se hagan copias de los archivos y los programas en la carpeta del recurso compartido.
|
|
Almacenamiento en caché manual
|
manual
|
Solo los archivos y los programas especificados se almacenan en caché en el cliente local y están disponibles fuera de línea. Esta es la opción por defecto en la configuración inicial de los recursos compartidos. Si se usa esta opción, por defecto no hay ningún archivo ni programa disponible fuera de línea. Puede controlar cuáles son los archivos y los programas a los que accede cuando no está conectado a la red.
|
|
Almacenamiento en caché automático de documentos
|
documents
|
Todos los archivos a los que se accede desde el recurso compartido se almacenan en caché en el cliente local y están disponibles fuera de línea. Los archivos se reintegran automáticamente cuando el cliente local vuelve a estar en línea. Los programas a los que se accede desde el recurso compartido no están disponibles fuera de línea a menos que se hayan almacenado en caché con anterioridad.
|
|
Almacenamiento en caché automático de programas
|
programs
|
Todos los programas a los que se accede desde el recurso compartido se almacenan en caché en el cliente local y están disponibles fuera de línea. Cuando está en línea, los programas se ejecutan desde el cliente local. Asimismo, todos los archivos a los que se accede desde el recurso compartido se almacenan en caché en el cliente local y están disponibles fuera de línea. Los archivos se reintegran automáticamente cuando el cliente local vuelve a estar en línea.
|
|
Propiedad de bloqueos oportunistas
Los bloqueos oportunistas son un mecanismo de almacenamiento en caché de clientes que facilita el almacenamiento en caché local para reducir el tráfico de red y mejorar el rendimiento. La propiedad (oplocks) controla si el servidor otorga o deniega los bloqueos oportunistas en el nivel del recurso compartido y se aplica tanto a bloqueos oportunistas de concesión (SMB 2.1 y posteriores) y heredados (SMB 2.0 y anteriores).
El cliente solicita un bloqueo oportunista sobre un archivo dentro de un recurso compartido y esa solicitud se otorga o deniega en función de la configuración del servidor y el estado actual del archivo. Si el cliente intenta acceder a un archivo de manera incongruente con los bloqueos oportunistas que ya se han otorgado para ese archivo, se produce un conflicto. En estos casos, el servidor inicia un proceso para romper los bloqueos oportunistas existentes antes de continuar con la operación que genera el conflicto.
La activación de los bloqueos oportunistas mejora el rendimiento cuando hay solo un cliente que accede a los archivos que están en un recurso compartido. Sin embargo, en algunas situaciones, como cuando varios clientes acceden simultáneamente al mismo archivo, puede introducir una sobrecarga innecesaria. Así, los bloqueos oportunistas se pueden activar o desactivar por recurso compartido, en lugar de hacerlo de manera generalizada, en función del patrón de cargas de trabajo esperadas.
Si no se define una propiedad de bloqueos oportunistas en el nivel del recurso compartido, la configuración por defecto es la propiedad de bloqueos oportunistas globales en el nivel del servicio. Para obtener más información, consulte "Activar bloqueos oportunistas" en la sección Propiedades del servicio SMB.
|
|
|
|
|
Enabled
|
enabled
|
Activa los bloqueos oportunistas para un recurso compartido
|
set sharesmb="myshare,oplocks=enabled,abe=off,dfsroot=false"
|
|
Desactivado
|
disabled
|
Desactiva los bloqueos oportunistas para un recurso compartido
|
set sharesmb="myshare,oplocks=disabled,abe=off,dfsroot=false"
|
|
empty
|
--
|
La propiedad de bloqueos oportunistas no está activada ni desactivada. Utiliza la propiedad de bloqueos oportunistas globales cuando no está configurada la propiedad en el nivel del recurso compartido.
|
set sharesmb="myshare,abe=off,dfsroot=false"
|
|
Excepciones de modo de recurso compartido del protocolo SMB
Es posible definir excepciones para el modo de recurso compartido global para clientes o juegos de clientes. Para ello, se deben definir modos de recurso compartido específicos para el cliente o excepciones. Para restringir el acceso a determinados clientes, defina el modo de recurso compartido global en none y otorgue cada vez más acceso a grupos más pequeños. Por ejemplo, puede crear un recurso compartido con el modo de recurso compartido global definido en none, el cual deniega el acceso a todos los clientes y, luego, otorgar acceso de solo lectura a un subjuego de los clientes. Además, puede otorgar acceso de lectura/escritura a un subjuego aún más pequeño de los clientes y, finalmente, solo los host de confianza tendrán acceso de lectura/escritura.
Tabla 133 Tipos de clientes
|
|
|
|
|
Host(FQDN) o grupo de red
|
none
|
Un único cliente cuya dirección IP se convierte en el nombre totalmente cualificado especificado o un grupo de red que contiene los nombres totalmente cualificados en los cuales se convierte la dirección IP del cliente.
|
hostname.sf.example.com
|
|
Dominio DNS
|
.
|
Todos los clientes con direcciones IP que se convierten en un nombre totalmente cualificado que termina con este sufijo.
|
sf.example.com
|
|
Subred IPv4
|
@
|
Todos los clientes con direcciones IP que se encuentran dentro de la subred IPv4 especificada, expresada en la notación CIDR..
|
192.0.2.254/22
|
|
Subred IPv6
|
@
|
Todos los clientes con direcciones IP que se encuentran dentro de la subred IPv6 especificada, expresada en la notación CIDR..
|
2001:db8:410:d43::/64
|
|
Para cada cliente o juego de clientes, debe especificar si el cliente tiene acceso de solo lectura o acceso de lectura y escritura al recurso compartido.
Gestión de grupos de red: los grupos de red se pueden usar para controlar el acceso de las exportaciones de SMB. Sin embargo, gestionar grupos de red puede ser complejo. En su lugar, considere usar reglas de subred de IP o reglas de dominio DNS.
Si se usan grupos de red, se resolverán desde NIS o LDAP, según qué servicio esté activado. Si se usa LDAP, cada grupo de red se debe encontrar en la ubicación por defecto, ou=Netgroup, (DN de base), y se debe usar un esquema estándar.
El componente de nombre de usuario de una entrada de grupo de red generalmente no afecta el SMB; solo el nombre del host resulta significativo. Los nombres de host incluidos en grupos de red deben ser canónicos y, si se resuelven mediante DNS, deben ser completos. Es decir, el subsistema de SMB intentará verificar que la dirección IP del cliente solicitante se convierta en un nombre de host canónico que coincida con el FQDN especificado o con uno de los miembros de uno de los grupos de red especificados. Esta coincidencia debe ser exacta, incluidos todos los componentes del dominio; de lo contrario, la excepción no coincidirá y se intentará la excepción siguiente. Para obtener más información sobre la resolución de nombres de hosts, consulte DNS.
A partir de la versión de software 2013.1.0, los usuarios del cliente UNIX pueden pertenecer a un máximo de 1024 grupos sin una degradación del rendimiento. Las versiones anteriores admitían hasta 16 grupos por usuario del cliente UNIX.
Modos de recurso compartido de SMB y opciones de excepciones
En la CLI, todas las excepciones y los modos de recursos compartidos de SMB se especifican mediante una única cadena de opciones para la propiedad sharesmb. Esta cadena es una lista de valores separados por comas. Debe comenzar con ro, rw, on u off, como analogía de los modos de recursos compartidos globales descritos para la BUI.
Tabla 134 Valores de modos de recurso compartido de SMB (BUI y CLI)
|
|
|
|
|
Ninguno
|
off
|
El modo de recurso compartido está desactivado.
|
sharesmb=off
|
|
on
|
El nombre del recurso compartido es el nombre del juego de datos y está disponible para lectura y escritura o solo para lectura si las excepciones de SMB rw o ro están definidas. El modo de recurso compartido está desactivado para todos los otros clientes.
|
sharesmb="on,ro=sf.example.com"
|
|
resource_name
|
El nombre del recurso compartido es el nombre del recurso y está disponible para lectura y escritura o solo para lectura si las excepciones de SMBrw o ro están definidas. El modo de recurso compartido está desactivado para todos los otros clientes.
|
sharesmb="myshare,ro=sf.example.com"
|
|
Lectura y escritura
|
on
|
El nombre del recurso compartido es el nombre del juego de datos y está disponible para lectura y escritura para todos los clientes si no hay excepciones de SMB.
|
sharesmb=on
|
|
rw
|
El nombre del recurso compartido es el nombre del juego de datos y está disponible para lectura y escritura para todos los clientes excepto para los que se definió la excepción ro.
|
sharesmb=rw o sharesmb="rw,ro=sf.example.com"
|
|
resource_name
|
El nombre del recurso compartido es el nombre del recurso y está disponible para lectura y escritura para todos los clientes si no hay excepciones de SMB.
|
sharesmb=myshare
|
|
resource_name,rw
|
El nombre del recurso compartido es el nombre del recurso y está disponible para lectura y escritura para todos los clientes excepto para los que se definió la excepción ro. Las excepciones de SMB pueden o no estar definidas.
|
sharesmb="myshare,rw" o sharesmb="myshare,rw,ro=sf.example.com"
|
|
Solo lectura
|
ro
|
El nombre del recurso compartido es el nombre del juego de datos y está disponible solo para lectura para todos los host excepto para los que se definió la excepción rw.
|
sharesmb="ro,rw=sf.example.com"
|
|
resource_name,ro
|
El nombre del recurso compartido es el nombre del recurso y está disponible solo para lectura para todos los clientes excepto para los que se definió la excepción rw. Las excepciones de SMB pueden o no estar definidas.
|
sharesmb="myshare,ro" o sharesmb="myshare,ro,rw=sf.example.com"
|
|
En el ejemplo siguiente, se configura el modo de recurso compartido para todos los clientes en solo lectura.
set sharesmb=ro
Es posible especificar excepciones de SMB adicionales si se anexa texto con el formato option=collection, donde option equivale a ro o rw. No se puede otorgar acceso root con excepciones de SMB. La recopilación es especificada por el carácter de prefijo de la tabla 114 y un nombre de dominio/nombre de host DNS o número de red CIDR.
Por ejemplo, para otorgar acceso de lectura y escritura a todos los hosts del dominio sf.example.com:
set sharesmb="ro,rw=.sf.example.com"
En este ejemplo, se otorga acceso de solo lectura a los clientes con las direcciones IP 2001:db8:410:d43::/64 y 192.0.2.254/22:
set sharesmb="on,ro=@[2001:db8:410:d43::/64]:@192.0.2.254/22"
Los nombres de grupos de red se pueden utilizar en cualquier lugar donde se puede utilizar un nombre de host completo. Por ejemplo, puede permitir el acceso de lectura y escritura al grupo de red engineering de la siguiente manera:
set sharesmb="ro,rw=engineering"
ACL en el nivel de recurso compartido
Una lista de control de acceso (ACL) de nivel de recurso compartido, cuando se la combina con la ACL de un archivo o un directorio en el recurso compartido, determina los permisos vigentes para ese archivo. Por defecto, esta ACL otorga control total a todos. Esta ACL proporciona otra capa de control de acceso superior a las ACL de archivos y permite realizar configuraciones de control de acceso más sofisticadas. Esta propiedad solo se puede determinar después de exportar el sistema de archivos mediante la configuración del nombre de recurso de SMB. Si el sistema de archivos no se exporta mediante el protocolo SMB, la configuración de la ACL de nivel de recurso compartido no se aplicará.
Cuando está activada la enumeración basada en el acceso, los clientes pueden ver entradas de directorios para los archivos que ellos no pueden abrir. Las entradas de directorio solo se filtran cuando el cliente no tiene acceso a ese archivo. Por ejemplo, si un cliente intenta abrir un archivo para obtener acceso de lectura y escritura, pero la ACL otorga acceso de solo lectura, se producirá un error en esa solicitud abierta, pero el archivo aún será incluido en la lista de entradas.
Para obtener más información acerca de las ACL, consulte Listas de control de acceso para sistemas de archivos.