Pengenalan ACL POSIX dan ACL NFSv4 serta catatan penggunaan terkait - File Storage NAS

File Storage NAS (NAS) menyediakan daftar kontrol akses (ACL) berikut untuk protokol Network File System (NFS): ACL NFSv4 dan Antarmuka Sistem Operasi Portabel untuk UNIX (POSIX) ACL. Anda dapat menggunakan ACL NFS untuk memberikan izin pada direktori atau file yang berbeda kepada pengguna dan grup yang berbeda. Topik ini memperkenalkan ACL POSIX dan ACL NFSv4 serta menjelaskan catatan penggunaan untuk ACL tersebut. Topik ini juga menjelaskan cara mengaktifkan fitur ACL NFS di konsol.

Informasi latar belakang

Kontrol akses dan manajemen pengguna sangat penting bagi pengguna perusahaan yang perlu berbagi file di antara pengguna dan grup yang berbeda dengan menggunakan sistem file bersama. Untuk menerapkan isolasi akses, Anda perlu memberikan izin pada direktori atau file yang berbeda kepada pengguna dan grup yang berbeda. NAS menyediakan ACL NFS untuk memenuhi kebutuhan tersebut. ACL NFS mencakup ACL NFSv4 dan ACL POSIX. ACL terdiri dari satu atau lebih entri kontrol akses (ACE) yang masing-masing memberikan satu atau beberapa izin kepada pengguna atau grup untuk mengakses file atau direktori.

Anda dapat menggunakan protokol NFSv3 untuk memasang sistem file tempat ACL NFSv4 diterapkan. Setelah sistem file dipasang, ACL NFSv4 dikonversi menjadi ACL POSIX. Anda juga dapat menggunakan protokol NFSv4 untuk memasang sistem file tempat ACL POSIX diterapkan. Setelah sistem file dipasang, ACL POSIX dikonversi menjadi ACL NFSv4. Namun, ACL NFSv4 dan ACL POSIX tidak sepenuhnya kompatibel. Interaksi antara ACL dan masker pembuatan mode file (umask) tidak dalam kondisi ideal. Sistem file NFSv3 tidak mendukung kunci. Oleh karena itu, jika Anda menggunakan ACL NFSv4, kami menyarankan Anda menggunakan protokol NFSv4 untuk memasang sistem file dan hanya mengonfigurasi ACL NFSv4 untuk sistem file tersebut. Kami menyarankan Anda untuk tidak menggunakan umask atau ACL POSIX bersamaan dengan ACL NFSv4. Untuk informasi lebih lanjut tentang fitur ACL NFS NAS, lihat Fitur.

Untuk informasi lebih lanjut tentang cara mengaktifkan fitur ACL NFS untuk sistem file NFS, lihat Ikhtisar.

ACL POSIX

Protokol NFSv3 mengimplementasikan kontrol akses dengan menggunakan umask. Fitur ACL POSIX adalah ekstensi dari model izin ini. Anda dapat memberikan izin kepada pengguna dan grup tertentu selain pemilik, grup, dan kelas lainnya. Dalam sistem file, direktori atau file dapat mewarisi izin dari direktori induknya.

ACL POSIX terdiri dari sekelompok ACE. ACE menentukan izin akses pengguna tunggal atau sekelompok pengguna pada objek terkait sebagai kombinasi izin baca, tulis, dan eksekusi.

ACE terdiri dari tipe flag ACE, kualifikasi flag ACE opsional, dan serangkaian izin. Setiap kelompok ACE dipisahkan oleh tiga titik dua (:) dalam format berikut: default:type:permissions.

default: warisan-direktori
Mengidentifikasi ACE yang diwariskan dari sebuah direktori. Hanya direktori yang mendukung jenis ACE ini.

type: tipe flag ACE

ACL POSIX mendukung enam jenis ACE, masing-masing diwakili oleh satu pengenal. Nilai hanya bisa satu jenis ACE.

Tipe ACE	Pengenal	Deskripsi
ACL_USER_OBJ	`user:`	Pemilik file.
ACL_USER	`user:uid`	Pengguna kustom. Contoh: `owner:admini`.
ACL_GROUP_OBJ	`group:`	Grup pengguna.
ACL_GROUP	`group:uid`	Grup pengguna kustom. Contoh: `group:players`.
ACL_MASK	`mask:`	Izin ACE maksimum untuk pengguna kustom, grup pengguna, dan grup pengguna kustom.
ACL_OTHER	`other:`	Pengguna lainnya.

permissions
Bit izin
Deskripsi
r
Izin baca.
w
Izin tulis.
x
Izin untuk mengeksekusi file atau masuk ke direktori.
-
Tidak ada izin.
Untuk informasi lebih lanjut tentang ACL POSIX, lihat acl - Halaman Manual Linux.

ACL NFSv4

Fitur ACL NFSv4 adalah ekstensi dari protokol NFSv4. Dibandingkan dengan ACL POSIX, ACL NFSv4 menyediakan kontrol akses yang lebih halus.

ACE dari ACL NFSv4 berada dalam format berikut: type:flags:principal:permissions.

type: Tipe ACE

ACL NFSv4 mendukung empat jenis ACE, masing-masing diwakili oleh satu pengenal. Nilai hanya bisa satu jenis ACE.

Tipe	Pengenal	Deskripsi
Allow	A	Mengizinkan. ACL yang diizinkan.
Deny	D	Menolak. ACL yang ditolak.
Audit	U	Audit. Catat semua rekaman akses yang memerlukan izin. Salah satu atau kedua flag akses berhasil dan akses gagal diperlukan. Hanya beberapa sistem yang mendukung jenis ACE ini.
Alarm	L	Peringatan. Buat peringatan sistem untuk setiap akses yang memerlukan izin. Salah satu atau kedua flag akses berhasil dan akses gagal diperlukan. Hanya beberapa sistem yang mendukung jenis ACE ini.

flags

Tersedia tiga jenis flag ACE: grup, pewarisan, dan administratif.

Flag	Pengenal	Deskripsi
grup	g	Grup pengguna.
direktori-warisan	d	Direktori mewarisi ACE. Subdirektori baru mewarisi ACE.
file-warisan	f	File mewarisi ACE. File baru mewarisi ACE, dan flag pewarisan dihapus dari file. Subdirektori baru mewarisi ACE. Jika direktori-warisan tidak ditentukan dalam ACE induk, warisan-saja ditambahkan ke ACE yang diwariskan.
warisan-saja	i	ACE tidak dipertimbangkan dalam pemeriksaan izin, tetapi dapat diwariskan. Namun, flag "warisan-saja" dihapus dari ACE yang diwariskan.
tidak-propagasi-warisan	n	Subdirektori baru mewarisi ACE, dan flag pewarisan dihapus dari file.
akses-berhasil	S	Aktifkan peringatan ketika prinsipal diizinkan melakukan operasi yang diizinkan oleh izin. Flag akses-berhasil dan akses-gagal diperlukan.
akses-gagal	F	Aktifkan audit ketika prinsipal dicegah melakukan operasi yang diizinkan oleh izin. Flag akses-berhasil dan akses-gagal diperlukan.

principal
Objek yang dapat melakukan operasi pada file, seperti OWNER@, GROUP@, EVERYONE@, dan objek tertentu yang ditentukan.

permissions

Catatan

Izin minimal default untuk prinsipal OWNER adalah tTnNcCy.
Izin minimal default untuk prinsipal GROUP dan EVERYONE adalah tncy.

ACL NFSv4 untuk File

Bit Izin	Fungsionalitas	Catatan Penggunaan
r	Membaca file.	Tidak ada.
w	Menulis atau membuat file.	Izin w berlaku hanya jika baik izin w maupun a ditentukan.
a	Menambahkan data ke file yang ada.	Izin a berlaku hanya jika baik izin w maupun a ditentukan.
x	Menjalankan file.	Izin x berlaku hanya jika baik izin r maupun x ditentukan.
d	Menghapus file.	Izin d tidak valid dalam ACL NFSv4. Jika Anda memiliki izin w dan x pada direktori induk, Anda dapat menghapus file saat ini tanpa memandang apakah izin d valid pada file.
D	-	Anda tidak dapat menetapkan izin D pada file. Perintah nfs4_setfacl D disaring oleh klien.
t	Membaca atribut file.	Ini adalah salah satu dari empat izin minimal default. Anda tidak diizinkan mencabut izin ini.
T	Memodifikasi atribut file.	Tidak ada.
n	Membaca atribut bernama file.	Ini adalah salah satu dari empat izin minimal default. Anda tidak diizinkan mencabut izin ini.
N	Memodifikasi atribut bernama file.	Anda tidak dapat memodifikasi atribut bernama file dalam sistem file NFS. Izin N tidak valid.
c	Membaca ACL file.	Ini adalah salah satu dari empat izin minimal default. Anda tidak diizinkan mencabut izin ini.
C	Memodifikasi ACL file.	Tidak ada.
o	Mengubah pemilik file.	Jika Anda memiliki izin o, Anda dapat mengubah pemilik file menjadi diri sendiri. Namun, Anda tidak dapat mengubah pemilik file menjadi orang lain kecuali Anda adalah pengguna root.
y	Mengizinkan akses sinkron.	Ini adalah salah satu dari empat izin minimal default. Anda tidak diizinkan mencabut izin ini.

ACL NFSv4 untuk Direktori

Bit Izin	Fungsionalitas	Catatan Penggunaan
r	Membaca direktori.	Tidak ada.
w	Membuat file atau direktori.	Izin w saja tidak valid. Fungsionalitas izin w diimplementasikan oleh izin D. Oleh karena itu, izin w berlaku hanya jika izin D dan x ditentukan.
a	Membuat subdirektori.	Izin a saja tidak valid. Fungsionalitas izin a diimplementasikan oleh izin D. Oleh karena itu, izin a berlaku hanya jika izin D dan x ditentukan.
x	Memasuki direktori.	Tidak ada.
d	Menghapus direktori.	Izin d tidak valid dalam ACL NFSv4. Jika Anda memiliki izin w dan x pada direktori induk, Anda dapat menghapus direktori saat ini tanpa memandang apakah izin d valid pada subdirektori.
D	Menghapus subfile atau subdirektori dari direktori.	Izin D berlaku hanya jika izin D dan X ditentukan.
t	Membaca atribut direktori.	Ini adalah salah satu dari empat izin minimal default. Anda tidak diizinkan mencabut izin ini.
T	Memodifikasi atribut direktori.	Tidak ada.
n	Membaca atribut bernama direktori.	Ini adalah salah satu dari empat izin minimal default. Anda tidak diizinkan mencabut izin ini.
N	Memodifikasi atribut bernama direktori.	Anda tidak dapat memodifikasi atribut bernama file dalam sistem file NFS. Izin N tidak valid.
c	Membaca ACL direktori.	Ini adalah salah satu dari empat izin minimal default. Anda tidak diizinkan mencabut izin ini.
C	Memodifikasi ACL direktori.	Tidak ada.
o	Mengubah pemilik file.	Jika Anda memiliki izin o, Anda dapat mengubah pemilik file menjadi diri sendiri. Namun, Anda tidak dapat mengubah pemilik file menjadi orang lain kecuali Anda adalah pengguna root.
y	Mengizinkan akses sinkron.	Ini adalah salah satu dari empat izin minimal default. Anda tidak diizinkan mencabut izin ini.

Untuk informasi lebih lanjut tentang ACL NFSv4, lihat nfs4_acl - Halaman Manual Linux.

Catatan penggunaan untuk ACL POSIX

Konfigurasi ACL
- Kami menyarankan Anda menggunakan metode default yang memungkinkan subdirektori atau file mewarisi ACL dari direktori induk. Dengan demikian, Anda tidak perlu mengonfigurasi ACL lain ketika membuat file baru atau subdirektori di direktori induk.
- Berhati-hatilah saat mengonfigurasi ACL dengan menggunakan metode rekursif (setfacl -R). Sejumlah besar metadata dihasilkan ketika Anda menerapkan ACL secara rekursif ke direktori yang berisi sejumlah besar file dan subdirektori. Ini dapat memengaruhi bisnis Anda secara negatif.
- Sebelum mengonfigurasi ACL, kami menyarankan Anda mengelola grup dan izin terkait. Misalnya, Anda dapat menambahkan pengguna ke satu atau lebih grup. Untuk menambahkan, menghapus, atau mengubah izin untuk pengguna, Anda dapat memindahkan pengguna ke grup yang memiliki izin yang diperlukan. Anda hanya perlu memodifikasi ACL grup jika struktur grup berubah. Kami menyarankan Anda mengonfigurasi ACL untuk grup daripada pengguna individu. Ini adalah metode sederhana dan hemat waktu untuk menerapkan kontrol akses.
- Anda dapat menerapkan ACL POSIX ke pengguna atau grup yang mengakses sistem file dari beberapa klien. NAS mengidentifikasi pengguna atau grup berdasarkan ID pengguna (UID) atau ID grup (GID). Oleh karena itu, Anda harus menetapkan UID atau GID yang sama untuk pengguna atau grup pada klien.
Penggunaan ACL
- Sistem file memindai semua ACE setiap kali melakukan pemeriksaan izin. Untuk memastikan kinerja optimal, kami menyarankan Anda mempertahankan jumlah ACE seminimal mungkin. Jika ACL redundan ada, kinerja sistem file akan menurun.
Izin Kelas Lain
- Semua pengguna memiliki izin yang diberikan kepada kelas lain. Oleh karena itu, kami menyarankan Anda memberikan izin minimal kepada kelas lain. Jika kelas lain memiliki lebih banyak izin daripada ACE, kerentanan keamanan mungkin ada.
- Kami menyarankan Anda memberikan izin minimal kepada kelas lain. Sebelum membuat file atau direktori, jalankan perintah umask 777. Perintah ini menetapkan umask ke 000 dan memastikan bahwa file atau direktori baru memiliki izin minimal. Untuk informasi lebih lanjut, lihat umask dan mode default.
- Setelah Anda mengaktifkan fitur ACL POSIX, kelas lain dipindahkan ke kategori pengguna everyone@ dan umask juga ditetapkan. Ketika NAS melakukan pemeriksaan izin, NAS memperlakukan kelas lain sebagai everyone.

Catatan penggunaan untuk ACL NFSv4

Konfigurasi ACL
- Gunakan UID atau GID, seperti UID 1001, untuk mengonfigurasi ACL.
- Kami menyarankan Anda menggunakan metode default yang memungkinkan subdirektori atau file mewarisi ACL dari direktori induk. Dengan demikian, Anda tidak perlu mengonfigurasi ACL lain ketika membuat file atau subdirektori di direktori induk.
- Berhati-hatilah saat mengonfigurasi ACL dengan menggunakan metode rekursif (nfs4_setfacl -R). Sejumlah besar metadata dihasilkan ketika Anda menerapkan ACL secara rekursif ke direktori yang berisi sejumlah besar file dan subdirektori. Ini dapat memengaruhi bisnis Anda secara negatif.
Penggunaan ACL
- Sistem file memindai semua ACE setiap kali melakukan pemeriksaan izin. Untuk memastikan kinerja optimal, kami menyarankan Anda mempertahankan jumlah ACE seminimal mungkin. Jika ACL redundan ada, kinerja sistem file akan menurun.
ACE dalam ACL
- Kami menyarankan Anda tidak mengonfigurasi umask bersamaan dengan ACL NFSv4.
- Perintah nfs4_setfacl menyediakan beberapa opsi seperti opsi -a, -x, dan -m untuk menambahkan, menghapus, dan memodifikasi ACE. Kami menyarankan Anda menjalankan perintah nfs4_setfacl -e <file> untuk mengedit ACL di editor.
- ACL NFSv4 mendukung izin halus. Dalam kebanyakan kasus, kontrol izin berdasarkan izin tulis halus tidak diperlukan. Misalnya, jika pengguna memiliki akses write-data (w) ke file tetapi tidak memiliki akses append-data (a), kesalahan mungkin terjadi ketika pengguna menulis data ke file. Masalah yang sama terjadi untuk direktori. Untuk mencegah kesalahan izin yang tidak terduga, kami menyarankan Anda menentukan huruf kapital W ketika menjalankan perintah nfs4_setfacl untuk mengonfigurasi ACL. Perintah nfs4_setfacl menentukan akses tulis penuh. Untuk file, W diperluas menjadi wadT. Untuk direktori, W diperluas menjadi wadTD.
- Sebelum mengonfigurasi ACL, kami menyarankan Anda mengelola grup dan izin terkait. Misalnya, Anda dapat menambahkan pengguna ke satu atau lebih grup. Untuk menambahkan, menghapus, atau mengubah izin untuk pengguna, Anda dapat memindahkan pengguna ke grup yang memiliki izin yang diperlukan. Anda hanya perlu memodifikasi ACL grup jika struktur grup berubah. Kami menyarankan Anda mengonfigurasi ACL untuk grup daripada pengguna individu. Ini adalah metode sederhana dan hemat waktu untuk menerapkan kontrol akses.
- ACL NFSv4 NAS mendukung ACE Allow daripada ACE Deny. Semua pengguna memiliki izin yang diberikan kepada everyone. Oleh karena itu, kami menyarankan Anda memberikan izin minimal kepada everyone. Jika everyone memiliki lebih banyak izin daripada ACE, kerentanan keamanan mungkin ada.

Konfigurasikan fitur ACL NFS

Gunakan Konsol NAS

Aktifkan Fitur ACL NFS

Masuk ke Konsol NAS.
Di bilah navigasi di sebelah kiri, pilih File System > File System List.
Di bilah navigasi atas, pilih wilayah.
Di halaman File System List, temukan sistem file dan klik ID sistem file atau klik Manage di kolom Tindakan.
Klik tab Access Control dan klik Enable untuk mengaktifkan fitur ACL NFS.

Nonaktifkan Fitur ACL NFS

Di tab Access Control, klik Off (keadaan default) untuk menonaktifkan fitur ACL NFS.

Panggil Operasi API

Panggil operasi EnableNfsAcl untuk mengaktifkan fitur ACL NFS.
Panggil operasi DisableNfsAcl untuk menonaktifkan fitur ACL NFS.

Setelah Anda mengaktifkan fitur ACL NFS, Anda dapat menggunakan ACL POSIX atau ACL NFSv4 untuk mengelola izin file dan direktori.

Untuk informasi lebih lanjut tentang cara melakukan kontrol akses untuk sistem file yang dipasang menggunakan protokol NFSv3, lihat Gunakan ACL POSIX untuk Kontrol Akses.
Untuk informasi lebih lanjut tentang cara melakukan kontrol akses untuk sistem file yang dipasang menggunakan protokol NFSv4, lihat Gunakan ACL NFSv4 untuk Kontrol Akses.

Bit izin	Deskripsi
r	Izin baca.
w	Izin tulis.
x	Izin untuk mengeksekusi file atau masuk ke direktori.
-	Tidak ada izin.