全部产品
Search

搜索本产品

    File Storage NAS:Ikhtisar Fitur SMB ACL

    文档中心

    File Storage NAS:Ikhtisar Fitur SMB ACL

    更新时间:Jul 02, 2025

    File Storage NAS mendukung daftar kontrol akses (ACL) untuk sistem file Server Message Block (SMB). Topik ini menjelaskan ACL default dari direktori root, fitur terkait, serta prinsip kerja fitur SMB ACL.

    Informasi latar belakang

    Fitur SMB ACL dirancang untuk pengguna perusahaan. Jika sistem file SMB tidak terhubung ke domain Active Directory (AD), ACL sistem file SMB bersifat hanya-baca. Anda dapat mengakses sistem file SMB sebagai anggota grup Everyone. NAS memungkinkan Anda mengotentikasi pengguna dan mengontrol akses ke sistem file SMB berdasarkan domain AD. Anda dapat menghubungkan sistem file SMB ke domain AD yang dikelola sendiri. Setelah itu, Anda dapat memasang sistem file SMB dan mengonfigurasi ACL untuk file dan direktori sebagai pengguna domain AD atau anggota grup Everyone.

    ACL Default Direktori Root dalam Sistem File SMB

    Gambar berikut menunjukkan ACL default dari direktori root dalam sistem file SMB.SMB_ACL_default_value

    • Pertimbangan

      • Untuk menyelaraskan dengan izin Windows NTFS, entri kontrol akses (ACE) SYSTEM dan Administrators digunakan. ACE ini memastikan bahwa aplikasi dengan izin administrator berjalan sesuai harapan. Setelah Anda mengintegrasikan NAS dengan Resource Access Management (RAM), Anda dapat memberikan izin administrator kepada admin super.

      • Untuk menerapkan pewarisan dan menyesuaikan dengan izin Windows NTFS, ACE CREATOR OWNER juga digunakan.

      • Anda dapat memodifikasi pengaturan ACL sistem file SMB. Sebagai contoh, Anda dapat mengatur parameter Allow Anonymous Access menjadi No. Dengan cara ini, hanya pengguna domain AD yang dapat mengakses sistem file SMB, dan identitas grup Everyone tidak dapat mengaksesnya.

    • Kompatibilitas dengan Kebiasaan Pengguna

      • Untuk menghilangkan dampak pada pengguna lokal, grup Everyone diberi akses penuh ke file atau direktori yang dibuat dalam sistem file SMB sebelum Anda menghubungkan sistem file SMB ke domain AD. Semua pengguna lokal dapat memasang sistem file SMB sebagai identitas grup Everyone melalui NT LAN Manager (NTLM) dan mengakses sumber daya grup Everyone.

      • File atau subdirektori yang dibuat oleh pengguna AD tidak mewarisi izin grup Everyone. Pengguna lokal tidak dapat mengakses file atau direktori tersebut. Hanya anggota grup CREATOR OWNER dan Administrators yang dapat mengaksesnya.

      • Pengguna AD dapat mengakses file atau direktori yang dibuat oleh pengguna lokal, yang menggunakan identitas grup Everyone.

    Fitur Utama

    Sistem file SMB tidak dapat dipasang menggunakan beberapa identitas

    Anda hanya dapat memasang sistem file SMB menggunakan satu identitas dalam sesi Windows. Jika Anda masuk ke klien Windows dan memasang sistem file SMB menggunakan identitas domain (Pengguna A atau Pengguna B), Anda tidak dapat memasang sistem file SMB menggunakan identitas domain lainnya (misalnya, Pengguna C) dalam sesi Windows ini. Jika Anda mencoba memasang sistem file SMB menggunakan identitas berbeda, pesan kesalahan berikut akan muncul.Connect_existed_network

    Memastikan keamanan data

    Anda mungkin tidak dapat mengakses file atau direktori ketika pengguna tidak sah mencabut izin grup Administrators dan Everyone dari file atau direktori tersebut. Dalam hal ini, Anda harus memasang ulang sistem file SMB tempat file atau direktori tersebut berada dan memberikan izin pada file atau direktori sebagai administrator.

    Sistem file SMB mendukung fitur admin super. Di konsol NAS, Anda dapat menentukan pengguna atau grup sebagai admin super. Anda dapat melihat file, memodifikasi file, atau memodifikasi izin file sebagai admin super tanpa memandang izin apa pun yang diberikan pada file. Sebagai contoh, jika pengguna tidak sah mengambil alih kepemilikan direktori dan mencabut izin akses pada direktori dari grup Everyone, Anda dapat mengembalikan izin ke izin sebelumnya sebagai admin super.

    Catatan

    Setelah Anda mengaktifkan fitur admin super untuk sistem file SMB, Anda harus memasang ulang sistem file SMB.

    Menggunakan Cygwin

    Cygwin adalah lingkungan pemrograman dan runtime yang kompatibel dengan POSIX yang berjalan di Windows. Anda dapat menjalankan aplikasi berbasis POSIX di lingkungan Cygwin. Setelah Anda mengaktifkan fitur SMB ACL, Pengenal Keamanan (SID) file, SID grup, dan Daftar Kontrol Akses Discretionary Windows (DACL) dikonversi menjadi ID pengguna POSIX (UID), ID grup (GID), dan ACL. Untuk informasi lebih lanjut, lihat Cygwin ntsec.html.

    • Tambahkan opsi noacl ke file /etc/fstab, seperti yang ditunjukkan pada gambar berikut.nacal

      Dengan cara ini, Cygwin dapat digunakan untuk menyederhanakan proses konversi ACL yang kompleks dan mengaktifkan umask default untuk file dan direktori baru. UID dan GID menunjukkan pengguna dan grup Windows. Perhatikan aturan dasar berikut:

      • Umask default untuk direktori adalah 755.

        drwxr-xr-x 1 cat Domain Users 0 Jul 25 06:18 dir

      • Umask default untuk file adalah 644.

        -rw-r--r-- 1 cat Domain Users 0 Jul 25 06:42 file

      • Umask untuk file bisa 644 atau 444.

        Jika Anda mengatur umask menjadi 444, atribut baca-saja DOS ditentukan. Opsi noacl memungkinkan Anda mengonversi atribut baca-saja DOS hanya untuk file.

      • Anda tidak dapat menjalankan perintah chmod untuk mengubah izin pada direktori. Anda dapat menjalankan perintah chmod untuk mengatur umask untuk file menjadi 644 atau 444.

      • Perintah chown atau chgrp tidak didukung.

      • Perintah getfacl atau setfacl tidak didukung.

      • Umask untuk direktori yang berada di klien SMB adalah 755. Umask untuk file adalah 644 atau 444. Dalam kasus tertentu, akses ke objek ditolak oleh NAS meskipun keluaran perintah pada klien menunjukkan bahwa Anda dapat mengakses objek tersebut.

    • Tambahkan opsi acl ke file /etc/fstab.

      Secara default, identitas grup Everyone digunakan untuk memasang sistem file SMB. Grup Everyone sesuai dengan kelas lain dalam lingkungan Cygwin. Setelah Anda membuat file atau direktori di lingkungan Cygwin, Cygwin secara otomatis menjalankan perintah chmod untuk menentukan umask default untuk file atau direktori baru. Linux juga melakukan operasi serupa pada file atau direktori. Berdasarkan aturan yang disebutkan sebelumnya, Linux memberikan kelas lain izin r-x pada direktori dan izin r-- pada file. Dengan cara ini, grup Everyone hanya diberi izin r-x pada direktori baru dan izin r-- pada file baru. Identitas grup Everyone tidak dapat digunakan untuk membuat file di direktori baru.

      Kami merekomendasikan agar Anda mengaktifkan opsi noacl daripada opsi acl di lingkungan Cygwin.

    Menggunakan AD dan ACL di Linux

    • Jika Anda menjalankan perintah mount -t cifs untuk memasang sistem file SMB di Linux, Anda dapat menentukan pengguna domain AD dan mengonfigurasi parameter. Parameter tersebut mencakup GID, UID, umask default untuk file baru, dan umask default untuk direktori baru.

    • Ketika Anda mengakses sistem file SMB, klien Linux memeriksa izin POSIX berdasarkan UID, GID, dan identitas asli Anda.

    • Tidak peduli pengguna Linux mana yang Anda gunakan untuk mengakses sistem file SMB, semua operasi Anda dilakukan di sisi NAS sebagai pengguna domain AD. Pengguna root hanya diberi izin pengguna domain AD dan bukan izin administrator. Perintah terkait izin tidak tersedia di Linux. Perintah ini mencakup chmod, chown, chgrp, getfacl, dan setfacl.

    Untuk informasi lebih lanjut, lihat Pasang dan gunakan sistem file SMB pada klien Linux sebagai pengguna domain AD.

    Prinsip Kerja Fitur SMB ACL

    Anda dapat bergabung dengan klien SMB di virtual private cloud (VPC) dan klien SMB di pusat data ke domain AD yang sama. Kemudian, pengguna domain AD dapat digunakan untuk mengakses sistem file SMB dari klien SMB. Anda dapat menggunakan pengontrol domain AD untuk mengelola pengguna domain AD dan mengontrol akses ke sistem file SMB secara terpusat. NAS memungkinkan Anda mengotentikasi pengguna domain AD menggunakan protokol Kerberos. Ketika pengguna domain AD mencoba mengakses sistem file SMB dari server Windows atau Linux yang bertindak sebagai pengontrol domain AD, sistem file SMB memverifikasi identitas pengguna domain AD. Dengan cara ini, Anda dapat mengontrol akses dari pengguna tertentu ke file dan direktori tertentu dalam sistem file SMB.

    Gambar berikut menunjukkan proses otentikasi identitas dan kontrol akses untuk sistem file SMB dalam domain AD.

    NAS_基于AD域系统的用户认证及访问控制

    1. Buat file keytab. Untuk informasi lebih lanjut, lihat Gabungkan titik pemasangan sistem file SMB ke domain AD.

    2. Aktifkan fitur SMB ACL dan unggah file keytab untuk bergabung dengan titik pemasangan sistem file SMB ke domain AD. Untuk informasi lebih lanjut, lihat Langkah 2: Unggah file keytab.

      Kemudian, kunci yang terkandung dalam file keytab disimpan di NAS. Setelah titik pemasangan sistem file SMB bergabung ke domain AD, Anda dapat memasang dan mengakses sistem file SMB sebagai pengguna domain AD. Untuk informasi lebih lanjut, lihat Pasang dan gunakan sistem file SMB pada klien Windows sebagai pengguna domain AD atau Pasang dan gunakan sistem file SMB pada klien Linux sebagai pengguna domain AD.

    3. Otentikasi pengguna domain AD yang mencoba mengakses sistem file SMB.

      Jika pengguna domain AD dari mesin virtual (VM) di VPC atau aplikasi di pusat data mencoba mengakses sistem file SMB, NAS memeriksa apakah alamat IP pengguna domain AD diizinkan untuk mengakses sistem file berdasarkan grup izin. Kemudian, pengguna domain AD diautentikasi berdasarkan protokol Kerberos. Prosedur berikut menjelaskan proses otentikasi Kerberos:

      1. Klien mengirimkan permintaan SMB2 NEGOTIATE ke NAS.

      2. NAS memeriksa apakah otentikasi Kerberos diaktifkan untuk sistem file SMB.

      3. Klien mengirimkan permintaan untuk mengakses sistem file SMB ke pengontrol domain AD di VPC atau pusat data.

      4. Pengontrol domain AD mengotentikasi klien. Kemudian, pengontrol domain AD mengenkripsi informasi pengguna domain AD menggunakan kunci yang terkandung dalam file keytab, dan mengirimkan informasi pengguna terenkripsi ke klien.

      5. Klien mengirimkan permintaan SMB2 SESSION_SETUP ke NAS. Pesan permintaan mencakup informasi pengguna terenkripsi.

      6. NAS mendekripsi informasi pengguna terenkripsi menggunakan kunci yang terkandung dalam file keytab.

        Catatan

        Pengguna domain AD yang diautentikasi digunakan untuk semua akses berikutnya ke sistem file SMB dalam sesi.

      7. Setelah otentikasi selesai, NAS mengirimkan respons ke permintaan SMB2 SESSION_SETUP. Ini menunjukkan bahwa NAS mengizinkan akses dari klien ke sistem file SMB. Jika tidak, permintaan SMB2 SESSION_SETUP ditolak.

      8. Klien mengirimkan permintaan baca, tulis, dan lainnya ke sistem file SMB.

      9. NAS mengembalikan hasil permintaan ke klien.

        NAS mengontrol akses ke sistem file SMB. NAS menolak atau mengizinkan permintaan berdasarkan informasi pengguna dalam sesi dan ACL file dan direktori dalam sistem file SMB.