All Products
Search
Document Center

File Storage NAS:SMB ACL untuk Penyimpanan File NAS

Last Updated:Apr 23, 2026

Topik ini menjelaskan izin direktori root default, fitur utama, serta cara kerja daftar kontrol akses (ACL) untuk sistem file SMB dalam Penyimpanan File NAS.

Latar Belakang

Daftar kontrol akses (ACL) merupakan fitur penting di lingkungan enterprise. Ketika sistem file SMB tidak terhubung ke domain Active Directory (AD), ACL bersifat read-only, dan pengguna hanya dapat masuk dengan identitas anonim (Everyone). Layanan SMB untuk Penyimpanan File NAS mendukung otentikasi berbasis identitas dan kontrol akses tingkat sistem file melalui domain AD. Anda dapat menghubungkan layanan AD yang dikelola sendiri ke sistem file SMB, sehingga memungkinkan pemasangan sistem file menggunakan identitas domain AD atau sebagai Everyone, lalu mengonfigurasi izin ACL untuk file dan folder.

Izin direktori root default

Gambar berikut menunjukkan izin default untuk direktori root sistem file SMB dengan ACL diaktifkan.SMB_ACL_default_value

  • Rasional desain izin default

    • Entri ACL SYSTEM dan Administrators diselaraskan dengan izin Windows NTFS untuk memastikan aplikasi yang memerlukan hak istimewa administrator dapat berjalan dengan benar. Setelah Anda mengintegrasikan dengan RAM, hal ini juga memungkinkan pemberian hak istimewa administrator kepada super admin.

    • Izin CREATOR OWNER mengaktifkan pewarisan, yang juga selaras dengan izin Windows NTFS.

    • Anda dapat mengonfigurasi pengaturan SMB ACL untuk mengatur Allow Anonymous Access menjadi Off. Hal ini mencegah akses oleh identitas Everyone dan hanya mengizinkan pengguna yang telah diautentikasi domain untuk mengakses sistem file.

  • Kompatibilitas dengan kebiasaan pengguna yang sudah ada

    • Untuk mendukung pengguna yang tidak menggunakan domain AD, identitas Everyone diberikan Full Control atas file dan folder yang dibuat sebelum fitur AD diaktifkan. Hal ini memastikan pengguna tersebut tidak terganggu. Pengguna tanpa domain AD dapat memasang sistem file sebagai Everyone melalui protokol NTLM dan mengakses konten yang dimiliki oleh Everyone.

    • File atau folder yang dibuat oleh pengguna AD baru tidak mewarisi izin dari Everyone. Oleh karena itu, pengguna tanpa domain AD tidak dapat mengakses sumber daya baru ini. Hanya pembuat dan administrator yang dapat mengaksesnya.

    • Pengguna AD dapat mengakses file dan folder yang dibuat oleh pengguna tanpa domain AD (yaitu, sebagai Everyone).

Fitur SMB ACL

Pemasangan dengan beberapa identitas tidak didukung

Dalam satu sesi Windows, Anda hanya dapat memasang sistem file dengan satu identitas. Misalnya, setelah memasang sistem file SMB dengan identitas domain tertentu (misalnya USER A), Anda tidak dapat memasang ulang dengan identitas berbeda (misalnya USER C) dalam sesi Windows yang sama. Upaya melakukan hal tersebut akan menghasilkan kesalahan berikut:Connect_existed_network

Akses darurat (break-glass access)

Jika pengguna jahat menghapus izin administrator dan pengguna lain sehingga file atau folder menjadi tidak dapat diakses, Anda harus memasang sistem file dengan identitas administrator untuk memulihkan izin tersebut.

Penyimpanan File NAS menyediakan fitur super admin untuk sistem file SMB. Anda dapat mengonfigurasi pengguna atau kelompok sebagai super admin di Konsol. Super admin dapat melihat dan mengubah file apa pun beserta izinnya, melewati pemeriksaan izin yang ada. Misalnya, jika pengguna jahat mengubah pemilik folder menjadi dirinya sendiri dan menetapkan aturan "Deny Everyone", super admin dapat memulihkan izin yang benar.

Catatan

Setelah Anda memperbarui pengaturan super admin di Konsol, Anda harus memasang ulang sistem file SMB.

Integrasi Cygwin

Cygwin menyediakan lingkungan POSIX yang kompatibel dan berjalan di Windows untuk menjalankan aplikasi POSIX. Setelah Anda mengaktifkan ACL SMB, identifier keamanan pengguna (SIDs), SIDs kelompok, dan DACL Windows (DACLs) diterjemahkan menjadi UID POSIX (user ID), GID POSIX (group ID), dan ACL POSIX di Cygwin. Untuk detail lebih lanjut mengenai terjemahan ini, lihat Cygwin ntsec.html.

  • Tambahkan opsi noacl ke /etc/fstab seperti yang ditunjukkan pada gambar berikut.nacal

    Ketika opsi noacl ditambahkan, Cygwin tidak melakukan terjemahan ACL yang kompleks. Sebagai gantinya, Cygwin menerapkan mode default ke file dan folder baru. USER dan GROUP diatur ke nama pengguna dan kelompok dari pengguna Windows yang sedang login. Aturan dasarnya adalah sebagai berikut:

    • Mode default, UID, dan GID untuk folder adalah 755.

      drwxr-xr-x 1 cat Domain Users 0 Jul 25 06:18 dir
    • Mode default, UID, dan GID untuk file adalah 644.

      -rw-r--r-- 1 cat Domain Users 0 Jul 25 06:42 file
    • Mode untuk file dapat berupa 644 atau 444.

      Jika mode-nya 444, file tersebut memiliki atribut DOS Read-only yang diaktifkan. Opsi noacl hanya menerjemahkan atribut DOS Read-only file tersebut.

    • Perintah chmod tidak dapat mengubah izin folder, tetapi dapat mengubah mode file menjadi 644 atau 444.

    • Perintah chown dan chgrp tidak berpengaruh.

    • Perintah getfacl dan setfacl tidak didukung.

    • Karena izin folder di klien selalu ditampilkan sebagai 755 dan izin file hanya ditampilkan sebagai 644 atau 444, klien mungkin menunjukkan bahwa akses diizinkan, tetapi server akan menolak permintaan tersebut.

  • Gunakan opsi acl di /etc/fstab

    Secara default, sistem file SMB dipasang dengan izin Everyone, yang sesuai dengan OTHER di Cygwin. Saat membuat file atau folder, Cygwin berperilaku seperti Linux dan secara otomatis menjalankan operasi chmod untuk mengatur mode default. Karena izin OTHER default untuk folder adalah r-x dan untuk file adalah r--, Everyone hanya memiliki izin r-x atau r--. Akibatnya, Everyone tidak dapat membuat file baru di folder baru, dan file baru bersifat read-only untuk Everyone.

    Oleh karena itu, kami sangat menyarankan menggunakan opsi noacl alih-alih opsi acl saat bekerja dengan Cygwin.

AD dan ACL pada sistem Linux

  • Saat Anda memasang sistem file di Linux menggunakan mount -t cifs, Anda dapat menentukan identitas pengguna domain untuk pemasangan, serta GID file, UID, mode file, dan mode direktori.

  • Saat menggunakan sistem file, klien melakukan pemeriksaan izin POSIX dasar berdasarkan UID, GID yang dipasang, dan identitas pengguna yang sedang login.

  • Di server file, terlepas dari UID atau GID pengguna Linux, operasi dipetakan ke identitas pengguna domain yang sesuai. Pengguna root Linux tidak memiliki hak istimewa administrator; ia hanya memiliki izin dari pengguna domain tersebut. Perintah izin Linux seperti chmod, chown, chgrp, getfacl, dan setfacl tidak berpengaruh.

Untuk informasi lebih lanjut, lihat Memasang dan menggunakan sistem file SMB sebagai pengguna AD pada klien Linux.

Cara kerja

Penyimpanan File NAS mendukung manajemen pengguna dan kontrol akses sistem file menggunakan pengontrol domain AD yang berlokasi di virtual private cloud (VPC) atau pusat data lokal Anda. Hal ini mengintegrasikan otentikasi pengguna dan kontrol akses untuk lingkungan cloud hibrida. Layanan SMB untuk Penyimpanan File NAS menggunakan Kerberos untuk mengotentikasi pengguna AD terhadap pengontrol domain AD Anda, baik yang ditempatkan di lokasi maupun di Alibaba Cloud. Pengguna dapat terhubung ke dan mengakses sistem file SMB sebagai pengguna domain dari server Windows atau Linux yang telah bergabung ke domain. Server file mengenali identitas domain pengguna untuk menerapkan kontrol akses tingkat direktori dan tingkat file.

Proses berikut menguraikan cara kerja otentikasi identitas dan kontrol akses dengan ACL SMB:

NAS_基于AD域系统的用户认证及访问控制

  1. Buat file keytab. Untuk informasi lebih lanjut, lihat Gabungkan titik pemasangan SMB ke domain AD.

  2. Aktifkan fitur SMB AD ACL dan unggah file keytab untuk menggabungkan titik pemasangan SMB ke domain AD. Untuk informasi lebih lanjut, lihat Langkah 2: Unggah file keytab.

    Setelah file keytab diunggah, informasinya disimpan ke sistem file Penyimpanan File NAS. Titik pemasangan SMB kini telah bergabung ke domain AD, dan Anda dapat memasang serta menggunakan sistem file SMB sebagai pengguna AD. Untuk informasi lebih lanjut, lihat Memasang dan menggunakan sistem file SMB sebagai pengguna AD pada klien Windows atau Memasang dan menggunakan sistem file SMB sebagai pengguna AD pada klien Linux.

  3. Mengotentikasi pengguna dan mengontrol akses dari klien.

    Saat pengguna mencoba terhubung ke sistem file SMB dari VM di VPC atau aplikasi di pusat data lokal, sistem terlebih dahulu memvalidasi koneksi menggunakan grup izin. Grup izin mengontrol konektivitas dan akses klien berdasarkan aturannya. Selanjutnya, otentikasi pengguna dan kontrol akses berlangsung sebagai berikut:

    1. Setelah koneksi ke sistem file terbentuk, klien dan server melakukan negosiasi protokol otentikasi melalui SMB.

    2. Server file memeriksa konfigurasi sistem file untuk memverifikasi bahwa otentikasi Kerberos diaktifkan.

    3. Klien mengirim permintaan ke pengontrol domain AD (di VPC atau pusat data Anda) untuk mengakses layanan sistem file Alibaba Cloud.

    4. Pengontrol domain AD mengotentikasi pengguna, mengenkripsi informasi pengguna dengan kunci akun layanan untuk layanan sistem file, lalu mengembalikan informasi terenkripsi tersebut ke klien.

    5. Klien mengirim informasi pengguna terenkripsi ke server file SMB dalam permintaan SMB Session Setup.

    6. Server file mendekripsi informasi pengguna menggunakan file keytab yang disediakan untuk sistem file tersebut.

      Catatan

      Semua permintaan akses selanjutnya dalam sesi ini diberi otorisasi sebagai pengguna ini.

    7. Jika otentikasi berhasil, server file mengembalikan tanggapan sukses ke klien. Jika tidak, server file menolak permintaan Session Setup.

    8. Aplikasi mengirim permintaan akses file (seperti baca, tulis, dan lainnya) ke server file.

    9. Server file mengembalikan hasil akses ke klien.

      Server file menerapkan kontrol akses. Berdasarkan informasi pengguna dalam sesi dan izin ACL yang dikonfigurasi pada direktori atau file, server mengizinkan atau menolak akses.