Azure NetApp Files는 NFSv4.1 볼륨에서 ACL(액세스 제어 목록)을 지원합니다. ACL은 NFSv4.1을 통해 세분화된 파일 보안을 제공합니다.
ACL에는 개별 사용자 또는 그룹의 권한(읽기, 쓰기 등)을 지정하는 ACE(액세스 제어 엔터티)가 포함되어 있습니다. 사용자 역할을 할당할 때 Active Directory 도메인에 조인된 Linux VM을 사용하는 경우 사용자 이메일 주소를 제공합니다. 그렇지 않으면 사용자 ID를 제공하여 권한을 설정합니다.
Azure NetApp Files의 ACL에 대해 자세히 알아보려면 NFSv4.x ACL 이해를 참조하세요.
요구 사항
ACL은 NFS4.1 볼륨에서만 구성할 수 있습니다. NFSv3에서 NFSv4.1로 볼륨을 변환할 수 있습니다.
두 개의 패키지가 설치되어 있어야 합니다.
-
NFS 볼륨을 탑재하는
nfs-utils -
nfs-acl-toolsNFSv4 ACL을 보고 수정합니다. 둘 중 하나가 없으면 다음을 설치합니다.- Red Hat Enterprise Linux 또는 SUSE Linux 인스턴스에서:
sudo yum install -y nfs-utils sudo yum install -y nfs4-acl-tools- Ubuntu 또는 Debian 인스턴스에서:
sudo apt-get install nfs-common sudo apt-get install nfs4-acl-tools
-
NFS 볼륨을 탑재하는
ACL 구성
Active Directory에 조인된 Linux VM에서 ACL을 구성하려면 Microsoft Entra 도메인에 Linux VM 조인 단계를 완료합니다.
디렉터리 또는 파일의 기존 ACL을 보려면
nfs4_getfacl <path>명령을 사용합니다.기본 NFSv4.1 ACL은 770의 POSIX 권한을 가깝게 표현한 것입니다.
-
A::OWNER@:rwaDxtTnNcCy- 소유자에 전체(RWX) 액세스 권한이 있음 -
A:g:GROUP@:rwaDxtTnNcy- 그룹에 전체(RWX) 액세스 권한이 있음 -
A::EVERYONE@:tcy- 다른 사람은 액세스할 수 없음
-
사용자에 대한 ACE를 수정하려면
nfs4_setfacl명령을 사용합니다.nfs4_setfacl -a|x A|D|U::<user|group>:<permissions_alias> <file>-
-a를 사용하여 권한을 추가합니다.-x를 사용하여 권한을 제거합니다. -
A는 액세스를 만듭니다.D는 액세스를 거부합니다.U:는 액세스 시도를 기록하기 위해 AES를 감사하는 데 사용됩니다. - Active Directory 조인 설정에서 사용자의 이메일 주소를 입력합니다. 그렇지 않으면 숫자로 된 사용자 ID를 입력합니다.
- 사용 권한 별칭에는 읽기, 쓰기, 추가, 실행 등이 포함됩니다. 사용 권한의 전체 목록은 다음을 참조하세요. NFSv4.x 권한.
다음 Active Directory에 가입된 예에서, 사용자 regan@contoso.com에게
/nfsldap/engineering에 대한 읽기, 쓰기, 실행 권한이 주어집니다.
nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering-
파일 액세스 로그에 대한 ACE를 구성하는 경우 접두사를 사용하여
U:ACE가 감사 ACE임을 나타내야 합니다. 다음 예제에서는 성공 및 실패한 액세스 시도를 위해 모든 사용자에 대해 감사 로그를 구성합니다.nfs4_setfacl -a U:fdiSF:EVERYONE@:rwaDdxtTnNcCoy /<mount_point> - 디렉터리 및 해당 내용에 ACL을 재귀적으로 적용하려면 명령과 함께
nfs4_setfacl옵션을 사용합니다-R. 이 옵션을 사용하면 지정된 디렉터리 내의 모든 파일 및 하위 디렉터리에 ACL 변경 내용이 적용됩니다.
-