Isilon OneFS 7.2 Administrationsleitfaden für die

Transcription

Isilon
OneFS
Version 7.2
Administrationsleitfaden für die
Befehlszeilenoberfläche
Copyright © 2013-2014 EMC Corporation. Alle Rechte vorbehalten.
Stand November, 2014
EMC ist der Ansicht, dass die Informationen in dieser Veröffentlichung zum Zeitpunkt der Veröffentlichung korrekt sind. Die
Informationen können jederzeit ohne vorherige Ankündigung geändert werden.
Die Informationen in dieser Veröffentlichung werden ohne Gewähr zur Verfügung gestellt.Die EMC Corporation macht keine
Zusicherungen und übernimmt keine Haftung jedweder Art im Hinblick auf die in diesem Dokument enthaltenen Informationen
und schließt insbesondere jedwede implizite Haftung für die Handelsüblichkeit und die Eignung für einen bestimmten Zweck
aus.Für die Nutzung, das Kopieren und die Verteilung der in dieser Veröffentlichung beschriebenen EMC Software ist eine
entsprechende Softwarelizenz erforderlich.
EMC², EMC und das EMC Logo sind eingetragene Marken oder Marken der EMC Corporation in den USA und anderen Ländern.
Alle anderen in diesem Dokument erwähnten Marken sind das Eigentum ihrer jeweiligen Rechtsinhaber.
Die aktuellen behördlichen Vorschriften für Ihre Produktserie können unter EMC Online-Support (https://support.emc.com)
abgerufen werden.
EMC Deutschland GmbH
Am Kronberger Hang 2a 65824 Schwalbach/Taunus
Tel.: +49 6196 4728-0
http://germany.emc.com
2
OneFS 7.2 Administrationsleitfaden für die Befehlszeilenoberfläche
INHALT
Kapitel 1
Einführung in diesen Leitfaden
27
Informationen über diesen Leitfaden.............................................................28
Isilon Scale-out-NAS – Überblick................................................................... 28
Supportquellen............................................................................................. 28
Kapitel 2
Isilon-Scale-out-NAS
29
OneFS-Speicherarchitektur............................................................................30
Isilon-Node-Komponenten.............................................................................30
Interne und externe Netzwerke...................................................................... 31
Isilon-Cluster.................................................................................................31
Clusteradministration...................................................................... 31
Quorum............................................................................................32
Aufteilen und Zusammenführen....................................................... 33
Speicherpools..................................................................................33
IP-Adressenpools............................................................................. 33
Das OneFS-Betriebssystem........................................................................... 34
Datenzugriffsprotokolle....................................................................34
Identitätsmanagement und Zugriffskontrolle....................................35
Struktur des Dateisystems.............................................................................36
Datenlayout..................................................................................... 36
Schreiben von Dateien..................................................................... 36
Lesen von Dateien............................................................................37
Metadatenlayout..............................................................................37
Sperren und Gleichzeitigkeit............................................................ 37
Striping............................................................................................ 38
Datensicherheit – Überblick.......................................................................... 38
N+M-Datensicherheit....................................................................... 39
Datenspiegelung..............................................................................40
Das Dateisystemjournal................................................................... 40
Virtuelle Hot Spares......................................................................... 40
Ausgleich zwischen Schutz und Speicherplatz................................. 40
VMware-Integration.......................................................................................41
Softwaremodule............................................................................................41
Kapitel 3
Einführung in die OneFS-Befehlszeilenoberfläche
43
Überblick über die OneFS-Befehlszeilenoberfläche....................................... 44
Syntaxdiagramme......................................................................................... 44
Universelle Optionen.....................................................................................45
Berechtigungen für die Befehlszeilenoberfläche............................................45
SmartLock-Compliancebefehlsberechtigungen..............................................49
OneFS-Zeitwerte............................................................................................52
Kapitel 4
Allgemeine Clusteradministration
53
Allgemeine Clusteradministration – Überblick...............................................54
Benutzeroberflächen.....................................................................................54
Verbinden mit dem Cluster............................................................................ 54
Anmelden bei der Webverwaltungsschnittstelle............................... 55
3
INHALT
Öffnen einer SSH-Verbindung zu einem Cluster................................ 55
Lizenzierung..................................................................................................55
Lizenzstatus.....................................................................................56
Lizenzkonfiguration..........................................................................58
Aktivieren einer Lizenz über die Befehlszeilenoberfläche................. 59
Anzeigen von Lizenzinformationen...................................................60
Aufheben einer Lizenzkonfiguration................................................. 60
Zertifikate..................................................................................................... 60
Ersetzen oder Erneuern des SSL-Zertifikats...................................... 61
Überprüfen einer SSL-Zertifikataktualisierung.................................. 62
Datenbeispiel für ein selbstsigniertes SSL-Zertifikat.........................62
Clusteridentität............................................................................................. 63
Festlegen des Clusternamens ..........................................................63
Clusterkontaktinformationen.........................................................................64
Angeben von Kontaktinformationen ................................................ 64
Datum und Uhrzeit des Clusters.................................................................... 65
Einstellen des Clusterdatums und der Clusteruhrzeit........................65
Angeben eines NTP-Zeitservers........................................................ 65
SMTP-E-Mail-Einstellungen............................................................................66
Konfigurieren von SMTP-E-Mail-Einstellungen ..................................66
Anzeigen von SMTP-E-Mail-Einstellungen......................................... 66
Konfigurieren des Beitrittsmodus des Clusters.............................................. 67
Angeben des Clusterbeitrittsmodus .................................................67
Clusterbeitrittsmodi......................................................................... 67
Dateisystemeinstellungen............................................................................. 67
Angeben der Clusterzeichencodierung............................................. 68
Aktivieren oder Deaktivieren der Nachverfolgung der Zugriffszeit .... 68
Clusterüberwachung..................................................................................... 69
Überwachen des Clusters.................................................................70
Anzeigen des Node-Status............................................................... 70
Überwachen der Clusterhardware..................................................................70
Anzeigen des Node-Hardwarestatus.................................................70
Gehäuse- und Laufwerksstatus........................................................ 70
Überprüfen des Akkustatus.............................................................. 73
SNMP-Überwachung........................................................................ 74
Events und Benachrichtigungen.................................................................... 78
Zusammengeführte Events...............................................................78
Anzeigen von Eventinformationen.................................................... 80
Reagieren auf Ereignisse.................................................................. 83
Managen der Einstellungen für die Eventbenachrichtigung...............84
Managen von Eventbenachrichtigungsregeln................................... 86
Clusterwartung..............................................................................................89
Ersetzen von Node-Komponenten.................................................... 89
Durchführen eines Upgrades von Node-Komponenten......................89
Managen der Laufwerksfirmware......................................................90
Managen von Cluster-Nodes............................................................ 94
Durchführen eines Upgrades von OneFS...........................................96
Remotesupport............................................................................................. 96
Remotesupport über SupportIQ........................................................96
Remotesupport über ESRS-Gateway............................................... 100
Befehle für die Clusteradministration.......................................................... 102
isi config........................................................................................ 102
isi email......................................................................................... 107
isi email list................................................................................... 108
isi exttools..................................................................................... 108
isi license activate......................................................................... 108
4
INHALT
isi license status............................................................................ 108
isi license unconfigure................................................................... 109
isi perfstat......................................................................................109
isi pkg create................................................................................. 109
isi pkg delete................................................................................. 109
isi pkg info..................................................................................... 110
isi pkg install................................................................................. 110
isi remotesupport connectemc modify............................................111
isi remotesupport connectemc view............................................... 112
isi services..................................................................................... 112
isi set.............................................................................................112
isi snmp.........................................................................................116
isi snmp list................................................................................... 117
isi statistics client.......................................................................... 117
isi statistics describe..................................................................... 123
isi statistics drive........................................................................... 123
isi statistics heat............................................................................126
isi statistics history........................................................................ 130
isi statistics list all......................................................................... 132
isi statistics list classes..................................................................132
isi statistics list events...................................................................133
isi statistics list nodes................................................................... 133
isi statistics list nooutput...............................................................134
isi statistics list operations............................................................ 134
isi statistics list orderby................................................................. 134
isi statistics list output...................................................................135
isi statistics list protocols.............................................................. 135
isi statistics list stats..................................................................... 136
isi statistics list totalby.................................................................. 136
isi statistics protocol......................................................................137
isi statistics pstat...........................................................................143
isi statistics query.......................................................................... 145
isi statistics system........................................................................146
isi status........................................................................................ 148
isi update.......................................................................................148
isi version...................................................................................... 149
isi_for_array...................................................................................150
isi get.............................................................................................152
isi_gather_info...............................................................................153
Ereignisbefehle........................................................................................... 158
isi events cancel............................................................................ 158
isi events list..................................................................................158
isi events notifications create.........................................................160
isi events notifications modify........................................................161
isi events notifications delete........................................................ 163
isi events notifications list............................................................. 163
isi events quiet.............................................................................. 163
isi events sendtest......................................................................... 164
isi events settings list.................................................................... 164
isi events settings set.....................................................................164
isi events show.............................................................................. 164
isi events unquiet.......................................................................... 165
Hardwarebefehle.........................................................................................165
isi batterystatus............................................................................. 165
isi devices......................................................................................166
isi servicelight status..................................................................... 167
5
INHALT
isi servicelight off...........................................................................168
isi servicelight on........................................................................... 168
isi drivefirmware status.................................................................. 168
isi firmware package...................................................................... 169
isi firmware status..........................................................................170
isi firmware update........................................................................ 171
isi readonly off............................................................................... 172
isi readonly on............................................................................... 173
isi readonly show........................................................................... 174
Kapitel 5
Zugriffszonen
175
Zugriffszonen – Überblick ...........................................................................176
Basisverzeichnisregeln für Zugriffszonen.................................................... 176
Best Practices für Zugriffszonen.................................................................. 177
Grenzwerte für Zugriffszonen.......................................................................178
Quality of Service........................................................................................ 178
Managen von Zugriffszonen........................................................................ 179
Erstellen einer Zugriffszone............................................................ 179
Verknüpfen eines IP-Adressenpools mit einer Zugriffszone.............180
Ändern einer Zugriffszone.............................................................. 180
Hinzufügen eines Authentifizierungsanbieters zu einer Zugriffszone
...................................................................................................... 180
Entfernen eines Authentifizierungsanbieters aus einer Zugriffszone
...................................................................................................... 180
Löschen einer Zugriffszone............................................................ 181
Zugriffszonenbefehle.................................................................................. 181
isi zone restrictions create............................................................. 181
isi zone restrictions delete............................................................. 182
isi zone restrictions list.................................................................. 183
isi zone zones create......................................................................183
isi zone zones delete..................................................................... 186
isi zone zones list.......................................................................... 186
isi zone zones modify.....................................................................187
isi zone zones view........................................................................ 193
Kapitel 6
Authentifizierung und Zugriffskontrolle
195
Authentifizierungs- und Zugriffskontrolle – Überblick.................................. 196
Rollenbasierter Zugriff................................................................................. 196
Rollen und Berechtigungen............................................................ 196
Datenbackup- und Wiederherstellungsberechtigungen.................. 208
Dienstprogramm für Benutzerberechtigungen................................ 209
Authentifizierung........................................................................................ 209
Unterstützte Authentifizierungsanbieter.........................................209
Authentifizierungsanbieterfunktionen............................................ 210
Kerberos-Authentifizierung.............................................................210
LDAP.............................................................................................. 211
Active Directory.............................................................................. 211
NIS.................................................................................................212
Dateianbieter................................................................................. 212
Lokaler Anbieter.............................................................................213
Datenzugriffskontrolle.................................................................................213
Autorisierung.............................................................................................. 213
SMB...............................................................................................214
NFS................................................................................................ 215
6
INHALT
Umgebungen mit gemischten Berechtigungen............................... 215
Managen von Rollen....................................................................................216
Anzeigen von Rollen.......................................................................216
Anzeigen von Benutzerrechten....................................................... 217
Erstellen und Ändern einer benutzerdefinierten Rolle..................... 217
Löschen einer benutzerdefinierten Rolle........................................ 218
Managen von Authentifizierungsanbietern.................................................. 218
Managen von LDAP-Anbietern........................................................ 218
Managen von Active Directory-Anbietern........................................ 220
Managen von NIS-Anbietern...........................................................221
Managen von Dateianbietern......................................................... 222
Managen von lokalen Benutzern und Gruppen............................... 226
Managen der MIT Kerberos-Authentifizierung................................. 230
Managen von Zugriffsberechtigungen..........................................................239
Anzeigen erwarteter Benutzerberechtigungen................................ 239
Konfigurieren von Einstellungen für das Zugriffsmanagement........ 240
Ändern der ACL-Policy-Einstellungen.............................................. 240
Aktualisieren der Clusterberechtigungen........................................241
Befehle für Authentifizierung und Zugriffskontrolle......................................241
isi auth access............................................................................... 242
isi auth ads create..........................................................................242
isi auth ads delete......................................................................... 246
isi auth ads list.............................................................................. 246
isi auth ads modify.........................................................................247
isi auth ads spn check................................................................... 251
isi auth ads spn create................................................................... 252
isi auth ads spn delete...................................................................252
isi auth ads spn list........................................................................253
isi auth ads trusts controllers list................................................... 254
isi auth ads trusts list.....................................................................254
isi auth ads trusts view.................................................................. 254
isi auth ads view............................................................................ 255
isi auth error.................................................................................. 255
isi auth file create.......................................................................... 255
isi auth file delete.......................................................................... 259
isi auth file list............................................................................... 259
isi auth file modify......................................................................... 260
isi auth file view............................................................................. 267
isi auth groups create.................................................................... 267
isi auth groups delete.................................................................... 268
isi auth groups flush...................................................................... 269
isi auth groups list......................................................................... 269
isi auth groups modify................................................................... 270
isi auth groups members list.......................................................... 271
isi auth groups view....................................................................... 272
isi auth id.......................................................................................273
isi auth krb5 realm create...............................................................273
isi auth krb5 realm delete.............................................................. 273
isi auth krb5 realm modify............................................................. 274
isi auth krb5 realm list................................................................... 274
isi auth krb5 realm view................................................................. 275
isi auth krb5 create........................................................................ 275
isi auth krb5 delete........................................................................ 276
isi auth krb5 list............................................................................. 276
isi auth krb5 view...........................................................................276
isi auth krb5 domain create........................................................... 277
7
INHALT
isi auth krb5 domain delete........................................................... 277
isi auth krb5 domain modify.......................................................... 277
isi auth krb5 domain list................................................................ 277
isi auth krb5 domain view.............................................................. 278
isi auth krb5 spn create..................................................................278
isi auth krb5 spn delete................................................................. 279
isi auth krb5 spn check.................................................................. 279
isi auth krb5 spn fix....................................................................... 279
isi auth krb5 spn import................................................................. 280
isi auth krb5 spn list...................................................................... 280
isi auth settings krb5 modify.......................................................... 280
isi auth settings krb5 view............................................................. 281
isi auth ldap create........................................................................ 281
isi auth ldap delete........................................................................ 288
isi auth ldap list............................................................................. 289
isi auth ldap modify....................................................................... 289
isi auth ldap view...........................................................................299
isi auth local list.............................................................................300
isi auth local view.......................................................................... 300
isi auth local modify.......................................................................300
isi auth log-level............................................................................ 302
isi auth mapping delete................................................................. 303
isi auth mapping dump.................................................................. 304
isi auth mapping flush................................................................... 304
isi auth mapping idrange............................................................... 305
isi auth mapping import................................................................. 306
isi auth mapping view.................................................................... 307
isi auth mapping modify................................................................ 307
isi auth mapping create..................................................................308
isi auth mapping token.................................................................. 309
isi auth netgroups list.................................................................... 310
isi auth nis create...........................................................................310
isi auth nis delete.......................................................................... 314
isi auth nis list............................................................................... 314
isi auth nis modify..........................................................................315
isi auth nis view............................................................................. 321
isi auth privileges...........................................................................321
isi auth refresh...............................................................................321
isi auth roles create........................................................................322
isi auth roles delete....................................................................... 322
isi auth roles list............................................................................ 322
isi auth roles members list............................................................. 323
isi auth roles modify.......................................................................324
isi auth roles privileges list.............................................................325
isi auth roles view.......................................................................... 326
isi auth settings global modify....................................................... 326
isi auth settings global view........................................................... 328
isi auth status................................................................................ 329
isi auth users create.......................................................................330
isi auth users delete.......................................................................331
isi auth users flush.........................................................................332
isi auth users list............................................................................332
isi auth users modify......................................................................333
isi auth users view......................................................................... 336
8
INHALT
Kapitel 7
Identitätsmanagement
337
Überblick über das Identitätsmanagement.................................................. 338
Identitätstypen............................................................................................338
Zugriffstoken...............................................................................................339
Erzeugen von Zugriffstoken......................................................................... 340
ID-Zuordnung.................................................................................341
Benutzerzuordnung........................................................................343
Identität auf dem Laufwerk.............................................................345
Managen von ID-Zuordnungen.................................................................... 347
Erstellen einer Identitätszuordnung................................................347
Ändern einer Identitätszuordnung.................................................. 347
Löschen einer Identitätszuordnung................................................ 347
Anzeigen einer Identitätszuordnung...............................................348
Leeren des Identitätszuordnungscache.......................................... 348
Anzeigen eines Benutzertokens..................................................... 349
Konfigurieren Identitätszuordnungseinstellungen.......................... 349
Anzeigen der Identitätszuordnungseinstellungen...........................350
Managen von Benutzeridentitäten...............................................................350
Anzeigen der Benutzeridentität...................................................... 350
Erstellen einer Benutzerzuordnungsregel....................................... 351
Zusammenführen von Windows- und UNIX-Token...........................353
Abrufen der primären Gruppe von LDAP..........................................353
Optionen für Zuordnungsregeln..................................................... 354
Operatoren für Zuordnungsregeln.................................................. 355
Kapitel 8
Auditing
357
Auditingüberblick........................................................................................358
Protokollauditevents................................................................................... 358
Unterstützte Eventtypen.............................................................................. 359
Unterstützte Audittools............................................................................... 359
Managen von Auditeinstellungen................................................................ 360
Aktivieren von Systemkonfigurationsaudits....................................360
Aktivieren von Protokollzugriffsaudits............................................ 361
Auditeinstellungen.........................................................................361
Integration in den EMC Common Event Enabler........................................... 362
Installieren von CEE für Windows................................................... 363
Konfigurieren von CEE für Windows................................................ 364
Auditbefehle............................................................................................... 364
isi audit settings modify.................................................................365
isi audit settings view.................................................................... 367
isi audit topics list..........................................................................367
isi audit topics modify....................................................................368
isi audit topics view....................................................................... 368
Kapitel 9
Dateifreigabe
369
Überblick über Dateifreigaben.....................................................................370
SMB............................................................................................................ 370
SMB-Freigaben in Zugriffszonen.....................................................371
SMB Multichannel..........................................................................372
SMB-Freigabemanagement mithilfe der Microsoft Management
Console (MMC).............................................................................. 373
Symbolische Links in SMB............................................................. 374
Anonymer Zugriff auf SMB-Shares.................................................. 375
9
INHALT
NFS............................................................................................................. 375
NFS-Exporte................................................................................... 376
NFS-Aliasse....................................................................................376
NFS-Protokolldateien..................................................................... 377
HTTP und HTTPS.......................................................................................... 377
FTP.............................................................................................................. 377
Umgebungen mit verschiedenen Protokollen.............................................. 378
Schreibcaching mit SmartCache..................................................................378
Schreibcaching für asynchrone Schreibvorgänge........................... 379
Schreibcaching für synchrone Schreibvorgänge............................. 379
Managen von SMB-Einstellungen................................................................ 379
Anzeigen von globalen SMB-Einstellungen.....................................380
Konfigurieren globaler SMB-Einstellungen......................................380
Aktivieren oder Deaktivieren des SMB-Services..............................380
Aktivieren oder Deaktivieren von SMB-Multichannel...................... 381
Anzeigen von Standardeinstellungen für SMB-Freigaben................381
Konfigurieren von Standardeinstellungen für SMB-Freigaben......... 382
Aktivieren oder Deaktivieren von SMB-Multichannel...................... 382
Managen von SMB-Freigaben...................................................................... 382
Erstellen einer SMB-Freigabe..........................................................383
Ändern einer SMB-Freigabe............................................................ 384
Löschen einer SMB-Freigabe.......................................................... 385
Einschränken des Zugriffs auf /ifs-Freigaben für das Konto „Everyone“
...................................................................................................... 385
Konfigurieren des anonymen Zugriffs auf eine einzelne SMB-Share
...................................................................................................... 386
Konfigurieren des anonymen Zugriffs auf alle SMB-Shares in einer
Zugriffszone...................................................................................386
Konfigurieren des Stammverzeichniszugriffs über mehrere Protokolle
...................................................................................................... 387
Unterstützte Erweiterungsvariablen................................................387
Managen des NFS-Service........................................................................... 389
Anzeigen von NFS-Einstellungen.................................................... 389
Konfigurieren von NFS-Dateifreigaben............................................ 389
Aktivieren oder Deaktivieren des NFS-Services............................... 389
Managen von NFS-Exporten.........................................................................390
Konfigurieren von NFS-Standardexporteinstellungen......................390
Erstellen einer Root-Squash-Regel für einen Export........................ 390
Erstellen eines NFS-Exports ........................................................... 391
Fehlerprüfung von NFS-Exporten.................................................... 391
Ändern eines NFS-Exports.............................................................. 392
Löschen eines NFS-Exports............................................................ 392
Managen von NFS-Aliasse........................................................................... 393
Erstellen eines NFS-Alias................................................................393
Ändern eines NFS-Alias.................................................................. 393
Löschen eines NFS-Alias................................................................ 394
Auflisten von NFS-Aliassen.............................................................394
Anzeigen eines NFS-Alias............................................................... 395
Anzeigen von FTP-Einstellungen.................................................................. 395
Aktivieren von FTP-Dateifreigaben............................................................... 396
Konfigurieren von FTP-Dateifreigaben.......................................................... 396
Aktivieren und Konfigurieren von HTTP........................................................ 397
SMB-Befehle............................................................................................... 398
isi smb log-level.............................................................................398
isi smb log-level add...................................................................... 399
isi smb log-level delete.................................................................. 400
10
INHALT
isi smb log-level list....................................................................... 400
isi smb openfiles close...................................................................400
isi smb openfiles list...................................................................... 400
isi smb sessions delete..................................................................401
isi smb sessions delete-user.......................................................... 402
isi smb sessions list.......................................................................403
isi smb settings global modify........................................................403
isi smb settings global view........................................................... 406
isi smb settings shares modify....................................................... 406
isi smb settings shares view...........................................................410
isi smb shares create..................................................................... 410
isi smb shares delete..................................................................... 413
isi smb shares list.......................................................................... 413
isi smb shares modify.................................................................... 414
isi smb shares permission create................................................... 419
isi smb shares permission delete................................................... 419
isi smb shares permission list........................................................ 420
isi smb shares permission modify.................................................. 421
isi smb shares permission view......................................................422
isi smb shares view........................................................................422
NFS-Befehle................................................................................................ 423
isi nfs log-level...............................................................................423
isi nfs aliases create...................................................................... 424
isi nfs aliases delete...................................................................... 424
isi nfs aliases list........................................................................... 425
isi nfs aliases modify..................................................................... 426
isi nfs aliases view......................................................................... 426
isi nfs exports check...................................................................... 427
isi nfs exports create...................................................................... 428
isi nfs exports delete......................................................................435
isi nfs exports list...........................................................................436
isi nfs exports modify..................................................................... 438
isi nfs exports reload......................................................................449
isi nfs exports view.........................................................................449
isi nfs netgroup bgwrite..................................................................450
isi nfs netgroup check.................................................................... 450
isi nfs netgroup expiration............................................................. 450
isi nfs netgroup flush..................................................................... 450
isi nfs netgroup lifetime................................................................. 451
isi nfs netgroup retry...................................................................... 451
isi nfs nlm locks list....................................................................... 451
isi nfs nlm locks waiters................................................................. 452
isi nfs nlm sessions disconnect......................................................453
isi nfs nlm sessions list.................................................................. 453
isi nfs settings export modify......................................................... 454
isi nfs settings export view............................................................. 463
isi nfs settings global modify..........................................................464
isi nfs settings global view............................................................. 465
isi nfs settings zone modify............................................................465
isi nfs settings zone view............................................................... 466
FTP-Befehle................................................................................................. 466
isi ftp accept-timeout..................................................................... 466
isi ftp allow-dirlists.........................................................................467
isi ftp allow-anon-access................................................................467
isi ftp allow-anon-upload............................................................... 468
isi ftp allow-downloads.................................................................. 468
11
INHALT
isi ftp allow-local-access................................................................ 468
isi ftp allow-writes..........................................................................469
isi ftp always-chdir-homedir........................................................... 469
isi ftp anon-chown-username......................................................... 470
isi ftp anon-password-list...............................................................470
isi ftp anon-password-list add........................................................470
isi ftp anon-password-list remove.................................................. 471
isi ftp anon-root-path..................................................................... 471
isi ftp anon-umask......................................................................... 472
isi ftp ascii-mode........................................................................... 472
isi ftp connect-timeout................................................................... 473
isi ftp chroot-exception-list............................................................ 473
isi ftp chroot-exception-list add......................................................474
isi ftp chroot-exception-list remove................................................ 474
isi ftp chroot-local-mode................................................................ 475
isi ftp chroot-list-enable................................................................. 475
isi ftp data-timeout........................................................................ 476
isi ftp denied-user-list.................................................................... 476
isi ftp denied-user-list add............................................................. 477
isi ftp denied-user-list delete..........................................................477
isi ftp dirlist-localtime.................................................................... 477
isi ftp dirlist-names........................................................................ 478
isi ftp file-create-perm.................................................................... 479
isi ftp local-root-path......................................................................479
isi ftp local-umask..........................................................................480
isi ftp server-to-server.................................................................... 480
isi ftp session-support................................................................... 481
isi ftp session-timeout................................................................... 481
isi ftp user-config-dir...................................................................... 482
Kapitel 10
Stammverzeichnisse
483
Überblick über Stammverzeichnisse........................................................... 484
Stammverzeichnisberechtigungen.............................................................. 484
Authentifizieren von SMB-Benutzern........................................................... 484
Stammverzeichniserstellung über SMB....................................................... 484
Erstellen von Stammverzeichnissen mit Erweiterungsvariablen...... 485
Erstellen von Stammverzeichnissen mit der Option --inheritable-pathacl................................................................................................. 486
Erstellen von speziellen Stammverzeichnissen mit der %U-Variable für
SMB-Freigaben...............................................................................487
Stammverzeichniserstellung über SSH und FTP........................................... 488
Festlegen der SSH- oder FTP-Anmelde-Shell .................................. 488
Festlegen von SSH-/FTP-Stammverzeichnisberechtigungen............489
Festlegen von Erstellungsoptionen für SSH-/FTP-Stammverzeichnisse
...................................................................................................... 490
Bereitstellen von Stammverzeichnissen mit dot.-Dateien............... 491
Stammverzeichniserstellung in einer gemischten Umgebung...................... 491
Interaktionen zwischen ACLs und Modusbits...............................................491
Standardmäßige Stammverzeichniseinstellungen von
Authentifizierungsanbietern........................................................................492
Unterstützte Erweiterungsvariablen.............................................................493
Domainvariablen für das Provisioning von Stammverzeichnissen................494
Kapitel 11
12
Snapshots
497
INHALT
Snapshots – Übersicht................................................................................ 498
Datensicherheit mit SnapshotIQ..................................................................498
Snapshot-Speicherplatznutzung................................................................. 498
Snapshot-Planungen...................................................................................499
Snapshot-Aliasnamen................................................................................. 499
Datei- und Verzeichniswiederherstellung.................................................... 499
Best Practices für die Erstellung von Snapshots.......................................... 500
Best Practices für die Erstellung von Snapshot-Planungen...........................500
Datei-Clones............................................................................................... 501
Überlegungen zum Schattenspeicher............................................. 502
Snapshot-Sperren....................................................................................... 503
Snapshot-Reserve....................................................................................... 503
SnapshotIQ-Lizenzfunktionen..................................................................... 503
Erstellen von Snapshots mit SnapshotIQ.....................................................504
Erstellen einer SnapRevert-Domain................................................ 504
Erstellen eines Snapshot-Zeitplans................................................ 505
Erstellen eines Snapshot................................................................505
Snapshot-Benennungsmuster........................................................505
Managen von Snapshots ............................................................................ 508
Reduzieren der Snapshot-Speicherplatznutzung............................ 508
Löschen eines Snapshot................................................................ 508
Ändern von Snapshot-Attributen.................................................... 509
Ändern eines Snapshot-Aliasnamens ............................................ 509
Anzeigen von Snapshots................................................................509
Snapshot-Informationen................................................................ 510
Wiederherstellen von Snapshot-Daten........................................................ 511
Zurücksetzen eines Snapshot ....................................................... 511
Wiederherstellen einer Datei oder eines Verzeichnisses mit Windows
Explorer......................................................................................... 511
Wiederherstellen einer Datei oder eines Verzeichnisses über eine
UNIX-Befehlszeile.......................................................................... 512
Klonen einer Datei aus einem Snapshot......................................... 512
Managen von Snapshot-Planungen............................................................. 513
Ändern eines Snapshot-Zeitplans ..................................................513
Löschen eines Snapshot-Zeitplans ................................................513
Anzeigen von Snapshot-Zeitplänen ............................................... 514
Managen von Snapshot-Aliasnamen........................................................... 514
Konfigurieren eines Snapshot-Aliasnamens für einen SnapshotZeitplan......................................................................................... 514
Zuweisen eines Snapshot-Aliasnamens zu einem Snapshot...........515
Zuweisen eines Snapshot-Aliasnamens zum Onlinedateisystem.... 515
Anzeigen von Snapshot-Aliasnamen.............................................. 515
Informationen zu Snapshot-Aliasnamen.........................................516
Managen von Snapshot-Sperren................................................................. 516
Erstellen einer Snapshot-Sperre..................................................... 516
Ändern eines Snapshot-Sperrablaufdatums................................... 517
Löschen einer Snapshot-Sperre......................................................517
Informationen zu Snapshot-Sperren...............................................517
Konfigurieren der SnapshotIQ-Einstellungen .............................................. 518
SnapshotIQ-Einstellungen .............................................................519
Festlegen der Snapshot-Reserve..................................................................519
Snapshot-Befehle....................................................................................... 520
Snapshot-Benennungsmuster........................................................520
isi snapshot schedules create........................................................ 522
isi snapshot schedules modify....................................................... 524
isi snapshot schedules delete........................................................526
13
INHALT
isi snapshot schedules list.............................................................526
isi snapshot schedules view.......................................................... 527
isi snapshot schedules pending list............................................... 528
isi snapshot snapshots create........................................................529
isi snapshot snapshots modify.......................................................530
isi snapshot snapshots delete....................................................... 531
isi snapshot snapshots list............................................................ 531
isi snapshot snapshots view.......................................................... 533
isi snapshot settings modify.......................................................... 533
isi snapshot settings view.............................................................. 535
isi snapshot locks create................................................................535
isi snapshot locks modify...............................................................536
isi snapshot locks delete............................................................... 537
isi snapshot locks list.................................................................... 538
isi snapshot locks view.................................................................. 539
isi snapshot aliases create.............................................................539
isi snapshot aliases modify............................................................540
isi snapshot aliases delete.............................................................540
isi snapshot aliases list..................................................................541
isi snapshot aliases view............................................................... 542
Kapitel 12
Deduplizierung mit SmartDedupe
543
Übersicht über die Deduplizierung.............................................................. 544
Deduplizierungsjobs................................................................................... 544
Datenreplikation und Backup mit Deduplizierung........................................545
Snapshots mit Deduplizierung.................................................................... 545
Überlegungen zur Deduplizierung............................................................... 546
Überlegungen zum Schattenspeicher.......................................................... 546
SmartDedupe-Lizenzfunktionen.................................................................. 547
Managen der Deduplizierung...................................................................... 547
Bewerten von Speicherplatzeinsparungen durch Deduplizierung ...547
Angeben von Deduplizierungseinstellungen ..................................548
Anzeigen von Speicherplatzeinsparungen durch Deduplizierung ...548
Anzeigen eines Deduplizierungsberichts ....................................... 548
Berichtsinformationen zum Deduplizierungsjob............................. 549
Deduplizierungsinformationen.......................................................550
Deduplizierungsbefehle.............................................................................. 551
isi dedupe settings modify............................................................. 551
isi dedupe settings view.................................................................552
isi dedupe stats............................................................................. 552
isi dedupe reports list.................................................................... 552
isi dedupe reports view ................................................................. 553
Kapitel 13
Datenreplikation mit SyncIQ
555
SyncIQ-Backup und Recovery – Überblick................................................... 556
Replikationsrichtlinien und -jobs.................................................................556
Automatisierte Replikationsrichtlinien........................................... 557
Quell- und Zielclusterzuordnung.................................................... 558
Vollständige und differenzielle Replikation.................................... 558
Steuerung des Ressourcenverbrauchs durch Replikationsjobs....... 559
Replikationsberichte...................................................................... 559
Replikations-Snapshots.............................................................................. 560
Quellcluster-Snapshots..................................................................560
Zielcluster-Snapshots.................................................................... 560
14
INHALT
Daten-Failover und -Failback mit SyncIQ......................................................561
Daten-Failover................................................................................561
Daten-Failback............................................................................... 562
Recovery-Zeiten und -Ziele für SyncIQ..........................................................562
SyncIQ-Lizenzfunktionen.............................................................................563
Erstellen von Replikationsrichtlinien........................................................... 563
Ausschließen von Verzeichnissen aus der Replikation................... 563
Ausschließen von Dateien aus der Replikation............................... 564
Dateikriterienoptionen................................................................... 565
Konfigurieren der Standardeinstellungen für die Replikationsrichtlinie
...................................................................................................... 567
Erstellen einer Replikationsrichtlinie.............................................. 567
Erstellen einer SyncIQ-Domain....................................................... 568
Bewerten einer Replikationsrichtlinie ............................................ 568
Managen von Replikationen auf Remoteclustern......................................... 569
Starten eines Replikationsjobs.......................................................569
Anhalten eines Replikationsjobs ................................................... 569
Wiederaufnehmen eines Replikationjobs ...................................... 569
Abbrechen eines Replikationjobs .................................................. 570
Anzeigen aktiver Replikationjobs .................................................. 570
Informationen zum Replikationsjob ...............................................570
Initiieren des Daten-Failover und -Failback mit SyncIQ.................................571
Failover von Daten an ein sekundäres Cluster ................................571
Umkehren eines Failover-Vorgangs................................................ 571
Failback von Daten auf ein primäres Cluster .................................. 572
Disaster Recovery für SmartLock-Verzeichnisse........................................... 573
Wiederherstellen von SmartLock-Verzeichnissen auf einem Zielcluster
...................................................................................................... 573
Migrieren von SmartLock-Verzeichnissen ...................................... 574
Managen von Replikationsrichtlinien.......................................................... 575
Ändern einer Replikationsrichtlinie ................................................575
Löschen einer Replikationsrichtlinie ..............................................576
Aktivieren oder Deaktivieren einer Replikationsrichtlinie ............... 576
Anzeigen von Replikationsrichtlinien .............................................576
Informationen zu Replikationsrichtlinien ....................................... 577
Managen von Replikationen auf dem lokalen Cluster...................................578
Abbrechen einer Replikation auf das lokale Cluster ....................... 578
Aufheben der lokalen Zielverknüpfung .......................................... 578
Anzeigen von Replikationsrichtlinien, deren Ziel das lokale Cluster ist
...................................................................................................... 579
Informationen zu Remotereplikationsrichtlinien ............................ 579
Managen von Replikationsperformanceregeln............................................. 579
Erstellen einer Netzwerkdatenverkehrsregel .................................. 580
Erstellen einer Dateivorgangsregel ................................................ 580
Ändern einer Performanceregel ..................................................... 580
Löschen einer Performanceregel ....................................................580
Aktivieren oder Deaktivieren einer Performanceregel .....................581
Anzeigen von Performanceregeln .................................................. 581
Managen von Replikationsberichten........................................................... 582
Konfigurieren der Standardeinstellungen für den Replikationsbericht
...................................................................................................... 582
Löschen von Replikationsberichten................................................582
Anzeigen von Replikationsberichten ..............................................582
Informationen zu Replikationsberichten.........................................583
Managen von fehlgeschlagenen Replikationsjobs....................................... 585
Auflösen einer Replikationsrichtlinie ............................................. 585
15
INHALT
Zurücksetzen einer Replikationsrichtlinie ...................................... 585
Ausführen einer vollständigen oder differenziellen Replikation...... 586
Managen von Änderungslisten.................................................................... 587
Erstellen einer Änderungsliste........................................................587
Anzeigen einer Änderungsliste....................................................... 588
Informationen zu Änderungslisten..................................................588
Datenreplikationsbefehle............................................................................590
isi sync policies create................................................................... 590
isi sync policies modify.................................................................. 598
isi sync policy delete...................................................................... 607
isi sync policies list........................................................................ 608
isi sync policies view......................................................................610
isi sync policies disable................................................................. 611
isi sync policies enable.................................................................. 611
isi sync jobs start........................................................................... 611
isi sync jobs pause.........................................................................612
isi sync jobs resume.......................................................................612
isi sync jobs cancel........................................................................ 613
isi sync jobs list............................................................................. 613
isi sync jobs view........................................................................... 614
isi sync jobs reports list..................................................................614
isi sync jobs reports view............................................................... 615
isi sync settings modify..................................................................615
isi sync settings view..................................................................... 616
isi sync policies resolve................................................................. 617
isi sync policies reset..................................................................... 617
isi sync target cancel......................................................................618
isi sync target list........................................................................... 618
isi sync target view.........................................................................619
isi sync target break....................................................................... 619
isi sync target reports list............................................................... 620
isi sync target reports view............................................................. 622
isi sync target reports subreports list..............................................622
isi sync target reports subreports view........................................... 624
isi sync reports list......................................................................... 624
isi sync reports view.......................................................................625
isi sync reports rotate.....................................................................626
isi sync reports subreports list....................................................... 626
isi sync reports subreports view..................................................... 628
isi sync recovery allow-write........................................................... 628
isi sync recovery resync-prep..........................................................629
isi sync rules create........................................................................629
isi sync rules modify.......................................................................630
isi sync rules delete....................................................................... 631
isi sync rules list............................................................................ 632
isi sync rules view.......................................................................... 633
isi_changelist_mod........................................................................633
Kapitel 14
Datenlayout mit FlexProtect
637
Überblick über FlexProtect...........................................................................638
Datei-Striping..............................................................................................638
Datensicherheitsanforderungen.................................................................. 638
Datenwiederherstellung mit FlexProtect...................................................... 639
SmartFail....................................................................................... 639
Node-Ausfälle................................................................................ 640
16
INHALT
Datensicherheitsanforderungen.................................................................. 640
Angeforderte Sicherheitseinstellungen........................................................641
Speicherplatznutzung der angeforderten Sicherheit.................................... 642
Kapitel 15
NDMP-Backup
645
NDMP-Backup und Recovery – Überblick.....................................................646
Bidirektionales NDMP-Backup.....................................................................646
Snapshot-basierte inkrementelle Backups.................................................. 647
NDMP-Protokollsupport...............................................................................648
Unterstützte DMAs...................................................................................... 648
NDMP-Hardwaresupport..............................................................................649
NDMP-Backupeinschränkungen.................................................................. 649
NDMP-Performanceempfehlungen...............................................................650
Ausschließen von Dateien und Verzeichnissen von NDMP-Backups............ 651
Konfigurieren grundlegender NDMP-Backupeinstellungen...........................652
Konfigurieren und Aktivieren des NDMP-Backups...........................652
Deaktivieren von NDMP-Backups .................................................. 653
Anzeigen von NDMP-Backupeinstellungen .................................... 653
NDMP-Backupeinstellungen .......................................................... 653
Managen von NDMP-Benutzerkonten.......................................................... 653
Erstellen eines NDMP-Benutzerkontos ...........................................654
Ändern des Passworts eines NDMP-Benutzerkontos ...................... 654
Löschen eines NDMP-Benutzerkontos ........................................... 654
Anzeigen von NDMP-Benutzerkonten ............................................ 654
Managen von NDMP-Backupgeräten............................................................654
Erkennen von NDMP-Backupgeräten ............................................. 655
Ändern des Eintragsnamens eines NDMP-Backupgeräts ................ 655
Löschen eines Geräteeintrags für ein getrenntes NDMP-Backupgerät
...................................................................................................... 655
Anzeigen von NDMP-Backupgeräten ..............................................655
Managen von NDMP-Backupports............................................................... 656
Ändern der Einstellungen für den NDMP-Backupport ..................... 656
Aktivieren oder Deaktivieren eines NDMP-Backupports.................. 656
Anzeigen von NDMP-Backupports ................................................. 656
Einstellungen für den NDMP-Backupport ....................................... 657
Managen von NDMP-Backupsitzungen........................................................ 657
Beenden einer NDMP-Sitzung ........................................................657
Anzeigen von NDMP-Sitzungen ......................................................657
NDMP-Sitzungsinformationen ....................................................... 658
Managen neustartfähiger Backups.............................................................. 659
Konfigurieren neustartfähiger Backups für EMC NetWorker.............659
Anzeigen neustartfähiger Backupkontexte..................................... 659
Löschen eines neustartfähigen Backupkontexts.............................660
Konfigurieren neustartfähiger Backupeinstellungen....................... 660
Anzeigen neustartfähiger Backupeinstellungen..............................660
Managen von Dateilistenbackups............................................................... 661
Formatieren einer Backupdateiliste................................................ 661
Platzierung der Dateiliste............................................................... 662
Starten eines Dateilistenbackups...................................................662
Verbesserung der NDMP-Wiederherstellungsperformance........................... 663
Angeben eines fortlaufenden Wiederherstellungsvorgangs............ 663
Gemeinsame Nutzung von Bandlaufwerken durch Cluster........................... 664
Managen von NDMP-Standardeinstellungen................................................664
Festlegen der NDMP-Standardeinstellungen für ein Verzeichnis..... 664
Ändern der NDMP-Standardeinstellungen für ein Verzeichnis.........665
17
INHALT
Anzeigen der NDMP-Standardeinstellungen für Verzeichnisse........665
NDMP-Umgebungsvariablen...........................................................665
Managen Snapshot-basierter inkrementeller Backups.................................669
Aktivieren Snapshot-basierter inkrementeller Backups für ein
Verzeichnis.................................................................................... 669
Löschen von Snapshots für Snapshot-basierte inkrementelle Backups
...................................................................................................... 669
Anzeigen von Snapshots für Snapshot-basierte inkrementelle
Backups.........................................................................................669
Anzeigen von NDMP-Backupprotokollen .....................................................670
NDMP-Backupbefehle................................................................................. 670
isi ndmp user create.......................................................................670
isi ndmp user modify..................................................................... 670
isi ndmp user delete...................................................................... 671
isi ndmp user list........................................................................... 671
isi tape rescan............................................................................... 671
isi tape rename.............................................................................. 672
isi tape delete................................................................................ 672
isi tape list..................................................................................... 673
isi fc set......................................................................................... 673
isi fc disable.................................................................................. 675
isi fc enable................................................................................... 675
isi fc list......................................................................................... 676
isi ndmp kill................................................................................... 676
isi ndmp list................................................................................... 677
isi ndmp probe...............................................................................678
isi ndmp settings set......................................................................678
isi ndmp settings list......................................................................679
isi ndmp settings variables create.................................................. 680
isi ndmp settings variables modify................................................. 680
isi ndmp settings variables delete..................................................681
isi ndmp settings variables list.......................................................682
isi ndmp dumpdates delete........................................................... 682
isi ndmp dumpdates list................................................................ 683
isi ndmp extensions context delete................................................ 683
isi ndmp extensions contexts list................................................... 683
ndmp extensions contexts view..................................................... 684
isi ndmp extensions settings modify.............................................. 685
isi ndmp extensions settings view..................................................685
Kapitel 16
Dateiaufbewahrung mit SmartLock
687
Überblick über SmartLock........................................................................... 688
Compliancemodus...................................................................................... 688
SmartLock-Verzeichnisse............................................................................ 688
Replikation und Backup mit SmartLock....................................................... 689
SmartLock-Replikations- und Backupeinschränkungen.................. 689
SmartLock-Lizenzfunktionen....................................................................... 690
Überlegungen zu SmartLock........................................................................690
Einstellen der Complianceuhr......................................................................691
Anzeigen der Complianceuhr.......................................................................691
Erstellen eines SmartLock-Verzeichnisses................................................... 691
Aufbewahrungsfristen.................................................................... 692
Autocommit-Zeiträume...................................................................692
Erstellen eines SmartLock-Verzeichnisses......................................692
Managen von SmartLock-Verzeichnissen.....................................................693
18
INHALT
Ändern eines SmartLock-Verzeichnisses........................................ 693
Anzeigen von SmartLock-Verzeichniseinstellungen........................ 694
SmartLock-Verzeichniskonfigurationseinstellungen....................... 694
Managen von Dateien in SmartLock-Verzeichnissen.................................... 698
Festlegen einer Aufbewahrungsfrist über eine UNIX-Befehlszeile....699
Festlegen einer Aufbewahrungsfrist über Windows Powershell.......699
Versetzen einer Datei in einen WORM-Status mithilfe einer UNIXBefehlszeile................................................................................... 699
Versetzen einer Datei in einen WORM-Status mithilfe von Windows
Explorer......................................................................................... 700
Außerkraftsetzung der Aufbewahrungsfrist für alle Dateien in einem
SmartLock-Verzeichnis...................................................................700
Löschen einer Datei mit WORM-Status ...........................................701
Anzeigen des WORM-Status einer Datei......................................... 701
SmartLock-Befehle...................................................................................... 702
isi worm domains create................................................................ 702
isi worm domains modify............................................................... 705
isi worm domains list..................................................................... 709
isi worm domains view .................................................................. 710
isi worm cdate set.......................................................................... 711
isi worm cdate view........................................................................711
isi worm files delete....................................................................... 711
isi worm files view..........................................................................711
Kapitel 17
Sicherheitsdomains
713
Sicherheitsdomains – Überblick..................................................................714
Überlegungen zur Sicherheitsdomain..........................................................714
Erstellen einer Sicherheitsdomain .............................................................. 715
Löschen einer Sicherheitsdomain ...............................................................715
Kapitel 18
Data-at-Rest-Verschlüsselung
717
Überblick über die Data-at-Rest-Verschlüsselung........................................ 718
Self-encrypting Drives (SEDs)...................................................................... 718
Datensicherheit auf SEDs (Self-Encrypting Drives)....................................... 718
Datenmigration zu einem SED-Cluster......................................................... 719
Gehäuse- und Laufwerksstatus................................................................... 719
Beispiele für den ERASE- und REPLACE-Status von Laufwerken während eines
SmartFail-Prozesses.................................................................................... 722
Kapitel 19
SmartQuotas
725
Überblick über SmartQuotas....................................................................... 726
Quota-Typen............................................................................................... 726
Standard-Quota-Typ.................................................................................... 727
Nutzungsabrechnung und Limits................................................................. 729
Festplattennutzungsberechnungen............................................................. 730
Quota-Benachrichtigungen..........................................................................731
Quota-Benachrichtigungsregeln.................................................................. 732
Quota-Berichte............................................................................................733
Erstellen von Quotas................................................................................... 733
Erstellen einer Berechnungs-Quota................................................ 734
Erstellen einer Durchsetzungs-Quota............................................. 734
Managen von Quotas.................................................................................. 735
Suchen nach Quotas...................................................................... 735
19
INHALT
Managen von Quotas..................................................................... 736
Exportieren einer Quota-Konfigurationsdatei..................................737
Importieren einer Quota-Konfigurationsdatei................................. 737
Managen von Quota-Benachrichtigungen.......................................737
Managen von Quota-Berichten....................................................... 740
Grundlegende Quota-Einstellungen................................................742
Quota-Benachrichtigungsregeln für informative Limits................... 743
Quota-Benachrichtigungsregeln für weiche Limits.......................... 744
Quota-Benachrichtigungsregeln für harte Limits.............................745
Einstellungen für Grenzwertbenachrichtigungen............................ 745
Quota-Berichtseinstellungen..........................................................746
Variablenbeschreibungen für benutzerdefinierte E-MailBenachrichtigungsvorlagen............................................................747
Quota-Befehle.............................................................................................747
isi quota quotas create.................................................................. 747
isi quota quotas delete.................................................................. 750
isi quota quotas modify................................................................. 751
isi quota quotas list....................................................................... 754
isi quota quotas view..................................................................... 755
isi quota quotas notifications clear................................................ 757
isi quota quotas notifications create.............................................. 758
isi quota quotas notifications delete.............................................. 760
isi quota quotas notifications disable............................................ 762
isi quota quotas notifications list................................................... 764
isi quota quotas notifications modify............................................. 766
isi quota quotas notifications view.................................................768
isi quota reports create.................................................................. 770
isi quota reports delete.................................................................. 771
isi quota reports list....................................................................... 772
isi quota settings notifications clear...............................................772
isi quota settings notifications create.............................................772
isi quota settings notifications delete............................................ 774
isi quota settings notifications list................................................. 775
Änderung isi-Quota-Einstellungsbenachrichtigungen..................... 776
isi quota settings notifications view............................................... 778
isi quota settings reports modify.................................................... 778
isi quota settings reports view........................................................779
Kapitel 20
Speicherpools
781
Speicherpools – Überblick.......................................................................... 782
Speicherpoolfunktionen..............................................................................782
Automatisiertes Provisioning.......................................................................784
Virtuelle Hot Spares.................................................................................... 784
Spillover..................................................................................................... 785
Node-Pools................................................................................................. 786
Node-Kompatibilitäten................................................................... 786
Manuelle Node-Pools..................................................................... 787
Vorgeschlagener Schutz..............................................................................787
Schutz-Policies........................................................................................... 787
SSD-Strategien............................................................................................788
Global Namespace Acceleration.................................................................. 789
Übersicht über den L3-Cache...................................................................... 790
Migration auf den L3-Cache............................................................791
L3-Cache in HD400-Node-Pools..................................................... 791
Erforderliche Berechtigungen......................................................... 792
20
INHALT
Tiers............................................................................................................792
Dateipools.................................................................................................. 792
Dateipool-Policies....................................................................................... 792
Managen von Node-Pools über die Befehlszeilenoberfläche........................793
Hinzufügen eines kompatiblen Node zu einem Node-Pool..............794
Zusammenführen kompatibler Node-Pools.................................... 794
Löschen einer Kompatibilität..........................................................795
Manuelles Erstellen eines Node-Pools............................................795
Hinzufügen eines Node zu einem manuell gemanagten Node-Pool.796
Ändern des Namens oder der Schutz-Policy eines Node-Pools........796
Entfernen eines Node aus einem manuell gemanagten Node-Pool. 796
Managen von L3-Cache über die Befehlszeilenoberfläche........................... 797
Festlegen von L3-Cache als Standard für neue Node-Pools.............797
Aktivieren von L3-Cache auf einem bestimmten Node-Pool ........... 797
Wiederherstellen von SSDs in den Speicherlaufwerken für einen NodePool............................................................................................... 797
Managen von Tiers...................................................................................... 798
Erstellen eines Tier.........................................................................798
Hinzufügen oder Verschieben von Node-Pools in einem Tier...........798
Umbenennen eines Tier................................................................. 799
Löschen eines Tier......................................................................... 799
Erstellen von Dateipool-Policies.................................................................. 799
Erstellen einer Dateipool-Policy......................................................800
Dateiübereinstimmungsoptionen für Dateipool-Policies.................801
Gültige Platzhalterzeichen............................................................. 802
Einstellungen für SmartPools......................................................... 803
Angeforderte Sicherheitseinstellungen des Standarddateipools.... 805
I/O-Optimierungseinstellungen für den Standarddateipool............ 807
Managen von Dateipool-Policies................................................................. 807
Ändern einer Dateipool-Policy........................................................ 808
Ändern der Standardeinstellungen für Speicherpools.....................808
Konfigurieren der Einstellungen für die Standard-Policy für Dateipools
...................................................................................................... 809
Priorisieren einer Dateipool-Policy..................................................809
Löschen einer Dateipool-Policy...................................................... 810
Monitoring von Speicherpools.....................................................................810
Überwachen von Speicherpools..................................................... 810
Anzeigen der Integrität von Speicherpools..................................... 811
Anzeigen der Ergebnisse eines SmartPools-Jobs............................ 811
Speicherpoolbefehle...................................................................................812
isi filepool apply............................................................................ 812
isi filepool default-policy modify.................................................... 814
isi filepool default-policy view........................................................816
isi filepool policies create.............................................................. 816
isi filepool policies delete.............................................................. 820
isi filepool policies list................................................................... 820
isi filepool policies modify............................................................. 821
isi filepool policies view................................................................. 824
isi filepool templates list................................................................825
isi filepool templates view..............................................................825
isi storagepool compatibilities active create...................................826
isi storagepool compatibilities active delete.................................. 826
isi storagepool compatibilities active list....................................... 827
isi storagepool compatibilities active view..................................... 828
isi storagepool compatibilities available list.................................. 828
isi storagepool health.................................................................... 829
21
INHALT
isi storagepool list......................................................................... 830
isi storagepool nodepools create................................................... 830
isi storagepool nodepools delete................................................... 831
isi storagepool nodepools list........................................................ 831
isi storagepool nodepools modify.................................................. 832
isi storagepool nodepools view......................................................833
isi storagepool settings modify...................................................... 833
isi storagepool settings view.......................................................... 835
isi storagepool tiers create............................................................. 835
isi storagepool tiers delete.............................................................836
isi storagepool tiers list..................................................................836
isi storagepool tiers modify............................................................ 836
isi storagepool tiers view................................................................837
Kapitel 21
Systemjobs
839
Übersicht über Systemjobs......................................................................... 840
Systemjobbibliothek................................................................................... 840
Jobvorgang..................................................................................................845
Jobperformanceauswirkung.........................................................................846
Jobprioritäten.............................................................................................. 846
Managen von Systemjobs........................................................................... 847
Starten eines Jobs.......................................................................... 847
Anhalten eines Jobs....................................................................... 847
Ändern eines Jobs.......................................................................... 848
Wiederaufnehmen eines Jobs.........................................................848
Abbrechen eines Jobs.................................................................... 849
Ändern von Jobtypeinstellungen.....................................................849
Anzeigen aktiver Jobs.....................................................................850
Anzeigen des Jobverlaufs............................................................... 850
Managen von Auswirkungs-Policies.............................................................851
Erstellen einer Auswirkungs-Policy................................................. 851
Anzeigen von Einstellungen für Auswirkungs-Policies.....................852
Ändern einer Auswirkungs-Policy................................................... 852
Löschen einer Auswirkungs-Policy..................................................853
Anzeigen von Jobberichten und -statistiken.................................................853
Anzeigen von Statistiken für einen laufenden Job...........................853
Anzeigen eines Berichts für einen abgeschlossenen Job.................854
Jobmanagementbefehle.............................................................................. 855
isi job events list............................................................................855
isi job jobs cancel.......................................................................... 857
isi job jobs list............................................................................... 857
isi job jobs modify..........................................................................858
isi job jobs pause...........................................................................859
isi job jobs resume.........................................................................860
isi job jobs start............................................................................. 860
isi job jobs view............................................................................. 862
isi job policies create..................................................................... 863
isi job policies delete..................................................................... 864
isi job policies list.......................................................................... 864
isi job policies modify.................................................................... 866
isi job policies view........................................................................867
isi job reports list........................................................................... 867
isi job reports view.........................................................................868
isi job statistics list........................................................................ 869
isi job statistics view......................................................................871
22
INHALT
isi job types list..............................................................................872
isi job status.................................................................................. 873
isi job types modify........................................................................ 874
isi job types view........................................................................... 875
Kapitel 22
Netzwerke
877
Übersicht über das Netzwerk.......................................................................878
Interne Netzwerkübersicht.......................................................................... 878
Interne IP-Adressbereiche.............................................................. 878
Internes Netzwerk-Failover............................................................. 879
Überblick über das externe Clientnetzwerk..................................................879
Externe Netzwerkeinstellungen...................................................... 879
IP-Adressenpools........................................................................... 880
IPv6-Support.................................................................................. 881
SmartConnect-Modul..................................................................... 881
Verbindungslastenausgleich..........................................................882
IP-Adressenzuweisung................................................................... 882
IP-Adressen-Failover...................................................................... 883
IP-Adressenneuverteilung.............................................................. 884
SmartConnect DNS Service............................................................ 884
DNS-Namensauflösung.................................................................. 885
NIC-Aggregation (Netzwerkschnittstellenkarte)...............................885
Routingoptionen............................................................................ 886
Virtuelle LANs (VLANs)................................................................... 887
Managen interner Netzwerkeinstellungen....................................................887
Hinzufügen oder Entfernen eines internen IP-Adressbereichs......... 887
Ändern einer internen Netzwerknetzmaske.................................... 888
Konfigurieren und Aktivieren eines Failover für das interne Netzwerk
...................................................................................................... 888
Deaktivieren des Failover für das interne Netzwerk.........................889
Managen externer Netzwerkeinstellungen................................................... 890
Konfigurieren der DNS-Einstellungen..............................................890
Managen externer Netzwerksubnetze..........................................................890
Erstellen eines Subnetzes.............................................................. 890
Ändern eines Subnetzes................................................................ 891
Löschen eines Subnetzes...............................................................891
Anzeigen von Subnetzen................................................................892
Aktivieren oder Deaktivieren von VLAN-Tagging..............................892
Hinzufügen oder Entfernen einer DSR-Adresse............................... 893
Managen von IP-Adressenpools.................................................................. 893
Erstellen eines IP-Adressenpools................................................... 893
Ändern eines IP-Adressenpools......................................................894
Löschen eines IP-Adressenpools.................................................... 894
Anzeigen von IP-Adressenpools..................................................... 894
Hinzufügen oder Entfernen eines IP-Adressbereichs.......................895
Konfigurieren der IP-Adressenzuweisung........................................895
Konfigurieren einer IP-Neuverteilungs-Policy.................................. 896
Konfigurieren einer IP-Failover Policy..............................................897
Managen von SmartConnect-Einstellungen................................................. 898
Konfigurieren einer SmartConnect-Zone......................................... 898
Hinzufügen oder Entfernen eines SmartConnect-Zonenaliasnamens
...................................................................................................... 899
Konfigurieren einer Verbindungsausgleichs-Policy für SmartConnect
...................................................................................................... 899
Konfigurieren einer IP-Adresse für den SmartConnect-Service........ 900
23
INHALT
Konfigurieren eines SmartConnect-Servicesubnetzes..................... 900
Managen von Netzwerkschnittstellenmitgliedern........................................ 901
Hinzufügen oder Entfernen einer Netzwerkschnittstelle..................901
Konfigurieren der NIC-Zusammenfassung.......................................902
Hinzufügen oder Entfernen einer statischen Route......................... 903
Anzeigen von Netzwerkschnittstellen............................................. 904
Managen von Provisioning-Regeln für Netzwerkschnittstellen..................... 904
Erstellen einer Provisioning-Regel für Netzwerkschnittstellen......... 905
Ändern einer Provisioning-Regel für Netzwerkschnittstellen........... 905
Löschen einer Provisioning-Regel für Netzwerkschnittstellen..........905
Anzeigen von Provisioning-Regeln für Netzwerkschnittstellen........ 906
Managen von Routingoptionen....................................................................906
Aktivieren oder Deaktivieren von quellenbasiertem Routing........... 906
Hinzufügen oder Entfernen einer statischen Route......................... 907
Netzwerkbefehle......................................................................................... 908
isi networks................................................................................... 908
isi networks create pool................................................................. 910
isi networks create rule.................................................................. 914
isi networks create subnet............................................................. 915
isi networks delete pool................................................................. 917
isi networks delete rule.................................................................. 917
isi networks delete subnet............................................................. 918
isi networks dnscache disable....................................................... 918
isi networks dnscache enable........................................................ 918
isi networks dnscache flush........................................................... 919
isi networks dnscache modify........................................................ 919
isi networks dnscache statistics.....................................................920
isi networks list interfaces..............................................................920
isi networks list pools.................................................................... 921
isi networks list rules..................................................................... 922
isi networks list subnets................................................................ 923
isi networks modify pool................................................................ 923
isi networks modify rule................................................................. 929
isi networks modify subnet............................................................ 930
isi networks sbr enable.................................................................. 931
isi networks sbr disable................................................................. 932
Kapitel 23
Hadoop
933
Hadoop – Überblick.................................................................................... 934
Hadoop-Architektur.....................................................................................934
Hadoop-Rechnerebene.................................................................. 934
HDFS-Speicherlayer........................................................................934
So wird Hadoop auf OneFS implementiert................................................... 935
Von OneFS unterstützte Hadoop-Verteilungen............................................. 935
WebHDFS.................................................................................................... 936
Sicherer Identitätswechsel.......................................................................... 936
Ambari-Agent.............................................................................................. 937
Virtuelle HDFS-Racks................................................................................... 937
Überlegungen zur Implementierung von HDFS............................................. 938
HDFS-Verzeichnisse und Hadoop-Benutzerkonten..........................938
HDFS-Einstellungen in Zugriffszonen..............................................938
HDFS und SmartConnect................................................................ 939
Implementierung von Hadoop mit OneFS....................................... 939
Managen des HDFS-Service.........................................................................940
Konfigurieren von HDFS-Serviceeinstellungen................................ 940
24
INHALT
HDFS-Serviceeinstellungen............................................................ 940
Anzeigen der HDFS-Serviceeinstellungen....................................... 942
Aktivieren oder Deaktivieren des HDFS-Service.............................. 942
Managen von HDFS-Zugriffszoneneinstellungen.......................................... 942
Unterstützte HDFS-Authentifizierungsmethoden.............................942
Festlegen der HDFS-Authentifizierungsmethode in einer Zugriffszone
...................................................................................................... 943
Konfigurieren von HDFS-Authentifizierungseigenschaften auf dem
Hadoop-Client................................................................................944
Erstellen eines lokalen Hadoop-Benutzers..................................... 944
Festlegen des HDFS-Stammverzeichnisses in einer Zugriffszone.... 945
Aktivieren oder Deaktivieren von WebHDFS für eine Zugriffszone... 945
Konfigurieren der Ambari-Agent-Einstellungen............................... 946
Konfigurieren des sicheren Identitätswechsels............................................946
Erstellen eines Proxybenutzers.......................................................946
Ändern eines Proxybenutzers......................................................... 947
Löschen eines Proxybenutzers....................................................... 947
Auflisten der Mitglieder eines Proxybenutzers................................ 947
Anzeigen von Proxybenutzern........................................................ 948
Managen virtueller HDFS-Racks................................................................... 949
Erstellen eines virtuellen HDFS-Racks.............................................949
Ändern eines virtuellen HDFS-Racks............................................... 949
Löschen eines virtuellen HDFS-Racks............................................. 950
Anzeigen virtueller HDFS-Racks...................................................... 950
HDFS-Befehle.............................................................................................. 951
isi hdfs settings modify.................................................................. 951
isi hdfs settings view......................................................................952
isi hdfs proxyusers create.............................................................. 953
isi hdfs proxyusers modify............................................................. 954
isi hdfs proxyusers delete.............................................................. 956
isi hdfs proxyusers members list.................................................... 956
isi hdfs proxyusers list................................................................... 957
isi hdfs proxyusers view................................................................. 958
isi hdfs racks create....................................................................... 959
isi hdfs racks modify...................................................................... 959
isi hdfs racks delete....................................................................... 960
isi hdfs racks list............................................................................ 960
isi hdfs racks view..........................................................................961
Kapitel 24
Virenschutz
963
Virenschutzüberblick.................................................................................. 964
Scannen während des Zugriffs.................................................................... 964
Scannen nach Virenschutz-Policies............................................................. 965
Scannen einzelner Dateien..........................................................................965
Virenüberprüfungsberichte..........................................................................965
ICAP-Server................................................................................................. 966
Unterstützte ICAP-Server............................................................................. 966
Reaktionen auf Bedrohungen durch Viren................................................... 966
Konfigurieren globaler Virenschutzeinstellungen.........................................968
Ausschließen von Dateien aus Virenüberprüfungen .......................968
Konfigurieren der Überprüfungseinstellungen während des Zugriffs
...................................................................................................... 968
Konfigurieren von Virenschutzeinstellungen ..................................968
Konfigurieren der Aufbewahrungseinstellungen von
Virenschutzberichten..................................................................... 968
25
INHALT
Aktivieren oder Deaktivieren von Virenüberprüfungen.................... 969
Managen von ICAP-Servern......................................................................... 969
Hinzufügen und Verbinden mit einem ICAP-Server .........................969
Testen einer ICAP-Serververbindung...............................................969
Vorübergehendes Trennen der Verbindung zu einem ICAP-Server .. 969
Wiederherstellen einer Verbindung zu einem ICAP-Server ..............970
Entfernen eines ICAP-Servers .........................................................970
Erstellen einer Virenschutz-Policy ............................................................... 971
Managen von Virenschutz-Policies.............................................................. 971
Ändern einer Virenschutz-Policy .................................................... 971
Löschen einer Virenschutz-Policy .................................................. 971
Aktivieren oder Deaktivieren einer Virenschutz-Policy ....................972
Anzeigen von Virenschutz-Policies ................................................ 972
Managen von Virenüberprüfungen.............................................................. 972
Scannen einer Datei....................................................................... 972
Manuelles Ausführen einer Virenschutz-Policy............................... 972
Beenden einer laufenden Virenüberprüfung................................... 973
Managen von Virenbedrohungen.................................................................973
Manuelles Verschieben einer Datei in die Quarantäne ...................973
Entfernen einer Datei aus der Quarantäne ..................................... 973
Anzeigen von Bedrohungen ...........................................................973
Informationen zu Virenbedrohungen.............................................. 974
Managen von Virenschutzberichten............................................................ 974
Exportieren eines Virenschutzberichts........................................... 974
Anzeigen von Virenschutzberichten ...............................................975
Anzeigen von Virenschutzereignissen............................................ 975
Befehle für den Virenschutz........................................................................ 975
isi avscan policy add......................................................................975
isi avscan policy edit......................................................................977
isi avscan policy delete.................................................................. 978
isi avscan policy.............................................................................978
isi avscan policy run.......................................................................979
isi avscan manual.......................................................................... 979
isi avscan quarantine..................................................................... 980
isi avscan unquarantine................................................................. 980
isi avscan report threat.................................................................. 980
isi avscan report scan.................................................................... 981
isi avscan report purge...................................................................982
isi avscan settings......................................................................... 982
isi avscan get................................................................................. 985
Kapitel 25
VMware-Integration
987
Überblick über die VMware-Integration........................................................988
VAAI............................................................................................................ 988
VASA...........................................................................................................988
Isilon VASA-Alarme........................................................................ 988
VASA-Speicherfunktionen.............................................................. 989
Konfigurieren des VASA-Supports................................................................989
Aktivierung von VASA.....................................................................989
Herunterladen des Isilon-Herstellerzertifikats.................................990
Hinzufügen des Isilon-Herstellers...................................................990
Deaktivieren oder erneutes Aktivieren von VASA......................................... 991
26
KAPITEL 1
Dieser Abschnitt enthält die folgenden Themen:
l
l
l
Informationen über diesen Leitfaden.....................................................................28
Isilon Scale-out-NAS – Überblick........................................................................... 28
Supportquellen..................................................................................................... 28
27
Informationen über diesen Leitfaden
In diesem Leitfaden wird beschrieben, wie die Isilon OneFS-Befehlszeilenoberfläche
Zugriff auf Funktionen für die Konfiguration, das Management und die Überwachung des
Clusters bereitstellt. Dieser Leitfaden enthält außerdem Auflistungen und
Beschreibungen aller OneFS-spezifischen Befehle, die den UNIX-Standardbefehlssatz
erweitern.
Wir wissen Ihr Feedback zu schätzen. Bitte senden Sie Ihre Kommentare oder Anregungen
zu diesem Handbuch an [email protected].
Isilon Scale-out-NAS – Überblick
Die EMC Isilon-Scale-out-NAS-Speicherplattform kombiniert modulare Hardware mit
einheitlicher Software, um unstrukturierte Daten zu nutzen. Dank des verteilten OneFSBetriebssystems bietet jedes EMC Isilon-Cluster einen skalierbaren Speicherpool mit
einem globalen Namespace.
Die einheitliche Software der Plattform bietet eine zentralisierte, webbasierte
Befehlszeilenverwaltung für die folgenden Funktionen:
l
Ein symmetrisches Cluster, auf dem ein verteiltes Dateisystem ausgeführt wird
l
Scale-out-Nodes für zusätzliche Kapazität und Performance
l
Speicheroptionen zum Verwalten von Dateien, Blockdaten und Tiering
l
Flexibler Datenschutz und hohe Verfügbarkeit
l
Softwaremodule zur Kostenkontrolle und Ressourcenoptimierung
Supportquellen
Bei Fragen zu EMC Isilon-Produkten können Sie sich an den technischen Support von
Isilon wenden.
Online Support
Live-Chat
Service-Request erstellen
Telefonischer
Support
Vereinigte Staaten von Amerika: 800-782-4362 (1-800SVC-4EMC)
Kanada: 800-543-4782
International: +1-508-497-7901
Informationen zu lokalen Telefonnummern in Ihrem Land finden
Sie unter EMC Customer Support Centers.
Hilfe beim OnlineSupport
28
Bei Fragen zur Registrierung beim oder zum Zugriff auf den EMC
Online-Support senden Sie eine E-Mail an [email protected].
KAPITEL 2
l
l
l
l
l
l
l
l
l
OneFS-Speicherarchitektur....................................................................................30
Isilon-Node-Komponenten.....................................................................................30
Interne und externe Netzwerke.............................................................................. 31
Isilon-Cluster.........................................................................................................31
Das OneFS-Betriebssystem....................................................................................34
Struktur des Dateisystems.....................................................................................36
Datensicherheit – Überblick.................................................................................. 38
VMware-Integration............................................................................................... 41
Softwaremodule....................................................................................................41
29
OneFS-Speicherarchitektur
EMC Isilon verfolgt in puncto Speicher einen skalierten Ansatz, indem Sie ein NodeCluster erstellen, das ein verteiltes Dateisystem ausführt. OneFS kombiniert die drei
Ebenen der Speicherarchitektur – Dateisystem, Volume Manager und RAID – in einem
skalierten NAS-Cluster.
Jeder Node fügt Ressourcen zum Cluster hinzu. Da jeder Node einen global kohärenten
RAM beinhaltet, wird dieser bei der Vergrößerung eines Clusters schneller. In der
Zwischenzeit wird das Dateisystem dynamisch erweitert und verteilt Inhalte neu. Dadurch
werden Aufgaben wie die Partitionierung von Festplatten und das Erstellen von Volumes
beseitigt.
Nodes fungieren als Peers, um Daten im gesamten Cluster zu verteilen. Die
Segmentierung und Verteilung von Daten – ein Prozess, der als Striping bekannt ist –
schützt nicht nur Daten, sondern ermöglicht einem Benutzer, eine Verbindung zu einem
beliebigen Node herzustellen und so von der gesamten Clusterperformance zu
profitieren.
OneFS verwendet verteilte Software, um Daten über handelsübliche Hardware hinweg zu
skalieren. Jeder Node unterstützt die Kontrolle von Datenanfragen, steigert die
Performance und erweitert die Kapazität des Clusters. Kein Mastergerät kontrolliert den
Cluster; keine Slaves rufen Abhängigkeiten hervor. Stattdessen unterstützt jeder Node
die Kontrolle von Datenanfragen, steigert die Performance und erweitert die Kapazität des
Clusters.
Isilon-Node-Komponenten
Als rackmontierbare Appliance umfasst ein Speicher-Node die folgenden Komponenten
in einem rackmontierbaren 2-HE- oder 4-HE-Gehäuse mit einer LCD-Vorderseite:
Arbeitsspeicher, CPUs, RAM, NVRAM, Netzwerkschnittstellen, InfiniBand-Adapter,
Festplatten-Controller und Speichermedien. Ein Isilon-Cluster umfasst drei oder mehr
Nodes, bis max. 144.
Wenn Sie einem Cluster einen Node hinzufügen, erhöhen Sie die zusammengefasste
Kapazität von Festplatte, Cache, CPU, RAM und Netzwerk des Clusters. OneFS gruppiert
RAM in einem einzigen kohärenten Cache, damit eine Datenanforderung auf einem Node
Daten nutzen kann, die an beliebiger Stelle zwischengespeichert sind. NVRAM wird so
gruppiert, um Daten mit hohem Durchsatz zu schreiben und Schreibvorgänge vor
Stromausfällen zu schützen. Bei der Erweiterung des Clusters werden die Spindeln und
die CPU kombiniert, um den Durchsatz, die Kapazität und die IOPS zu erhöhen.
EMC Isilon stellt verschiedene Typen von Nodes bereit, die alle einem Cluster hinzugefügt
werden können, um Kapazität und Performance durch Durchsatz oder IOPS
auszugleichen:
Node
Anwendungsbeispiel
S-Serie
IOPS-intensive Anwendungen
X-Serie
Viele gleichzeitige Workflows mit hohem Durchsatz
NL-Serie Nahezu Primärspeichern entsprechende Zugriffszeiten zu vergleichbaren Kosten wie
beim Einsatz von Bandsystemen
HD-Serie Maximum capacity
Die folgenden EMC Isilon-Nodes verbessern die Performance:
30
Node
Funktion
A-Series Performance
Accelerator
Unabhängige Skalierung für hohe Performance
A-Series Backup Accelerator
Schnelle und skalierbare Backup- und
Wiederherstellungslösung für Bandlaufwerke über FibreChannel-Verbindungen
Interne und externe Netzwerke
Ein Cluster umfasst zwei Netzwerke: ein internes Netzwerk für den Datenaustausch
zwischen Nodes und ein externes Netzwerk für die Verarbeitung von Clientverbindungen.
Nodes tauschen Daten über das interne Netzwerk mit einem proprietären UnicastProtokoll über InfiniBand aus. Jeder Node beinhaltet redundante InfiniBand-Ports, sodass
Sie ein zweites internes Netzwerk hinzufügen können, falls das erste ausfällt.
Clients erreichen das Cluster über 1-GigE- oder 10-GigE-Ethernetverbindungen. Da jeder
Node Ethernetports umfasst, wird die Bandbreite des Clusters mit Performance und
Kapazität skaliert, wenn Sie Nodes hinzufügen.
Isilon-Cluster
Ein Isilon-Cluster besteht aus drei oder mehr Hardware-Nodes (bis zu 144). Auf jedem
Node wird das Isilon OneFS-Betriebssystem (die verteilte Dateisystemsoftware)
ausgeführt, das die Nodes mit einem Cluster zusammenfasst. Die Speicherkapazität
eines Clusters reicht von mindestens 18 TB bis maximal 15,5 PB.
Clusteradministration
OneFS zentralisiert das Clustermanagement über eine Webverwaltungsschnittstelle und
eine Befehlszeilenoberfläche. Beide Schnittstellen bieten Methoden zum Aktivieren von
Lizenzen, zur Prüfung des Status von Nodes, zum Konfigurieren des Clusters, zur
Durchführung von Systemupgrades, zur Erzeugung von Warnmeldungen, zum Anzeigen
von Clientverbindungen, zum Nachverfolgen der Performance und zum Ändern diverser
Einstellungen.
Außerdem vereinfacht OneFS die Administration durch Automatisierung der Wartung
mithilfe einer Job-Engine. Sie können Jobs planen, die Virenüberprüfungen durchführen,
Festplatten auf Fehler überprüfen, Speicherplatz zurückgewinnen und die Integrität des
Dateisystems überprüfen. Die Engine managt die Jobs so, dass die Auswirkungen auf die
Performance des Clusters minimiert werden.
Die SNMP-Versionen 2c und 3 ermöglichen Ihnen das Remotemonitoring von
Hardwarekomponenten, CPU-Auslastung, Switche und Netzwerkschnittstellen. EMC Isilon
bietet MIBs (Management Information Bases) und Traps für das OneFS-Betriebssystem.
OneFS bietet außerdem eine RESTful-API (die sog. Plattform-API) für die Automatisierung
von Zugriff, Konfiguration und Monitoring. Beispielsweise können Sie
Performancestatistiken abrufen, Benutzer bereitstellen und das Dateisystem nutzen. Die
Plattform-API ist in der rollenbasierten OneFS-Zugriffskontrolle integriert, um die
Sicherheit zu erhöhen. Siehe Isilon Platform API Reference.
Interne und externe Netzwerke
31
Quorum
Ein Isilon-Cluster muss über ein Quorum verfügen, um ordnungsgemäß funktionieren zu
können. Ein Quorum verhindert Datenkonflikte, beispielsweise in Konflikt stehende
Versionen derselben Datei, falls zwei Node-Gruppen nicht mehr synchron sind. Wenn ein
Cluster sein Quorum für Lese- und Schreibanforderungen verliert, können Sie nicht auf
das OneFS-Dateisystem zugreifen.
Für ein Quorum muss mehr als die Hälfte der Nodes über das interne Netzwerk verfügbar
sein. So benötigt ein Cluster mit sieben Nodes beispielsweise ein Quorum von vier
Nodes. Für einen Cluster mit zehn Nodes ist ein Quorum von sechs Nodes erforderlich.
Wenn ein Node über das interne Netzwerk nicht erreichbar ist, trennt OneFS den Node
vom Cluster, was auch als Splitting bezeichnet wird. Nach dem Splitting eines Clusters
werden Clustervorgänge fortgesetzt, solange genügend Nodes verbunden bleiben, um ein
Quorum zu bilden.
In einem aufgeteilten Cluster werden die im Cluster verbleibenden Nodes als
Mehrheitsgruppe bezeichnet. Nodes, die vom Cluster getrennt wurden, werden als
Minderheitsgruppe bezeichnet.
Wenn getrennte Nodes die Verbindung mit dem Cluster erneut herstellen und mit den
anderen Nodes synchron gehen können, gelangen die Nodes wieder in die
Mehrheitsgruppe des Clusters, was auch als Zusammenführung bezeichnet wird.
Ein OneFS-Cluster besitzt zwei Quorum-Eigenschaften:
l
Lese-Quorum (efs.gmp.has_quorum)
l
Schreib-Quorum (efs.gmp.has_super_block_quorum)
Wenn Sie mit SSH eine Verbindung mit einem Node herstellen und das Befehlszeilentool
sysctl als „Stamm“ ausführen, können Sie den Status beider Quorum-Typen anzeigen.
Hier ein Beispiel für ein Cluster, das ein Quorum für Lese- und Schreibvorgänge hat, was
die Befehlsausgabe mit 1 für TRUE angibt:
sysctl efs.gmp.has_quorum
efs.gmp.has_quorum: 1
sysctl efs.gmp.has_super_block_quorum
efs.gmp.has_super_block_quorum: 1
Herunterstufungen von Nodes wie Smartfail, Schreibschutz, Offline usw. betreffen das
Quorum auf verschiedene Art und Weise. Ein Node im Smartfail- oder schreibgeschützten
Status hat nur Auswirkungen auf das Schreib-Quorum. Ein Node im Offlinestatus wirkt
sich jedoch auf Lese- und Schreib-Quorum aus. In einem Cluster bestimmt die
Kombination von Nodes in verschiedenen heruntergestuften Status, ob Lese- oder
Schreibanforderungen oder beide Arten von Anforderungen funktionieren.
Ein Cluster kann das Schreib-Quorum verlieren, jedoch das Lese-Quorum beibehalten.
Beispiel: ein Cluster mit vier Nodes, bei dem die Nodes 1 und 2 ordnungsgemäß
funktionieren. Node 3 befindet sich in einem schreibgeschützten Status und Node 4
befindet sich in einem Smartfail-Status. In einem solchen Fall sind Leseanforderungen an
das Cluster erfolgreich. Schreibanforderungen erhalten jedoch einen Ein-/Ausgabefehler,
da der Status der Nodes 3 und 4 das Schreib-Quorum überwindet.
Ein Cluster kann ein Lese- und Schreib-Quorum auch ganz verlieren. Wenn die Nodes 3
und 4 in einem Cluster mit vier Nodes in einem Offlinestatus sind, erhalten sowohl
Schreib- als auch Leseanforderungen einen Ein-/Ausgabefehler, sodass Sie nicht auf das
Dateisystem zugreifen können. Wenn OneFS die Verbindung mit den Nodes erneut
herstellen kann, führt OneFS die Nodes wieder im Cluster zusammen. Im Unterschied zu
32
einem RAID-System kann ein Isilon-Node wieder dem Cluster beitreten, ohne neu erstellt
und neu konfiguriert werden zu müssen.
Aufteilen und Zusammenführen
Die Aufteilung und Zusammenführung optimiert die Nutzung von Nodes ohne
Benutzereingriff.
OneFS überwacht jeden Node in einem Cluster. Wenn ein Node über das interne Netzwerk
nicht erreichbar ist, trennt OneFS den Node vom Cluster, was auch als Splitting
bezeichnet wird. Wenn das Cluster die Verbindung mit dem Node wiederherstellen kann,
fügt OneFS den Node dem Cluster wieder hinzu, was auch als Zusammenführen
bezeichnet wird.
Wenn ein Node von einem Clusters getrennt wird, erfasst er weiterhin lokale
Eventinformationen. Sie können mit SSH eine Verbindung mit einem Split-Node
herstellen und den Befehl isi events list ausführen, um das lokale Eventprotokoll
für den Node anzuzeigen. Das lokale Eventprotokoll kann Ihnen dabei helfen, das
Verbindungsproblem zu beheben, das zur Aufteilung führte. Wenn ein Split-Node wieder
dem Cluster beitritt, werden die lokalen Events, die während der Trennung erfasst
wurden, gelöscht. Sie können die von einem Split-Node erzeugten Events weiterhin
anzeigen, indem Sie die Eventprotokolldatei des Nodes unter /var/log/
isi_celog_events.log öffnen.
Wenn ein Cluster während eines Schreibvorgangs aufgeteilt wird, muss OneFS
möglicherweise Blöcke für die Datei auf der Seite mit dem Quorum neu zuweisen,
wodurch zugewiesene Blöcke auf der Seite ohne Quorum verwaisen. Wenn die SplitNodes die Verbindung mit dem Cluster wiederherstellen, werden die verwaisten Blöcke
mit dem Systemjob OneFS Collect wieder zurückgewonnen.
In der Zwischenzeit, d. h. während der Aufteilung und Zusammenführung von Nodes mit
dem Cluster, verteilt der AutoBalance-Job von OneFS die Daten gleichmäßig über Nodes
im Cluster, um den Schutz zu optimieren und Speicherplatz zu sparen.
Speicherpools
Speicherpools segmentieren Nodes und Dateien in logische Bereiche, um das Managen
und Speichern von Daten zu vereinfachen.
Ein Speicherpool enthält Node-Pools und Tiers. Node-Pools gruppieren äquivalente
Nodes, um Daten zu schützen und Zuverlässigkeit zu ermöglichen. Tiers kombinieren
Node-Pools, um Speicher je nach Bedarf zu optimieren, beispielsweise ein häufig
genutzter Highspeed-Tier oder ein Archiv, auf das selten zugegriffen wird.
Das SmartPools-Modul gruppiert Nodes und Dateien in Pools. Wenn Sie keine
SmartPools-Lizenz aktivieren, stellt das Modul Node-Pools bereit und erstellt einen
Dateipool. Wenn Sie die SmartPools-Lizenz aktivieren, stehen Ihnen mehr Funktionen zur
Verfügung. Sie können z. B. mehrere Dateipools erstellen und diese mit Policies steuern.
Die Policies verschieben Dateien, Verzeichnisse und Dateipools zwischen Node-Pools
oder Tiers. Sie können auch festlegen, wie OneFS Schreibvorgänge verarbeitet, wenn ein
Node-Pool oder Tier voll ist. SmartPools reserviert ein virtuelles Hot Spare, um Daten
erneut zu schützen, falls ein Laufwerk ausfällt. Dies ist unabhängig davon, ob die
SmartPools-Lizenz aktiviert ist.
IP-Adressenpools
Innerhalb des Subnetzes können Sie die externen Netzwerkschnittstellen eines Clusters
in Pools von IP-Adressbereichen partitionieren. Mit den Pools können Sie Ihr
Speichernetzwerk anpassen, sodass es verschiedenen Gruppen von Benutzern zur
Aufteilen und Zusammenführen
33
Verfügung steht. Obgleich Sie das standardmäßige externe IP-Subnetz zunächst im IPv4Format konfigurieren müssen, können Sie zusätzliche Subnetze in IPv4 oder IPv6
konfigurieren.
Sie können IP-Adressenpools mit einem Node, einer Node-Gruppe oder mit NIC-Ports
verknüpfen. Beispielsweise können Sie ein Subnetz für Speicher-Nodes und ein anderes
Subnetz für Accelerator Nodes einrichten. Ebenso können Sie eine Reihe von IP-Adressen
in einem Subnetz verschiedenen Teams zuweisen, beispielsweise Technik und Vertrieb.
Diese Optionen helfen Ihnen, eine Speichertopologie aufzubauen, die den
Anforderungen Ihres Netzwerks entspricht.
Darüber hinaus können Sie mit Netzwerk-Provisioning-Regeln die Einrichtung externer
Verbindungen rationalisieren. Nachdem Sie die Regeln mit Netzwerkeinstellungen
konfiguriert haben, können Sie die Einstellungen auf neue Nodes anwenden.
Als Standardfunktion gleicht das OneFS SmartConnect-Modul Verbindungen zwischen
Nodes aus und verwendet hierfür eine Round-Robin-Policy mit statischen IP-Adressen
und einem IP-Adressenpool für jedes Subnetz. Das Aktivieren einer SmartConnect
Advanced-Lizenz bietet zusätzliche Funktionen, wie beispielsweise das Definieren von IPAdressenpools für den Support mehrerer DNS-Zonen.
Das OneFS-Betriebssystem
OneFS ist ein verteiltes Betriebssystem, das auf FreeBSD basiert. Es stellt das
Dateisystem eines Isilon-Clusters als einzige Freigabe oder einziger Export mit einer
zentralen Administrationsstelle dar.
Das OneFS-Betriebssystem übernimmt folgende Aufgaben:
l
Support gemeinsamer Datenzugriffsprotokolle wie SMB und NFS
l
Verbindung zu mehreren Identitätsmanagementsystemen wie Active Directory und
LDAP
l
Authentifizierung von Benutzern und Gruppen
l
Steuerung des Zugriffs auf Verzeichnisse und Dateien
Datenzugriffsprotokolle
Mit dem OneFS-Betriebssystem können Sie über mehrere Dateifreigabe- und
Übertragungsprotokolle auf Daten zugreifen. Daher können Microsoft Windows-, UNIX-,
Linux- und Mac OS X-Clients dieselben Verzeichnisse und Dateien gemeinsam nutzen.
OneFS unterstützt die folgenden Protokolle:
SMB
Das SMB-Protokoll (Server Message Block) ermöglicht Windows-Benutzern den
Zugriff auf das Cluster. OneFS arbeitet mit SMB 1, SMB 2 und SMB 2.1 und SMB 3.0
nur für Multichannel. Mit SMB 2.1 unterstützt OneFS Client Oplocks (Opportunity
Locks) und große MTU-Größen (1 MB). Die Standarddateifreigabe ist /ifs.
NFS
Das NFS-Protokoll (Network File System) ermöglicht UNIX-, Linux- und Mac OS XSystemen das remote Mounten jedes Unterverzeichnisses, einschließlich der
Unterverzeichnisse, die von Windows-Benutzern erstellt werden. OneFS arbeitet mit
den NFS-Versionen 3 bis 4. Der Standardexport ist /ifs.
HDFS
Das HDFS-Protokoll (Hadoop Distributed File System) ermöglicht einem Cluster die
Zusammenarbeit mit Apache Hadoop, einem Framework für datenintensive verteilte
Anwendungen. Für die HDFS-Integration ist die Aktivierung einer separaten Lizenz
erforderlich.
34
FTP
Mit FTP können Systeme mit FTP-Client eine Verbindung mit dem Cluster herstellen
und Dateien austauschen.
HTTP
HTTP gibt Systemen browserbasierten Zugriff auf Ressourcen. OneFS beinhaltet
eingeschränkten Support für WebDAV.
Identitätsmanagement und Zugriffskontrolle
OneFS arbeitet mit mehreren Identitätsmanagementsystemen, um Benutzer zu
authentifizieren und den Zugriff auf Dateien zu kontrollieren. Darüber hinaus bietet
OneFS Zugriffszonen, mit denen Benutzer von verschiedenen Verzeichnisservices aus auf
Grundlage ihrer IP-Adresse auf verschiedene Ressourcen zugreifen können. Die
rollenbasierte Zugriffskontrolle segmentiert unterdessen den Administratorzugriff nach
Rollen.
OneFS authentifiziert Benutzer mit den folgenden Identitätsmanagementsystemen:
l
Microsoft Active Directory (AD)
l
Lightweight Directory Access Protocol (LDAP)
l
Network Information Service (NIS)
l
Lokale Benutzer und lokale Gruppen
l
Ein Dateianbieter für Konten in den Dateien /etc/spwd.db und /etc/group. Mit
dem Dateianbieter können Sie rechtliche Benutzer- und Gruppeninformationen eines
Drittanbieters hinzufügen.
Sie können Benutzer mit unterschiedlichen Identitätsmanagementsystemen managen.
OneFS ordnet die Konten so zu, dass Windows- und UNIX-Identitäten kombiniert werden
können. So wird beispielsweise ein in Active Directory gemanagtes WindowsBenutzerkonto einem entsprechenden UNIX-Konto in NIS oder LDAP zugeordnet.
Für die Zugriffskontrolle arbeitet ein Isilon-Cluster mit ACLs (Zugriffskontrolllisten) von
Windows-Systemen und POSIX-Modusbits von UNIX-Systemen. Wenn OneFS die
Berechtigungen einer Datei von ACLs zu Modusbits oder von Modusbits zu ACLs
übertragen muss, führt OneFS die Berechtigungen zusammen, um konsistente
Sicherheitseinstellungen aufrechtzuerhalten.
OneFS stellt protokollspezifische Ansichten von Berechtigungen zur Verfügung, sodass
NFS-Exporte Modusbits anzeigen und SMB-Freigaben ACLs anzeigen. Sie können jedoch
nicht nur Modusbits, sondern auch ACLs mit Standard-UNIX-Tools wie beispielsweise den
Befehlen chmod und chown managen. Darüber hinaus können Sie mithilfe von ACLPolicies konfigurieren, wie OneFS Berechtigungen für Netzwerke managt, in denen
Windows- und UNIX-Systeme kombiniert werden.
Zugriffszonen
OneFS beinhaltet eine Zugriffszonenfunktion. Zugriffszonen ermöglichen Benutzern
verschiedener Authentifizierungsanbieter, beispielsweise zweier nicht
vertrauenswürdiger Active Directory-Domains, den Zugriff auf verschiedene OneFSRessourcen auf Grundlage einer eingehenden IP-Adresse. Eine Zugriffszone kann
mehrere Authentifizierungsanbieter und SMB-Namespaces enthalten.
Identitätsmanagement und Zugriffskontrolle
35
RBAC für die Administration
OneFS umfasst die rollenbasierte Zugriffskontrolle (RBAC) für die Administration.
Anstelle eines Stamm- oder Administratorkontos ermöglicht RBAC das Management
des Administratorzugriffs nach Rollen. Eine Rolle beschränkt die Berechtigungen auf
einen Bereich der Administration. Sie können beispielsweise separate
Administratorrollen für Sicherheit, Auditing, Speicher und Backup erstellen.
Struktur des Dateisystems
OneFS stellt alle Nodes in einem Cluster als globalen Namespace, d. h. als
Standarddateifreigabe /ifs dar.
Im Dateisystem sind Verzeichnisse Inode-Nummernlinks. Inodes enthalten
Dateimetadaten und eine Inode-Nummer, die den Standort einer Datei identifiziert.
OneFS weist Inodes dynamisch zu, wobei es hinsichtlich der Anzahl der Inodes keine
Höchstgrenze gibt.
Für die Verteilung von Daten auf Nodes sendet OneFS Meldungen mit einer global
weiterleitungsfähigen Blockadresse über das interne Netzwerk des Clusters. Die
Blockadresse identifiziert den Node und das Laufwerk, auf dem der Datenblock
gespeichert ist.
Hinweis
Es wird empfohlen, dass Sie Daten nicht unter dem Stammdateipfad /ifs, sondern in
den Verzeichnissen unterhalb von /ifs speichern. Ihre Datenspeicherstruktur sollte
sorgfältig geplant werden. Eine gut durchdachte Verzeichnisstruktur optimiert die
Performance und die Administration des Clusters.
Datenlayout
OneFS verteilt Daten gleichmäßig auf die Nodes eines Clusters und nutzt dabei
Layoutalgorithmen, mit denen Speichereffizienz und Performance maximiert werden. Das
System weist Daten kontinuierlich neu zu, um Speicherplatz zu sparen.
OneFS teilt Daten in kleinere Abschnitte (sog. Blöcke) auf und das System platziert die
Blöcke anschließend in einer Stripe-Einheit. Durch das Referenzieren von Dateidaten
oder Löschcodes schützen Stripe-Einheiten Dateien vor Hardwarefehlern. Die Größe einer
Stripe-Einheit ist abhängig von der Dateigröße, der Anzahl der Nodes und den
Sicherheitseinstellungen. Nachdem OneFS die Daten in Stripe-Einheiten unterteilt hat,
weist OneFS die Stripe-Einheiten den Nodes im Cluster zu.
Wenn ein Client eine Verbindung mit einem Node herstellt, finden die Lese- und
Schreibvorgänge des Clients auf mehreren Nodes statt. Wenn ein Client beispielsweise
eine Verbindung mit einem Node herstellt und eine Datei anfordert, ruft der Node die
Daten von mehreren Nodes ab und baut die Datei erneut auf. Sie können das Datenlayout
von OneFS optimieren, um Ihre wichtigsten Zugriffsmuster wie gleichzeitiges Streaming
oder Zufallszugriff zu berücksichtigen.
Schreiben von Dateien
Auf einem Node werden die Ein-/Ausgabevorgänge des OneFS-Softwarestapels in zwei
funktionale Layer aufgeteilt: einen obersten Layer (oder Initiator) und einen unteren Layer
(oder Teilnehmer). Bei Lese- und Schreibvorgängen spielen der Initiator und der
Teilnehmer verschiedene Rollen.
36
Wenn ein Client eine Datei auf einen Node schreibt, managt der Initiator auf dem Node
das Layout der Datei auf dem Cluster. Zunächst teilt der Initiator die Datei in Blöcke von
je 8 KB. Dann platziert der Initiator die Blöcke in eine oder mehrere Stripe-Einheiten. Bei
128 KB besteht eine Stripe-Einheit aus 16 Blöcken. Als Nächstes verteilt der Initiator die
Stripe-Einheiten über das Cluster, bis sie eine Clusterbreite umfassen und einen Stripe
bilden. Die Breite des Stripe hängt von der Anzahl der Nodes und von den
Sicherheitseinstellungen ab.
Nach Unterteilung einer Datei in Stripe-Einheiten schreibt der Initiator die Daten zuerst in
den nicht-flüchtigen Arbeitsspeicher (NVRAM) und dann auf die Festplatte. Im NVRAM
werden die Daten auch beim Ausschalten der Stromversorgung vorgehalten.
Während der Schreibtransaktion schützt der NVRAM die Daten durch Protokollierung vor
fehlgeschlagenen Nodes: Wenn ein Node während einer Transaktion fehlschlägt, wird die
Transaktion ohne den fehlgeschlagenen Node neu gestartet. Wenn der Node wieder
funktionsfähig ist, wird das Protokoll vom NVRAM abgerufen, um die Transaktion zu
beenden. Der Node führt gleichfalls den AutoBalance-Job aus, um das FestplattenStriping der Datei zu überprüfen. Unterdessen werden die unbestätigten
Schreibvorgänge, die im Cache warten, durch Spiegelung geschützt. Auf diese Weise
eliminiert OneFS mehrere Points-of-Failure.
Lesen von Dateien
Bei einem Lesevorgang tritt ein Node als ein Manager auf, um Daten aus den anderen
Nodes zu erfassen und diese dem anfordernden Client zu präsentieren.
Da der kohärente Cache eines Isilon-Clusters alle Nodes umfasst, kann OneFS
verschiedene Daten im RAM jedes Node speichern. Durch Verwendung des InfiniBandNetzwerks kann ein Node File-basierte Daten vom Cache eines anderen Node schneller
als vom eigenen lokalen Laufwerk abrufen. Wenn bei einem Lesevorgang Daten
angefordert werden, die auf einem beliebigen Node zwischengespeichert sind, ruft OneFS
die zwischengespeicherten Daten schnell ab, um die Anforderung zu erfüllen.
Des Weiteren führt OneFS für Dateien mit einem gleichzeitigen oder StreamingZugriffsmuster einen Pre-Fetch häufig benötigter Daten in den lokalen Cache des
Manager-Node durch, um die Performance sequenzieller Lesevorgänge weiter zu
verbessern.
Metadatenlayout
OneFS schützt Metadaten, indem diese über Nodes und Laufwerke verteilt werden.
Metadaten (z. B. Informationen darüber, wo eine Datei gespeichert ist, wie sie geschützt
wird und wer auf sie zugreifen darf) werden in Inodes gespeichert und mit Sperren in
einer B+-Struktur geschützt. Dies ist eine Standardstruktur zur Organisation von
Datenblöcken in einem Dateisystem mit sofortigen Abfragen. OneFS repliziert
Dateimetadaten im gesamten Cluster, sodass kein Single-Point-of-Failure vorliegt.
Durch Kooperation helfen alle Nodes beim Management des Zugriffs auf und der
Sperrung von Metadaten. Wenn ein Node einen Fehler in Metadaten erkennt, sucht der
Node die Metadaten an einem anderen Standort und korrigiert dann den Fehler.
Sperren und Gleichzeitigkeit
OneFS enthält einen verteilten Sperrenmanager, der Sperren auf Daten auf allen Nodes in
einem Cluster koordiniert.
Der Sperrenmanager gewährt Sperren für das Dateisystem, für Bytebereiche und
Protokolle, einschließlich Modussperren für SMB-Freigaben und informativer NFS-
Lesen von Dateien
37
Sperren. OneFS unterstützt außerdem SMB Opportunistic Locks und NFSv4Delegierungen.
Da OneFS den Sperrenmanager über alle Nodes verteilt, kann jeder Node als ein
Sperrenkoordinator fungieren. Wenn der Thread eines Node eine Sperre anfordert, wird
die Koordinatorrolle vom Hashing-Algorithmus des Sperrenmanagers in der Regel einem
anderen Node zugewiesen. Der Koordinator weist abhängig von der Art der Anforderung
eine gemeinsam genutzte Sperre oder eine exklusive Sperre zu. Mit einer gemeinsam
genutzten Sperre können Benutzer eine Datei gleichzeitig gemeinsam nutzen, in der
Regel für Lesevorgänge. Mit einer exklusiven Sperre kann nur ein Benutzer auf eine Datei
zugreifen, in der Regel für Schreibvorgänge.
Striping
In einem Prozess, der als Striping bezeichnet wird, segmentiert OneFS Dateien in
Dateneinheiten und verteilt die Einheiten anschließend auf Nodes in einem Cluster.
Striping schützt Ihre Daten und verbessert die Clusterperformance.
Um eine Datei zu verteilen, reduziert OneFS diese auf Datenblöcke, ordnet die Blöcke in
Stripe-Einheiten und weist die Stripe-Einheiten über das interne Netzwerk anschließend
zu Nodes zu.
Gleichzeitig verteilt OneFS Löschcodes, die die Datei schützen. Die Löschcodes kodieren
die Daten der Datei in einem verteilten Satz aus Symbolen und fügen platzsparende
Redundanz hinzu. Mit nur einem Teil des Symbolsatzes kann OneFS die ursprünglichen
File-basierten Daten wiederherstellen.
Gemeinsam bilden die Daten und ihre Redundanz eine Sicherheitsgruppe für eine Region
von File-basierten Daten. OneFS speichert die Sicherheitsgruppen auf unterschiedlichen
Laufwerken auf unterschiedlichen Nodes und erstellt auf diese Weise Daten-Stripes.
Da OneFS Daten auf alle Nodes verteilt, die als Peers zusammenarbeiten, kann ein
Benutzer, der sich mit einem beliebigen Node verbindet, die gesamte Performance des
Clusters nutzen.
Standardmäßig optimiert OneFS Striping für gleichzeitigen Zugriff. Wenn Ihr wichtigstes
Zugriffsmuster das Streaming ist, d. h. niedrigerer gleichzeitiger Zugriff, höhere SingleStream-Workloads, wie bei Videos, können Sie ändern, wie OneFS beim Layout der Daten
vorgehen soll, um die Performance sequenzieller Lesevorgänge zu erhöhen. Für eine
bessere Handhabung des Streaming-Zugriffs führt OneFS das Striping der Daten über
mehrere Laufwerke durch. Das Streaming ist auf Clustern oder Subpools, die große
Dateien bereitstellen, am effizientesten.
Datensicherheit – Überblick
Ein Isilon-Cluster ist darauf ausgelegt, Daten selbst beim Ausfall von Komponenten
bereitzustellen. Standardmäßig schützt OneFS Daten mit Löschcodes, wodurch Sie
Dateien abrufen können, wenn ein Node oder eine Festplatte ausfällt. Als Alternative zu
Löschcodes können Sie Daten auch mit zwei bis acht Spiegelungen schützen.
Wenn Sie ein Cluster mit fünf oder mehr Nodes erstellen, bieten Löschcodes eine bis zu
80 % höhere Effizienz. Bei größeren Clustern bieten Löschcodes bis zu vier
Redundanzlevel.
Neben Löschcodes und Spiegelung umfasst OneFS die folgenden Funktionen, mit denen
die Integrität, Verfügbarkeit und Vertraulichkeit von Daten geschützt werden:
38
Funktion
Beschreibung
Virenschutz
Mit OneFS können Dateien an Server gesendet werden, auf denen das
ICAP (Internet Content Adaptation Protocol) ausgeführt wird, um auf
Viren und andere Bedrohungen gescannt zu werden.
Clones
Mit OneFS können Sie Clones erstellen, die Blöcke gemeinsam mit
anderen Dateien nutzen, um Speicherplatz zu sparen.
NDMP-Backup und
Wiederherstellung
OneFS kann Daten über das NDMP (Network Data Management
Protocol) auf Bandgeräte und andere Geräte sichern. OneFS
unterstützt sowohl NDMP-Drei-Wege- als auch bidirektionale
Backups, wobei für bidirektionale Backups ein Isilon Backup
Accelerator Node erforderlich ist.
Sicherheitsdomains
Sie können Sicherheitsdomains auf Dateien und Verzeichnissen
anwenden, um Änderungen zu verhindern.
Die folgenden Softwaremodule helfen ebenfalls, Daten zu schützen, wobei Sie für diese
eine separate Lizenz aktivieren müssen:
Lizenzierte
Funktion
Beschreibung
SyncIQ
SyncIQ repliziert Daten auf einem anderen Isilon-Cluster und automatisiert
Failover- und Failback-Vorgänge zwischen Clustern. Wenn ein Cluster
unbrauchbar wird, können Sie ein Failover zu einem anderen Isilon-Cluster
durchführen.
SnapshotIQ
Sie können Daten mit einem Snapshot schützen, d. h., mit einer logischen
Kopie der Daten, die auf einem Cluster gespeichert sind.
SmartLock
Das SmartLock-Tool verhindert das Ändern und Löschen von Dateien durch
Benutzer. Sie können Dateien einen WORM-Status (Write-Once Read-Many)
zuweisen: Die Datei kann nie geändert und erst nach Ablauf einer festgelegten
Aufbewahrungsfrist gelöscht werden. SmartLock kann Ihnen dabei helfen, die
Vorschrift 17a-4 der Securities and Exchange Commission einzuhalten.
N+M-Datensicherheit
OneFS unterstützt die N+M-Löschcodelevel N+1, N+2, N+3 und N+4.
Im N+M-Datenmodell stellt N die Anzahl der Nodes dar und M die Anzahl der gleichzeitig
auftretenden Ausfälle von Nodes oder Laufwerken, die ein Cluster ohne Datenverlust
verarbeiten kann. Beispielsweise kann ein Cluster mit N+2 zwei Laufwerke auf
unterschiedlichen Nodes oder zwei Nodes verlieren.
Um Laufwerke und Nodes separat zu schützen, unterstützt OneFS auch N+M:B. In der N
+M:B-Notierung ist M die Anzahl der Festplattenausfälle und B die Anzahl der NodeAusfälle. Mit N+3:1-Schutz kann das Cluster beispielsweise ohne Datenverlust drei
Laufwerke oder einen Node verlieren.
Das Standardsicherheitslevel für Cluster mit mehr als 18 TB ist N+2:1. Der Standardwert
für Cluster mit weniger als 18 TB ist N+1.
Die Quorum-Regel schreibt die Anzahl der Nodes vor, die erforderlich sind, um ein
Sicherheitslevel zu unterstützen. Beispiel: Für N+3 sind mindestens sieben Nodes
erforderlich, damit Sie ein Quorum aufrechterhalten können, wenn drei Nodes ausfallen.
N+M-Datensicherheit
39
Sie können jedoch ein Sicherheitslevel festlegen, das höher ist, als das Cluster
unterstützen kann. In einem Cluster mit vier Nodes können Sie beispielsweise das
Sicherheitslevel auf 5x festlegen. OneFS schützt die Daten bei 4x, bis ein fünfter Node
hinzugefügt wird. Danach schützt OneFS die Daten automatisch bei 5x.
Datenspiegelung
Sie können auf Laufwerken gespeicherte Daten durch Spiegelung schützen, wodurch
Daten an mehrere Standorte kopiert werden. OneFS unterstützt zwei bis acht
Spiegelungen. Sie können die Spiegelung anstelle von Löschcodes verwenden oder
Löschcodes und Spiegelung miteinander kombinieren.
Die Spiegelung belegt jedoch mehr Speicherplatz als die Löschcodes. Bei einer
dreifachen Datenspiegelung werden Daten dreimal dupliziert, wodurch mehr
Speicherplatz als bei Löschcodes erforderlich ist. Daher eignet sich die Spiegelung für
Transaktionen, die eine hohe Performance erfordern.
Sie können die Spiegelung auch mit Löschcodes mischen. Während eines
Schreibvorgangs teilt OneFS Daten in redundante Sicherheitsgruppen auf. Für Dateien,
die von Löschcodes geschützt werden, besteht eine Sicherheitsgruppe aus Datenblöcken
und ihren Löschcodes. Für gespiegelte Dateien besteht eine Sicherheitsgruppe aus allen
Spiegelungen einer Blockgruppe. OneFS kann den Sicherheitsgruppentyp während des
Schreibvorgangs einer Datei auf ein Laufwerk wechseln. Durch die dynamische Änderung
der Sicherheitsgruppe kann OneFS trotz eines Node-Ausfalls, durch den das Cluster keine
Löschcodes anwenden kann, mit dem Schreiben der Daten fortfahren. Nachdem der
Node wiederhergestellt wurde, konvertiert OneFS die gespiegelten Sicherheitsgruppen
automatisch in Löschcodes.
Das Dateisystemjournal
Ein Journal, das Dateisystemänderungen in einer akkugestützten NVRAM-Karte speichert,
stellt das Dateisystem nach Ausfällen wie einem Stromausfall wieder her. Wenn ein Node
neu gestartet wird, gibt das Journal die Dateitransaktionen erneut wieder, um das
Dateisystem wiederherzustellen.
Virtuelle Hot Spares
Wenn ein Laufwerk ausfällt, verwendet OneFS reservierten Speicher aus einem Subpool
anstelle eines Hot-Spare-Laufwerks. Der reservierte Speicherplatz ist als virtueller Hot
Spare bekannt.
Im Gegensatz zu einem Ersatzlaufwerk behebt ein virtueller Hot Spare Laufwerksausfälle
automatisch und fährt mit den Datenschreibvorgängen fort. Wenn ein Laufwerk ausfällt,
migriert OneFS Daten in den virtuellen Hot Spare, um diese erneut zu schützen. Sie
können bis zu vier Laufwerke als virtuelle Hot Spares reservieren.
Ausgleich zwischen Schutz und Speicherplatz
Sie können Sicherheitslevel festlegen, um einen Ausgleich zwischen
Sicherheitsanforderungen und Speicherplatz zu schaffen.
Höhere Sicherheitslevel belegen in der Regel mehr Speicherplatz als niedrigere Level,
weil ein Teil des Speicherplatzes zur Speicherung von Löschcodes verwendet wird. Der
Overhead für Löschcodes hängt vom Sicherheitslevel, der Dateigröße und der Anzahl der
Nodes im Cluster ab. Da OneFS Daten und Löschcodes über die Nodes verteilt, wird der
Overhead geringer, wenn Sie Nodes hinzufügen.
40
VMware-Integration
OneFS kann in verschiedene VMware-Produkte, einschließlich vSphere, vCenter und ESXi,
integriert werden.
Beispielsweise funktioniert OneFS mit VASA (VMware vSphere API for Storage
Awareness), sodass Sie Informationen über ein Isilon-Cluster in vSphere anzeigen
können. OneFS funktioniert auch mit VAAI (VMware vSphere API for Array Integration), um
die folgenden Funktionen für Blockspeicher zu unterstützen: hardwaregestützte Sperren,
vollständige Kopien und Block Zeroing. VAAI für NFS erfordert ein ESXi-Plug-in.
Mit dem Isilon for vCenter-Plug-in können Sie virtuelle Maschinen auf einem IsilonCluster sichern und wiederherstellen. Über den Isilon Storage Replication Adapter kann
OneFS in VMware vCenter Site Recovery Manager integriert werden, um virtuelle
Maschinen wiederherzustellen, die zwischen Isilon-Clustern repliziert werden.
Softwaremodule
Sie können auf erweiterte Funktionen zugreifen, indem Sie Lizenzen für EMC IsilonSoftwaremodule aktivieren.
SmartLock
SmartLock schützt wichtige Daten vor schädlichen, versehentlichen oder vorzeitigen
Änderungen oder Löschungen, sodass Sie die SEC 17a-4-Vorschriften einhalten
können. Sie können Daten automatisch in einen manipulationssicheren Status
versetzen und diese anschließend mit einer Complianceuhr aufbewahren.
Automatisiertes Failover und Failback mit SyncIQ
SyncIQ repliziert Daten auf einem anderen Isilon-Cluster und automatisiert Failoverund Failback-Vorgänge zwischen Clustern. Wenn ein Cluster unbrauchbar wird,
können Sie ein Failover zu einem anderen Isilon-Cluster durchführen. Ein Failback
stellt die ursprünglichen Quelldaten wieder her, sobald das primäre Cluster wieder
verfügbar ist.
Datei-Clones
OneFS stellt Provisioning von vollständigen Lese-/Schreibkopien von Dateien, LUNs
und anderen Clones bereit. OneFS stellt außerdem mit virtuellen Maschinen
verbundenes Cloning über die VMware-API-Integration bereit.
SnapshotIQ
SnapshotIQ schützt Daten mit einem Snapshot, einer logischen Kopie der Daten, die
auf einem Cluster gespeichert sind. Ein Snapshot kann in seinem obersten
Verzeichnis wiederhergestellt werden.
SmartPools
SmartPools ermöglichen Ihnen die Erstellung mehrerer Dateipools, die von
Dateipool-Policies gesteuert werden. Die Policies verschieben Dateien und
Verzeichnisse zwischen Node-Pools oder Tiers. Sie können auch festlegen, wie
OneFS Schreibvorgänge verarbeitet, wenn ein Node-Pool oder Tier voll ist.
VMware-Integration
41
SmartConnect
Wenn Sie eine SmartConnect Advanced-Lizenz aktivieren, können Sie Policies
aufeinander abstimmen und CPU-Auslastung, Clientverbindungen oder Durchsatz
gleichmäßig verteilen. Sie können außerdem IP-Adressenpools festlegen, um
mehrere DNS-Zonen in einem Subnetz zu unterstützen. Darüber hinaus unterstützt
SmartConnect ein IP-Failover, auch bekannt als NFS-Failover.
InsightIQ
Die virtuelle InsightIQ-Appliance überwacht und analysiert die Performance des
Isilon-Clusters, wodurch Sie Speicherressourcen optimieren und Kapazität
prognostizieren können.
Aspera for Isilon
Aspera verschiebt große Dateien schnell über große Entfernungen. Aspera for Isilon
ist eine clusterfähige Version der Aspera-Technologie für unterbrechungsfreie WANContent-Bereitstellungen.
HDFS
OneFS arbeitet mit dem Hadoop Distributed File System-Protokoll, wodurch Clients,
auf denen Apache Hadoop, ein Framework für datenintensive verteilte
Anwendungen, ausgeführt wird, Big Data besser analysieren können.
SmartQuotas
Das SmartQuotas-Modul verfolgt die Laufwerksnutzung mithilfe von Berichten und
erzwingt Speichergrenzen mit Warnmeldungen.
42
KAPITEL 3
l
l
l
l
l
l
Überblick über die OneFS-Befehlszeilenoberfläche............................................... 44
Syntaxdiagramme................................................................................................. 44
Universelle Optionen.............................................................................................45
Berechtigungen für die Befehlszeilenoberfläche....................................................45
SmartLock-Compliancebefehlsberechtigungen......................................................49
OneFS-Zeitwerte....................................................................................................52
43
Überblick über die OneFS-Befehlszeilenoberfläche
Die OneFS-Befehlszeilenoberfläche erweitert den UNIX-Standardbefehlssatz durch
Befehle, mit denen Sie ein Isilon-Cluster außerhalb der Webverwaltungsschnittstelle oder
des LCD-Panels managen können. Sie können auf die Befehlszeilenoberfläche zugreifen,
indem Sie eine SSH-Verbindung (Secure Shell) zu einem beliebigen Node im Cluster
herstellen.
Sie können isi-Befehle ausführen, um Isilon-Cluster und die einzelnen Nodes in einem
Cluster zu konfigurieren, zu überwachen und zu managen. Für jeden Befehl werden eine
kurze Beschreibung, Nutzungsinformationen und Beispiele bereitgestellt.
Syntaxdiagramme
Das Format jedes Befehls wird in einem Syntaxdiagramm beschrieben.
Die folgenden Konventionen gelten für Syntaxdiagramme:
Element Beschreibung
[]
Eckige Klammern weisen auf ein optionales Element hin. Wenn Sie den Inhalt der
eckigen Klammern bei der Angabe eines Befehls auslassen, wird der Befehl dennoch
erfolgreich ausgeführt.
<>
Spitze Klammern weisen auf einen Platzhalterwert hin. Sie müssen die Inhalte der
spitzen Klammern durch einen gültigen Wert ersetzen, da der Befehl andernfalls
fehlschlägt.
{}
Geschweifte Klammern weisen auf eine Elementgruppe hin. Wenn die Inhalte der
Klammern durch einen senkrechten Strich getrennt sind, schließen sich die Inhalte
gegenseitig aus. Wenn die Inhalte der Klammern nicht durch einen Strich getrennt
sind, müssen sie zusammen angegeben werden.
|
Vertikale Striche trennen sich gegenseitig ausschließende Elemente in den Klammern.
...
Ellipsen weisen darauf hin, dass das vorangehende Element mehrmals wiederholt
werden kann. Wenn Ellipsen einer geschweiften oder spitzen Klammer folgen, können
die Inhalte der Klammern mehrmals wiederholt werden.
Jeder isi-Befehl umfasst drei Komponenten: Befehl, erforderliche Optionen und
optionale Optionen. Erforderliche Optionen sind positional, was bedeutet, dass Sie sie in
der Reihenfolge angeben müssen, in der sie im Syntaxdiagramm angezeigt werden. Sie
können jedoch eine erforderliche Option in einer anderen Reihenfolge angeben, indem
Sie dem in eckigen Klammern angezeigten Text einen doppelten Bindestrich voranstellen.
Ein Beispiel sehen Sie in isi snapshot snapshots create.
isi snapshot snapshots create <name> <path>
[--expires <timestamp>]
[--alias <string>]
[--verbose]
44
Wenn den Optionen <name> und <path> doppelte Bindestriche vorangestellt werden,
können die Optionen im Befehl verschoben werden. Beispielsweise ist der folgende
Befehl gültig:
isi snapshot snapshots create --verbose --path /ifs/data --alias
newSnap_alias --name newSnap
Verkürzte Versionen von Befehlen werden akzeptiert, sofern der Befehl eindeutig ist und
nicht auf mehrere Befehle zutrifft. Beispielsweise ist isi snap snap c
newSnap /ifs/data äquivalent mit isi snapshot snapshots create
newSnap /ifs/data, da der Stamm jedes Worts ausschließlich zu einem Befehl
gehört. Wenn ein Wort zu mehr als einem Befehl gehört, schlägt der Befehl fehl.
Beispielsweise ist isi sn snap c newSnap /ifs/data nicht äquivalent mit isi
snapshot snapshots create newSnap /ifs/data, da der Stamm von isi sn
zu isi snapshot oder zu isi snmp gehören könnte.
Wenn Sie mit der Eingabe eines Worts beginnen und dann die Tabulatortaste drücken,
wird automatisch der Rest des Worts angezeigt, solange das Wort eindeutig ist und nur
auf einen Befehl zutrifft. Beispielsweise wird isi snap zu isi snapshot
vervollständigt, da dies die einzige gültige Möglichkeit ist. isi sn wird jedoch nicht
vervollständigt, dass es der Stamm von isi snapshot und isi snmp ist.
Universelle Optionen
Einige Optionen sind für alle Befehle gültig.
Syntax
isi [--timeout <integer>] [--debug] <command> [--help]
--timeout <integer>
Gibt die Anzahl der Sekunden vor einem Timeout des Befehls an.
--debug
Zeigt alle Aufrufe an die Isilon OneFS-Plattform-API an. Wenn es zu einem Traceback
kommt, wird zusätzlich zur Fehlermeldung der Traceback angezeigt.
--help
Zeigt eine grundlegende Beschreibung des Befehls und alle gültigen Optionen für den
Befehl an.
Beispiele
Der folgende Befehl führt dazu, dass es bei dem Befehl isi sync policy list nach
30 Sekunden zu einem Timeout kommt:
isi --timeout 30 sync policy list
Mit dem folgenden Befehl wird die Hilfe für isi sync policy list angezeigt:
isi sync policy list --help
Berechtigungen für die Befehlszeilenoberfläche
Sie können die meisten Aufgaben, denen eine Berechtigung zugrunde liegt, über die
Befehlszeilenoberfläche ausführen.
Universelle Optionen
45
Für einige OneFS-Befehle ist Stammzugriff erforderlich. Falls Sie keinen Stammzugriff
haben, können die meisten Befehle, die mit einer Berechtigung verknüpft sind, über das
sudo-Programm ausgeführt werden. Das System erzeugt automatisch eine sudoers-Datei
von Benutzern auf Grundlage der vorhandenen Rollen.
Wenn Sie einem Befehl das Präfix sudo voranstellen, können Sie Befehle auszuführen,
für die Stammzugriff erforderlich ist. Wenn Sie beispielsweise keinen Stammzugriff
haben, schlägt der folgende Befehl fehl:
isi sync policy list
Wenn Sie jedoch auf der sudoers-Liste stehen, wird der folgende Befehl erfolgreich
ausgeführt:
sudo isi sync policy list
In der folgenden Tabelle sind alle verfügbaren OneFS-Befehle sowie die entsprechende
Berechtigung oder die Stammzugriffsanforderung sowie Informationen dazu aufgeführt,
ob sudo für die Ausführung des Befehls erforderlich ist.
Hinweis
Wenn Sie im Compliance-Modus arbeiten, benötigen mehr Befehle „sudo“.
Tabelle 1 Berechtigungen, sortiert nach CLI-Befehl
46
isi-Befehl
Berechtigung
sudo erforderlich
isi alert
ISI_PRIV_EVENT
x
isi audit
ISI_PRIV_AUDIT
isi auth - unter
Ausschluss von isi auth
role
ISI_PRIV_AUTH
isi auth role
ISI_PRIV_ROLE
isi avscan
ISI_PRIV_ANTIVIRUS
x
isi batterystatus
ISI_PRIV_STATISTICS
x
isi config
root
isi dedupe - unter
Ausschluss von isi
dedupe stats
ISI_PRIV_JOB_ENGINE
isi dedupe stats
ISI_PRIV_STATISTICS
isi devices
ISI_PRIV_DEVICES
isi domain
root
isi email
ISI_PRIV_CLUSTER
x
isi events
ISI_PRIV_EVENT
x
isi exttools
root
isi fc
root
isi filepool
ISI_PRIV_SMARTPOOLS
x
Tabelle 1 Berechtigungen, sortiert nach CLI-Befehl (Fortsetzung)
isi-Befehl
Berechtigung
sudo erforderlich
isi firmware
root
isi ftp
ISI_PRIV_FTP
isi get
root
isi hdfs
root
isi iscsi
ISI_PRIV_ISCSI
isi job
ISI_PRIV_JOB_ENGINE
isi license
ISI_PRIV_LICENSE
x
isi lun
ISI_PRIV_ISCSI
x
isi ndmp
ISI_PRIV_NDMP
x
isi networks
ISI_PRIV_NETWORK
x
isi nfs
ISI_PRIV_NFS
isi perfstat
ISI_PRIV_STATISTICS
isi pkg
root
isi quota
ISI_PRIV_QUOTA
isi readonly
root
isi remotesupport
ISI_PRIV_REMOTE_SUPPORT
isi servicelight
ISI_PRIV_DEVICES
isi services
root
isi set
root
isi smartlock
root
isi smb
ISI_PRIV_SMB
isi snapshot
ISI_PRIV_SNAPSHOT
isi snmp
ISI_PRIV_SNMP
x
isi stat
ISI_PRIV_STATISTICS
x
isi statistics
ISI_PRIV_STATISTICS
x
isi status
ISI_PRIV_STATISTICS
x
isi storagepool
ISI_PRIV_SMARTPOOLS
isi sync
ISI_PRIV_SYNCIQ
isi tape
ISI_PRIV_NDMP
x
isi target
ISI_PRIV_ISCSI
x
isi update
root
isi version
ISI_PRIV_CLUSTER
isi worm
root
x
x
x
x
x
47
isi-Befehl
Berechtigung
isi zone
ISI_PRIV_AUTH
sudo erforderlich
Tabelle 2 CLI-Befehle, sortiert nach Berechtigung
Berechtigung
isi-Befehle
sudo erforderlich
ISI_PRIV_ANTIVIRUS
isi avscan
x
ISI_PRIV_AUDIT
isi audit
ISI_PRIV_AUTH
l
isi auth - unter
Ausschluss von isi auth
role
l
isi zone
l
isi email
l
isi version
l
isi devices
l
isi servicelight
l
isi alert
l
isi events
ISI_PRIV_CLUSTER
ISI_PRIV_DEVICES
ISI_PRIV_EVENT
ISI_PRIV_FTP
isi ftp
ISI_PRIV_ISCSI
l
isi iscsi
l
isi lun
l
isi target
l
isi job
l
isi dedupe - unter
Ausschluss von isi
dedupe stats
ISI_PRIV_JOB_ENGINE
48
x
x
x
x
x
ISI_PRIV_LICENSE
isi license
x
ISI_PRIV_NDMP
l
isi ndmp
x
l
isi tape
ISI_PRIV_NETWORK
isi networks
ISI_PRIV_NFS
isi nfs
ISI_PRIV_QUOTA
isi quota
ISI_PRIV_ROLE
isi auth role
isi remotesupport
ISI_PRIV_SMARTPOOLS
l
isi filepool
x
Tabelle 2 CLI-Befehle, sortiert nach Berechtigung (Fortsetzung)
Berechtigung
isi-Befehle
l
sudo erforderlich
isi storagepool
ISI_PRIV_SMB
isi smb
ISI_PRIV_SNAPSHOT
isi snapshot
ISI_PRIV_SNMP
isi snmp
ISI_PRIV_STATISTICS
l
isi batterystatus
l
isi dedupe stats
l
isi perfstat
l
isi stat
l
isi statistics
l
isi status
ISI_PRIV_SYNCIQ
isi sync
root
l
isi config
l
isi domain
l
isi exttools
l
isi fc
l
isi firmware
l
isi get
l
isi hdfs
l
isi pkg
l
isi readonly
l
isi services
l
isi set
l
isi smartlock
l
isi update
l
isi worm
x
x
SmartLock-Compliancebefehlsberechtigungen
Wenn ein Cluster derzeit im SmartLock-Compliancemodus ausgeführt wird, ist der
Stammzugriff auf dem Cluster deaktiviert. Aus diesem Grund können Sie den Befehl nur
über das sudo-Programm ausführen, wenn für einen Befehl Stammzugriff erforderlich ist.
Im Compliancemodus können Sie alle isi-Befehle, die von einem Leerzeichen gefolgt
sind, über sudo ausführen. Beispielsweise können Sie isi sync policies create
über sudo ausführen. Darüber hinaus können Sie auch die folgenden isi_-Befehle über
sudo ausführen. Diese Befehle sind intern und werden in der Regel nur vom technischen
Isilon-Support ausgeführt:
49
50
l
isi_bootdisk_finish
l
isi_bootdisk_provider_dev
l
isi_bootdisk_status
l
isi_bootdisk_unlock
l
isi_checkjournal
l
isi_clean_idmap
l
isi_client_stats
l
isi_cpr
l
isi_cto_update
l
isi_disk_firmware_reboot
l
isi_dmi_info
l
isi_dmilog
l
isi_dongle_sync
l
isi_drivenum
l
isi_dsp_install
l
isi_dumpjournal
l
isi_eth_mixer_d
l
isi_evaluate_provision_drive
l
isi_fcb_vpd_tool
l
isi_flexnet_info
l
isi_flush
l
isi_for_array
l
isi_fputil
l
isi_gather_info
l
isi_gather_auth_info
l
isi_gather_cluster_info
l
isi_gconfig
l
isi_get_itrace
l
isi_get_profile
l
isi_hangdump
l
isi_hw_check
l
isi_hw_status
l
isi_ib_bug_info
l
isi_ib_fw
l
isi_ib_info
l
isi_ilog
l
isi_imdd_status
l
isi_inventory_tool
l
isi_ipmicmc
l
isi_job_d
l
isi_kill_busy
l
isi_km_diag
l
isi_lid_d
l
isi_linmap_mod
l
isi_logstore
l
isi_lsiexputil
l
isi_make_abr
l
isi_mcp
l
isi_mps_fw_status
l
isi_netlogger
l
isi_nodes
l
isi_ntp_config
l
isi_ovt_check
l
isi_patch_d
l
isi_promptsupport
l
isi_radish
l
isi_rbm_ping
l
isi_repstate_mod
l
isi_restill
l
isi_rnvutil
l
isi_sasphymon
l
isi_save_itrace
l
isi_savecore
l
isi_sed
l
isi_send_abr
l
isi_smbios
l
isi_stats_tool
l
isi_transform_tool
l
isi_ufp
l
isi_umount_ifs
l
isi_update_cto
l
isi_update_serialno
l
isi_vitutil
l
isi_vol_copy
l
isi_vol_copy_vnx
Zusätzlich zu isi-Befehlen können Sie die folgenden UNIX-Befehle über sudo ausführen:
l
date
l
gcore
l
ifconfig
51
l
kill
l
killall
l
nfsstat
l
ntpdate
l
nvmecontrol
l
pciconf
l
pkill
l
ps
l
renice
l
shutdown
l
sysctl
l
tcpdump
l
top
OneFS-Zeitwerte
OneFS verwendet je nach Anwendung verschiedene Werte für die Zeit.
Sie können Zeiträume, wie einen Monat, für mehrere OneFS-Anwendungen angeben. Da
einige Zeitwerte jedoch mehr als eine Bedeutung haben, definiert OneFS Zeitwerte auf
der Basis der Anwendung. In der folgenden Tabelle werden die Zeitwerte für OneFSAnwendungen beschrieben:
Modul
52
Monat
Jahr
SnapshotIQ 30 Tage
365 Tage (Schaltjahre werden nicht berücksichtigt)
SmartLock
31 Tage
SyncIQ
30 Tage
KAPITEL 4
l
l
l
l
l
l
l
l
l
l
l
l
l
l
l
l
l
l
l
Allgemeine Clusteradministration – Überblick....................................................... 54
Benutzeroberflächen.............................................................................................54
Verbinden mit dem Cluster.................................................................................... 54
Lizenzierung..........................................................................................................55
Zertifikate............................................................................................................. 60
Clusteridentität..................................................................................................... 63
Clusterkontaktinformationen.................................................................................64
Datum und Uhrzeit des Clusters............................................................................ 65
SMTP-E-Mail-Einstellungen....................................................................................66
Konfigurieren des Beitrittsmodus des Clusters...................................................... 67
Dateisystemeinstellungen..................................................................................... 67
Clusterüberwachung............................................................................................. 69
Überwachen der Clusterhardware..........................................................................70
Events und Benachrichtigungen............................................................................ 78
Clusterwartung......................................................................................................89
Remotesupport..................................................................................................... 96
Befehle für die Clusteradministration.................................................................. 102
Ereignisbefehle................................................................................................... 158
Hardwarebefehle.................................................................................................165
53
Allgemeine Clusteradministration – Überblick
Sie können allgemeine OneFS-Einstellungen und Modullizenzen für das EMC IsilonCluster managen.
Das allgemeine Clustermanagement umfasst mehrere Bereiche. Sie können allgemeine
Einstellungen wie Clusternamen, Datum und Uhrzeit sowie E-Mail managen. Sie können
Clusterstatus und Performance, einschließlich Hardwarekomponenten, überwachen. Sie
können konfigurieren, wie Events und Benachrichtigungen verarbeitet werden, und Sie
können die Clusterwartung wie z. B. Hinzufügen, Entfernen und Neustarten von Nodes
durchführen.
Die meisten Managementaufgaben können über die Webverwaltungsschnittstelle oder
die Befehlszeilenoberfläche ausgeführt werden. Es gibt jedoch auch Aufgaben, die nur
über eine der Schnittstellen ausgeführt werden können.
Benutzeroberflächen
Abhängig von Ihren bevorzugten Einstellungen, Ihrem Standort oder Ihrer anstehenden
Aufgabe stellt OneFS vier verschiedene Schnittstellen für das Management von IsilonClustern bereit.
Webverwaltungsschnittstelle
Die browserbasierte OneFS-Webverwaltungsschnittstelle bietet sicheren Zugriff mit
OneFS-unterstützten Browsern. Sie können diese Schnittstelle nutzen, um robuste
grafische Überwachungsanzeigen anzuzeigen und Clustermanagementaufgaben
durchzuführen.
Befehlszeilenoberfläche
Clusteradministrationsaufgaben können über die Befehlszeilenoberfläche (CLI)
durchgeführt werden. Zwar können die meisten Aufgaben über die CLI oder die
Webverwaltungsschnittstelle durchgeführt werden, einige Aufgaben können jedoch
nur über die Befehlszeilenoberfläche durchgeführt werden.
Vorderseite des Node
Sie können Node- und Clusterdetails über die Vorderseite eines Node überwachen.
OneFS-Plattform-API
OneFS beinhaltet eine RESTful-Services-API (Application Programming Interface).
Über diese Schnittstelle können Clusteradministratoren Clients und Software
entwickeln, um Management und Überwachung der Isilon-Speichersysteme zu
automatisieren.
Verbinden mit dem Cluster
Der EMC Isilon-Clusterzugriff wird über die Webverwaltungsschnittstelle oder SSH
bereitgestellt. Eine serielle Verbindung kann verwendet werden, um
Clusteradministrationsaufgaben über die Befehlszeilenoberfläche auszuführen.
Sie können auch über die Node-Vorderseite auf das Cluster zugreifen, um bestimmte
Clustermanagementaufgaben auszuführen. Informationen zur Verbindung mit der NodeVorderseite finden Sie in der Installationsdokumentation für Ihre Node.
54
Anmelden bei der Webverwaltungsschnittstelle
Sie können Ihr EMC Isilon-Cluster über die browserbasierte Webverwaltungsschnittstelle
überwachen und managen.
Vorgehensweise
1. Öffnen Sie ein Browserfenster und geben Sie die URL für Ihr Cluster in das Adressfeld
ein. Ersetzen Sie <yourNodeIPaddress> im folgenden Beispiel durch die erste IPAdresse, die Sie bei der Konfiguration von „ext-1“ bereitgestellt haben:
https://<yourNodeIPaddress>:8080
Das System zeigt eine Meldung an, wenn Ihre Sicherheitszertifikate nicht konfiguriert
wurden. Beheben Sie alle Probleme mit Zertifikatkonfigurationen und wechseln Sie
zur Website.
2. Melden Sie sich bei OneFS an, indem Sie Ihre OneFS-Anmeldedaten in die Felder
Username und Password eingeben.
Nachdem Sie sich bei der Webverwaltungsschnittstelle angemeldet haben, gibt es
einen Anmelde-Timeout von 4 Stunden und einen Sitzungsinaktivitäts-Timeout von
24 Stunden.
Öffnen einer SSH-Verbindung zu einem Cluster
Sie können einen beliebigen SSH-Client wie OpenSSH oder PuTTY verwenden, um eine
Verbindung zu einem EMC Isilon-Cluster herzustellen.
Bevor Sie beginnen
Sie müssen über gültige OneFS-Anmeldedaten verfügen, um sich bei einem Cluster
anzumelden, nachdem die Verbindung hergestellt wurde.
Vorgehensweise
1. Stellen Sie eine SSH-Verbindung (Secure Shell) zu einem beliebigen Node im Cluster
her und verwenden Sie dabei die IP-Adresse des Node und die Portnummer 22.
2. Melden Sie sich mit Ihren OneFS-Anmeldedaten an.
Geben Sie einen der isi -Befehle in die OneFS-Befehlszeile ein, um Ihr Cluster zu
überwachen und zu managen.
Lizenzierung
Wenn Sie Lizenzen für OneFS-Softwaremodule aktivieren, sind erweiterte
Clusterfunktionen verfügbar. Sie müssen für jedes optionale OneFS-Softwaremodul eine
separate Lizenz aktivieren.
Für weitere Informationen zu den folgenden optionalen Softwaremodulen wenden Sie
sich an Ihren EMC Isilon-Vertriebsmitarbeiter.
l
HDFS
l
InsightIQ
l
Isilon for vCenter
l
SmartConnect Advanced
l
SmartDedupe
l
SmartLock
Anmelden bei der Webverwaltungsschnittstelle
55
l
SmartPools
l
SmartQuotas
l
SnapshotIQ
l
SyncIQ
Lizenzstatus
Der Status einer OneFS-Modullizenz gibt an, ob die vom Modul bereitgestellten
Funktionen auf dem Cluster verfügbar sind.
Lizenzen können einen der folgenden Status haben:
Status
Beschreibung
Inactive
Die Lizenz ist nicht auf dem Cluster aktiviert. Sie können nicht auf die Funktionen
zugreifen, die vom entsprechenden Modul bereitgestellt werden.
Evaluation Die Lizenz ist vorübergehend auf dem Cluster aktiviert. Sie können für einen
begrenzten Zeitraum auf die Funktionen zugreifen, die vom entsprechenden Modul
bereitgestellt werden. Nach Ablauf der Lizenz sind die Funktionen nicht mehr
verfügbar, es sei denn, die Lizenz wird wieder aktiviert.
Activated
Die Lizenz ist auf dem Cluster aktiviert. Sie können auf die Funktionen zugreifen, die
vom entsprechenden Modul bereitgestellt werden.
Expired
Die Evaluierungslizenz auf dem Cluster ist abgelaufen. Sie können nicht mehr auf die
Funktionen zugreifen, die vom entsprechenden Modul bereitgestellt werden. Die
Funktionen sind nicht verfügbar, es sei denn, die Lizenz wird wieder aktiviert.
In der folgenden Tabelle wird beschrieben, welche Funktionen für jede Lizenz abhängig
vom Status der Lizenz zur Verfügung stehen:
56
Lizenz
Inactive
Evaluation/
Activated
Expired
HDFS
Clients können nicht
über HDFS auf das
Cluster zugreifen.
Sie können HDFSEinstellungen
konfigurieren und
Clients können über
HDFS auf das Cluster
zugreifen.
HDFS-Einstellungen können
nicht konfiguriert werden.
Nachdem der HDFS-Service
neu gestartet wurde, können
Clients nicht mehr über
HDFS auf das Cluster
zugreifen.
InsightIQ
Sie können das
Cluster nicht mit
InsightIQ
überwachen.
Sie können das
Cluster mit InsightIQ
überwachen.
InsightIQ beendet das
Monitoring des Clusters.
Zuvor von InsightIQ erfasste
Daten sind weiterhin auf der
InsightIQ-Instanz verfügbar.
Isilon for vCenter
Sie können keine
virtuellen Maschinen
sichern, die auf
einem Isilon-Cluster
mit Isilon for vCenter
gespeichert sind.
Sie können virtuelle
Maschinen sichern,
die auf einem IsilonCluster mit Isilon for
vCenter gespeichert
sind.
Sie können keine neuen
Backups für virtuelle
Maschinen erstellen, die auf
einem Isilon-Cluster
gespeichert sind.
Lizenz
Inactive
Evaluation/
Activated
Expired
SmartPools
Alle Dateien gehören
zum
Standarddateipool
und werden von der
Standard-Policy für
Dateipools
gesteuert. Die
virtuelle Hot-SpareZuweisung, die für
den Fall eines
Laufwerksausfalls
Speicherplatz für
Datenreparaturen
reserviert, ist
ebenfalls verfügbar.
Sie können mehrere
Dateipools und
Dateipool-Policies
erstellen. Sie können
auch das Spillover
managen, womit
festgelegt wird, wie
Schreibvorgänge
verarbeitet werden,
wenn ein
Speicherpool nicht
beschreibbar ist.
Sie können DateipoolPolicies nicht mehr
managen und SmartPoolsJob werden nicht mehr
ausgeführt. Neu
hinzugefügte Dateien
werden von der StandardPolicy für Dateipools
gesteuert und mit dem
SetProtectPlus-Job wird die
Standard-Policy für
Dateipools schließlich auf
alle Dateien im Cluster
angewendet.
Wenn der SmartPools-Job
ausgeführt wird, wenn die
Lizenz abläuft, wird der Job
abgeschlossen, bevor er
deaktiviert wird.
SmartConnect
Advanced
Clientverbindungen
werden mit einer
Round-Robin-Policy
ausgeglichen. Die
Zuweisung der IPAdresse ist statisch.
Jedes externe
Netzwerksubnetz
kann nur einem
einzigen IPAdressenpool
zugewiesen werden.
Sie können auf
Funktionen wie CPUAuslastung,
Verbindungszähler
und zusätzlich zur
Round-Robin-Policy
auf
ClientverbindungsPolicies zugreifen.
Sie können IPAdressenpools für
den Support
mehrerer DNS-Zonen
innerhalb eines
einzigen Subnetzes
konfigurieren und IPFailover
unterstützen.
Sie können keine
SmartConnect AdvancedEinstellungen mehr
festlegen.
SmartDedupe
Sie können keine
Daten mit
SmartDedupe
deduplizieren.
Sie können Daten
mit SmartDedupe
deduplizieren.
Sie können keine Daten
mehr deduplizieren. Zuvor
deduplizierte Daten bleiben
dedupliziert.
SmartLock
Sie können keine
Dateiaufbewahrung
mit SmartLock
erzwingen.
Sie können die
Dateiaufbewahrung
mit SmartLock
erzwingen.
Sie können keine neuen
SmartLock-Verzeichnisse
erstellen oder die
Konfigurationseinstellungen
für vorhandene SmartLockVerzeichnisse ändern.
Sie können weiterhin
Dateien in einen WORMStatus (Write Once Read
Lizenzstatus
57
Lizenz
Inactive
Evaluation/
Activated
Expired
Many) versetzen, auch wenn
die SmartLock-Lizenz noch
nicht konfiguriert wurde. Sie
können jedoch keine
Dateien mit WORM-Status
aus den
Unternehmensverzeichnisse
n löschen.
SnapshotIQ
Sie können
Snapshots anzeigen
und managen, die
von OneFSAnwendungen
erzeugt wurden. Sie
können jedoch keine
Snapshots erstellen
oder SnapshotIQEinstellungen
konfigurieren.
Sie können
Snapshots erstellen,
anzeigen und
managen. Sie
können auch
SnapshotEinstellungen
konfigurieren.
Sie können keine Snapshots
mehr erzeugen. Vorhandene
Snapshot-Planungen
werden nicht gelöscht, es
werden jedoch keine
Snapshots mehr von den
Planungen erzeugt.
Sie können Snapshots
weiterhin löschen und auf
Snapshot-Daten zugreifen.
SmartQuotas
Sie können keine
Quotas mit
SmartQuotas
erstellen.
Sie können Quotas
mit SmartQuotas
erstellen.
OneFS deaktiviert alle
Quotas. Die Überschreitung
von informativen und
weichen Schwellenwerten
löst keine Events aus. Feste
und weiche Schwellenwerte
werden nicht erzwungen.
SyncIQ
Sie können keine
Daten mit SyncIQ
replizieren.
Sie können Daten
mit SyncIQ
replizieren.
Sie können nicht länger
Daten auf Remotecluster
replizieren und
Remotecluster können keine
Daten auf das lokale Cluster
replizieren.
Replikationsrichtlinien
zeigen weiterhin den Status
„Enabled“ an. Zukünftige
Replikationsjobs, die von
der Policy erstellt werden,
schlagen jedoch fehl.
Wenn ein Replikationsjob
ausgeführt wird, wenn die
Lizenz abläuft, wird der Job
abgeschlossen.
Lizenzkonfiguration
Sie können die Lizenzen einiger OneFS-Module konfigurieren oder die Konfiguration
dieser Lizenzen aufheben.
58
Sie können eine Lizenz konfigurieren, indem Sie über das gewünschte Modul bestimmte
Vorgänge durchführen. Nicht alle Aktionen, die für die Aktivierung einer Lizenz
erforderlich sind, dienen auch der Konfiguration der Lizenz. Außerdem können nicht alle
Lizenzen konfiguriert werden. Durch die Konfiguration einer Lizenz wird kein Zugriff auf
Funktionen, die über ein Modul bereitgestellt werden, hinzugefügt oder entfernt.
Sie können die Konfiguration einer Lizenz nur über den Befehl isi license
unconfigure aufheben. Eventuell möchten Sie die Konfiguration einer Lizenz für ein
OneFS-Softwaremodul aufheben, wenn Sie beispielsweise die Evaluierungsversion eines
Moduls aktiviert haben, später jedoch keine permanente Lizenz erworben haben. Durch
Aufheben der Konfiguration einer Modullizenz wird die Lizenz nicht deaktiviert. Durch
Aufheben der Konfiguration einer Lizenz wird kein Zugriff auf Funktionen, die über ein
Modul bereitgestellt werden, hinzugefügt oder entfernt.
In der folgenden Tabelle werden die Aktionen beschrieben, die die Ursache für die
Konfiguration einer Lizenz sind, sowie die Ergebnisse der Aufhebung der Konfiguration
einer Lizenz:
Lizenz
Ursache der Konfiguration
Ergebnis der Aufhebung der
Konfiguration
HDFS
Diese Lizenz kann nicht konfiguriert
werden.
Keine Auswirkung auf das System
InsightIQ
werden.
Isilon for vCenter Diese Lizenz kann nicht konfiguriert
werden.
SmartPools
Erstellung einer Dateipool-Policy (mit
Ausnahme der Standard-Policy für
Dateipools)
OneFS löscht alle DateipoolPolicies (mit Ausnahme der
Standard-Policy für Dateipools).
SmartConnect
Konfiguration der SmartConnect
Advanced-Einstellungen für mindestens
einen IP-Adressenpool
OneFS konvertiert dynamische IPAdressenpools in statische IPAdressenpools.
SmartDedupe
werden.
SmartLock
werden.
SnapshotIQ
Erstellung einer Snapshot-Planung
Löschung einer Snapshot-Planung
SmartQuotas
Erstellung einer Quota
SyncIQ
Erstellung einer Replikationsrichtlinie
Aktivieren einer Lizenz über die Befehlszeilenoberfläche
Sie können Lizenzen aktivieren, um auf optionale OneFS-Module zuzugreifen, die
erweiterte Clusterfunktionen bereitstellen.
Bevor Sie beginnen
Bevor Sie eine Lizenz aktivieren können, müssen Sie einen gültigen Lizenzschlüssel
erwerben. Außerdem müssen Sie über Stammbenutzerberechtigungen auf dem Cluster
verfügen. Um einen Lizenzschlüssel zu erhalten, wenden Sie sich an Ihren EMC IsilonVertriebsmitarbeiter.
Aktivieren einer Lizenz über die Befehlszeilenoberfläche
59
Vorgehensweise
1. Führen Sie den Befehl isi license activate aus.
Mit dem folgenden Befehl wird eine Lizenz aktiviert:
isi license activate 1UL9A83P1209Q378C12M0938
Anzeigen von Lizenzinformationen
Sie können Informationen zum aktuellen Status sämtlicher optionaler IsilonSoftwaremodule anzeigen.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus:
isi license status
Aufheben einer Lizenzkonfiguration
Sie können die Konfiguration eines lizenzierten Moduls über die Befehlszeilenoberfläche
aufheben.
Sie müssen über Stammbenutzerberechtigungen auf Ihrem Isilon-Cluster verfügen, um
die Konfiguration einer Modullizenz aufzuheben. Dieses Verfahren ist nur über die
Befehlszeilenoberfläche (CLI) verfügbar.
Hinweis
Durch Aufheben der Konfiguration einer Lizenz wird diese nicht deaktiviert.
Vorgehensweise
1. Stellen Sie eine SSH-Verbindung (Secure Shell) zu einem beliebigen Node im Cluster
her.
Sie müssen sich als Stammbenutzer anmelden.
2. Führen Sie den Befehl isi license unconfigure aus.
Mit dem folgenden Befehl wird die Konfiguration für die SmartConnect-Lizenz
aufgehoben:
isi license unconfigure -m smartconnect
Wenn Sie den Modulnamen nicht kennen, führen Sie den Befehl isi license aus,
um eine Liste der OneFS-Module und deren Status anzuzeigen.
OneFS gibt eine Bestätigungsmeldung zurück, die dem folgenden Text ähnelt: The
SmartConnect module has been unconfigured. Die Konfiguration der
Lizenz wird aufgehoben und alle für das Modul aktivierten Prozesse werden
deaktiviert.
Zertifikate
Sie können das SSL-Zertifikat (Secure Sockets Layer) für die IsilonWebverwaltungsschnittstelle erneuern oder es durch das SSL-Zertifikat eines
Drittanbieters ersetzen.
Die gesamte Kommunikation der Plattform-API, welche die Kommunikation über die
Webverwaltungsschnittstelle umfasst, erfolgt über SSL. Sie können das selbstsignierte
60
Zertifikat durch ein von Ihnen erzeugtes Zertifikat ersetzen oder erneuern. Um ein SSLZertifikat zu ersetzen oder zu erneuern, müssen Sie als Stammbenutzer angemeldet sein.
Ersetzen oder Erneuern des SSL-Zertifikats
Sie können das SSL-Zertifikat (Secure Sockets Layer), das für den Zugriff auf das EMC
Isilon-Cluster über einen Browser verwendet wird, ersetzen oder erneuern.
Bevor Sie beginnen
Wenn Sie ein selbstsigniertes SSL-Zertifikat erneuern oder ersetzen, müssen Sie
Informationen über Ihr Unternehmen in dem im Datenbeispiel eines selbstsignierten SSLZertifikats beschriebenen Format zur Verfügung stellen.
Die folgenden Ordner sind die Standardstandorte für die Dateien server.crt und
server.key in OneFS 6.0 und höher.
l
SSL-Zertifikat: /usr/local/apache2/conf/ssl.crt/server.crt
l
SSL-Zertifikatschlüssel: /usr/local/apache2/conf/ssl.key/server.key
Vorgehensweise
1. Stellen Sie eine SSH-Verbindung zu einem beliebigen Node im Cluster her.
2. Führen Sie in der Befehlszeile den folgenden Befehl aus, um das entsprechende
Verzeichnis zu erstellen:
mkdir /ifs/local/
3. Führen Sie in der Befehlszeile den folgenden Befehl aus, um zum Verzeichnis zu
wechseln:
cd /ifs/local/
4. Wählen Sie den Zertifikatstyp aus, den Sie installieren möchten.
Option
Beschreibung
Third-party
(public or
private) CAissued
certificate
a. Führen Sie in der Befehlszeile den folgenden Befehl aus, um
zusätzlich zu einem neuen Schlüssel eine neue
Zertifikatsignieranforderung zu erzeugen, wobei
<common_name> der Hostname ist, z. B. „isilon.example.com“:
openssl req -new -nodes -newkey rsa:1024 -keyout
<common name>.key \
-out <common-name>.csr
b. Senden Sie den Inhalt der Datei <common_name>.csr aus dem
Cluster zur Signierung an Ihre Zertifizierungsstelle. Wenn Sie
das signierte Zertifikat (jetzt eine .crt-Datei) von der
Zertifizierungsstelle erhalten, kopieren Sie das Zertifikat
in /ifs/local/<common-name>.crt.
Self-signed
certificate
based on the
existing
(stock) ssl.key
a. Führen Sie in der Befehlszeile den folgenden Befehl aus, um ein
zweijähriges Zertifikat zu erstellen: Erhöhen oder verringern Sie
Ersetzen oder Erneuern des SSL-Zertifikats
61
Option
Beschreibung
den Wert für -days, um ein Zertifikat mit einem anderen
Ablaufdatum zu generieren.
cp /usr/local/apache2/conf/ssl.key/server.key ./openssl
req -new \/
-days 730 -nodes -x509 -key server.key -out server.crt
Ein Verlängerungszertifikat wird basierend auf der vorhandenen Datei ssl.key
erstellt.
5. (Optional) Führen Sie in der Befehlszeile den folgenden Befehl aus, um die Attribute
in einem SSL-Zertifikat zu überprüfen:
openssl x509 -text -noout -in <common-name>.crt
6. Führen Sie die folgenden Befehle aus, um das Zertifikat und den Schlüssel zu
installieren:
isi services -a isi_webui disable
chmod 640 <common name>.key
isi_for_array -s 'cp /ifs/local/<common-name>.key /usr/local/
apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/<common-name>.crt /usr/local/
apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
7. Führen Sie den folgenden Befehl aus, um die Dateien in /ifs/local zu entfernen.
rm /ifs/local/*
Überprüfen einer SSL-Zertifikataktualisierung
Sie können die Details überprüfen, die in einem SSL-Zertifikat (Secure Socket Layer)
gespeichert werden.
Vorgehensweise
2. Führen Sie in der Befehlszeile den folgenden Befehl aus, um die Attribute in einem
SSL-Zertifikat zu öffnen und zu überprüfen:
echo QUIT | openssl s_client -connect localhost:8080
Datenbeispiel für ein selbstsigniertes SSL-Zertifikat
Bei der Erneuerung oder dem Austausch eines selbstsignierten SSL-Zertifikats müssen
Sie Daten wie Ihren vollständig qualifizierten Domainnamen und eine E-Mail-Adresse der
Kontaktperson bereitstellen.
Wenn Sie ein selbstsigniertes SSL-Zertifikat erneuern oder ersetzen, werden Sie dazu
aufgefordert, Daten in dem in folgendem Beispiel gezeigten Format bereitzustellen.
Einige Felder in der Zertifikatdatei enthalten einen Standardwert. Wenn Sie '.' eingeben,
wird das Feld leer gelassen, wenn das Zertifikat erzeugt wird.
62
l
Country Name (2 letter code) [XX]:US
l
State or Province Name (full name) [Some-State]:Washington
l
Locality Name (for example, city) [default city]:Seattle
l
Organization Name (for example, company) [Internet Widgits Pty Ltd]:Isilon
l
Organizational Unit Name (for example, section) []:Support
l
Common Name (for example, server FQDN or server name) []:isilon.example.com
l
Email Address []:[email protected]
Außerdem sollten Sie Ihrer zu sendenden Zertifikatanforderung die folgenden Attribute
hinzufügen:
l
Challenge password []:Isilon1
l
Optional company name []:
Clusteridentität
Sie können Identitätsattribute für das EMC Isilon-Cluster festlegen.
Clustername
Der Clustername wird auf der Anmeldeseite angezeigt und dient dazu, das Cluster
und dessen Nodes einfacher in Ihrem Netzwerk erkennen zu können. Jeder Node im
Cluster wird durch den Clusternamen und die Node-Nummer identifiziert. So kann
beispielsweise der erste Node in einem Cluster mit dem Namen „Image“ den Namen
„Images-1“ erhalten.
Clusterbeschreibung
Die Clusterbeschreibung wird unter dem Clusternamen auf der Anmeldeseite
angezeigt. Die Clusterbeschreibung ist nützlich, wenn Ihre Umgebung über mehrere
Cluster verfügt.
Anmeldenachricht
Die Anmeldenachricht wird als ein separates Feld auf der Anmeldeseite angezeigt.
Die Anmeldenachricht kann Clusterinformationen, Anmeldeanweisungen oder
Warnungen enthalten, die ein Benutzer kennen sollte, bevor er sich beim Cluster
anmeldet.
Festlegen des Clusternamens
Sie können Ihrem EMC Isilon-Cluster einen Namen zuweisen und eine Anmeldenachricht
hinzufügen, um den Cluster und die Nodes in Ihrem Netzwerk leichter erkennbar zu
machen.
Clusternamen müssen mit einem Buchstaben beginnen und dürfen nur Ziffern,
Buchstaben und Bindestriche enthalten. Der Clustername wird der Node-Nummer
hinzugefügt, um jeden Node im Cluster zu identifizieren. So kann beispielsweise der
erste Node in einem Cluster mit dem Namen „Image“ den Namen „Images-1“ erhalten.
Vorgehensweise
1. Öffnen Sie die isi config-Eingabeaufforderung, indem Sie den folgenden Befehl
ausführen:
isi config
2. Führen Sie den Befehl name aus.
Clusteridentität
63
Mit dem folgenden Befehl wird der Name des Clusters auf „NewName“ festgelegt:
name NewName
3. Speichern Sie die Änderungen, indem Sie den folgenden Befehl ausführen:
commit
Clusterkontaktinformationen
Mitarbeiter des technischen Isilon-Supports und Empfänger von
Eventbenachrichtigungen kommunizieren mit den festgelegten Kontakten.
Sie können die folgenden Kontaktinformationen für das EMC Isilon-Cluster festlegen:
l
Name und Standort des Unternehmens
l
Primärer und sekundärer Ansprechpartner
l
Telefonnummer und E-Mail-Adresse für jeden Kontakt
Angeben von Kontaktinformationen
Sie können Kontaktinformationen angeben, damit Mitarbeiter des technischen IsilonSupports und Empfänger von Ereignisbenachrichtigen sich mit Ihnen in Verbindung
setzen können.
SupportIQ ist der Kontaktmechanismus und muss aktiviert werden, um
Kontaktinformationen anzugeben. Geben Sie den Unternehmensnamen ein.
Vorgehensweise
1. Aktivieren Sie SupportIQ, indem Sie den folgenden Befehl ausführen:
isi_promptsupport -e
Das System zeigt die folgende Meldung an:
Would you like to enable SupportIQ? [yes]
2. Geben Sie yes ein und drücken Sie die Eingabetaste.
Please enter company name:
3. Geben Sie Ihren Unternehmensnamen ein und drücken Sie die Eingabetaste.
Please enter contact name:
4. Geben Sie Ihren Namen ein und drücken Sie die Eingabetaste.
Please enter contact phone:
5. Geben Sie Ihre Telefonnummer ein und drücken Sie die Eingabetaste.
Please enter contact email:
64
6. Geben Sie Ihre E-Mail-Adresse ein und drücken Sie die Eingabetaste.
Datum und Uhrzeit des Clusters
Der NTP-Service (Network Time Protocol) kann manuell konfiguriert werden. So können
Sie dafür sorgen, dass alle Nodes in einem Cluster auf dieselbe Zeitquelle synchronisiert
werden.
Die NTP-Methode synchronisiert Datums- und Uhrzeiteinstellungen des Clusters
automatisch über einen NTP-Server. Alternativ können Sie das Datum und die Uhrzeit, die
vom Cluster gemeldet werden, durch eine manuelle Konfiguration des Service festlegen.
Windows-Domains bieten einen Mechanismus zur Synchronisation der Domainmitglieder
mit einer auf den Domaincontrollern ausgeführten Masteruhr, sodass OneFS mit einem
Service die Clusterzeit an Active Directory anpasst. Wenn ein Cluster mit einer Active
Directory-Domain verbunden und kein externer NTP-Server konfiguriert ist, wird das
Cluster automatisch auf die Active Directory-Uhrzeit eingestellt, die alle sechs Stunden
von einem Job synchronisiert wird. Wenn die Cluster- und Domainuhrzeit mehr als vier
Minuten auseinanderliegen, erzeugt OneFS eine Eventbenachrichtigung.
Hinweis
Wenn das Cluster und Active Directory mehr als fünf Minuten auseinanderliegen, ist keine
Authentifizierung möglich.
Einstellen des Clusterdatums und der Clusteruhrzeit
Sie können das Datum, die Uhrzeit und die Zeitzone festlegen, die vom EMC IsilonCluster verwendet werden.
Vorgehensweise
1. Führen Sie den Befehl isi config aus.
Die Befehlszeileneingabeaufforderung ändert sich, um darauf hinzuweisen, dass Sie
sich im isi config-Subsystem befinden.
2. Geben Sie das aktuelle Datum und die aktuelle Uhrzeit an, indem Sie den Befehl
date ausführen.
Mit dem folgenden Befehl wird die Clusterzeit auf 9:47 Uhr am 22. Juli 2013
festgelegt:
date 2013/07/22 09:47:00
3. Führen Sie Befehl commit aus, um Ihre Änderungen zu speichern.
Angeben eines NTP-Zeitservers
Sie können einen oder mehrere NTP-Server (Network Time Protocol) angeben, um die
Systemzeit des EMC Clusters zu synchronisieren. Das Cluster kontaktiert regelmäßig den
NTP-Server und stellt das Datum und die Uhrzeit basierend auf den erhaltenen
Informationen ein.
Vorgehensweise
1. Führen Sie den Befehl isi_ntp_config aus.
Mit dem folgenden Befehl wird „ntp.time.server1.com“ angegeben:
isi_ntp_config add server ntp.time.server1.com
Datum und Uhrzeit des Clusters
65
SMTP-E-Mail-Einstellungen
Wenn Ihre Netzwerkumgebung die Verwendung eines SMTP-Servers erfordert oder wenn
Sie Eventbenachrichtigungen des EMC Isilon-Clusters mit SMTP über einen Port routen
möchten, können Sie SMTP-E-Mail-Einstellungen konfigurieren.
SMTP-Einstellungen umfassen die Adresse und Portnummer des SMTP-Relay, über die die
E-Mails geroutet werden. Sie können einen E-Mail-Absender und eine Betreffzeile für alle
Eventbenachrichtigungs-E-Mails festlegen, die vom Cluster gesendet werden.
Wenn Ihr SMTP-Server so konfiguriert ist, dass die Authentifizierung unterstützt wird,
können Sie einen Benutzernamen und ein Passwort angeben. Sie können auch festlegen,
ob die Verbindung verschlüsselt werden soll.
Konfigurieren von SMTP-E-Mail-Einstellungen
Sie können Ereignisbenachrichtigungen über den SMTP-Mailserver senden. Sie können
zudem die SMTP-Authentifizierung aktivieren, wenn Ihr SMTP-Server für deren
Verwendung konfiguriert ist.
Sie können SMTP-E-Mail-Einstellungen konfigurieren, wenn in Ihrer Netzwerkumgebung
die Verwendung eines SMTP-Servers erforderlich ist oder wenn Sie EMC IsilonClusterereignisbenachrichtigungen mit SMTP über einen Port weiterleiten möchten.
Vorgehensweise
1. Führen Sie den Befehl isi email aus.
Im folgenden Beispiel werden SMTP-E-Mail-Einstellungen konfiguriert:
isi email --mail-relay 10.7.180.45 \
--mail-sender [email protected] \
--mail-subject "Isilon cluster event" --use-smtp-auth yes \
--auth-user SMTPuser --auth-pass Password123 --use-encryption yes
Anzeigen von SMTP-E-Mail-Einstellungen
Sie können SMTP-E-Mail-Einstellungen anzeigen.
Vorgehensweise
isi email list
Das System zeigt Informationen wie die im folgenden Beispiel an:
SMTP relay address:
SMTP relay port:
Send email as:
Subject:
Use SMTP AUTH:
Uername:
Password:
Use Encryption (TLS):
66
25
No
********
No
Konfigurieren des Beitrittsmodus des Clusters
Im Beitrittsmodus wird festgelegt, wie ein Node zum EMC Isilon-Cluster hinzugefügt
werden kann und ob eine Authentifizierung erforderlich ist. Sie können einen manuellen
oder sicheren Beitrittsmodus festlegen.
Angeben des Clusterbeitrittsmodus
Sie können die Methode angeben, die verwendet werden soll, wenn Nodes zum EMC
Isilon-Cluster hinzugefügt werden.
Vorgehensweise
1. Öffnen Sie die isi config-Eingabeaufforderung, indem Sie den folgenden Befehl
eingeben:
isi config
2. Führen Sie den Befehl joinmode aus.
Mit dem folgenden Befehl wird verhindert, dass Nodes dem Cluster beitreten, es sei
denn, der Beitritt wird vom Cluster initiiert:
joinmode secure
3. Speichern Sie die Änderungen, indem Sie den folgenden Befehl ausführen:
commit
Clusterbeitrittsmodi
OneFS unterstützt manuelle und sichere Beitrittsmodi für das Hinzufügen von Nodes zum
EMC Isilon-Cluster.
Modus
Beschreibung
Manuell
Ermöglicht Ihnen, einen Node manuell zum Cluster hinzuzufügen, ohne dass
eine Autorisierung erforderlich ist
Sicherheitstunnel Erfordert eine Autorisierung für jeden Node, der zum Cluster hinzugefügt wird,
und der Node muss über die Webverwaltungsschnittstelle oder über die
Befehlszeilenoberfläche mit dem Befehl isi devices -a add -d
<unconfigured_node_serial_no> hinzugefügt werden.
Hinweis
Wenn Sie den sicheren Beitrittsmodus festlegen, können Sie den Node nicht
über die Option [2] Join an existing cluster des seriellen
Konsolenassistenten zum Cluster hinzufügen.
Dateisystemeinstellungen
Sie können globale Dateisystemeinstellungen auf dem EMC Isilon-Cluster konfigurieren.
Konfigurieren des Beitrittsmodus des Clusters
67
Sie können die Nachverfolgung der Zugriffszeit aktivieren oder deaktivieren, mit der die
Zeit des Zugriffs auf jede Datei überwacht wird. Bei Bedarf können Sie die
Standardzeichencodierung auf dem Cluster ändern.
Angeben der Clusterzeichencodierung
Sie können den Zeichencodierungssatz für das EMC Isilon-Cluster nach der Installation
ändern.
Nur von OneFS unterstützte Zeichensätze können ausgewählt werden. UTF-8 ist der
Standardzeichensatz für OneFS-Nodes.
Hinweis
Wenn die Clusterzeichencodierung nicht auf UTF-8 gesetzt ist, wird bei SMBFreigabenamen zwischen Groß- und Kleinschreibung unterschieden.
Sie müssen das Cluster neu starten, um die Änderungen der Zeichencodierung zu
übernehmen.
ACHTUNG
Die Zeichencodierung wird in der Regel während der Installation des Clusters
eingerichtet. Eine Änderung der Zeichencodierungseinstellung nach der Installation
kann dazu führen, dass Dateien unlesbar werden, wenn die Änderung nicht korrekt
durchgeführt wird. Ändern Sie die Einstellungen nur, wenn es unbedingt erforderlich ist,
und nur nach Rücksprache mit dem technischen Isilon-Support.
Vorgehensweise
2. Ändern Sie die Zeichencodierung, indem Sie den Befehl encoding ausführen.
Mit dem folgenden Befehl wird die Codierung für das Cluster auf ISO-8859-1
festgelegt:
encoding ISO-8859-1
3. Führen Sie den Befehl commit aus, um die Änderungen zu speichern und das isi
config-Subsystem zu beenden.
4. Starten Sie das Cluster neu, um die Änderungen der Zeichencodierung zu
übernehmen.
Aktivieren oder Deaktivieren der Nachverfolgung der Zugriffszeit
Sie können die Nachverfolgung der Zugriffszeit aktivieren, um Funktionen zu
unterstützen, die dies benötigen.
Standardmäßig wird der Zeitstempel vom EMC Isilon-Cluster nicht nachverfolgt, wenn auf
Dateien zugegriffen wird. Sie können diese Funktion aktivieren, um OneFS-Funktionen zu
unterstützen, die diese verwenden. Beispielsweise muss die Nachverfolgung der
Zugriffszeit für die Konfiguration von SyncIQ-Policy-Kriterien aktiviert werden, mit denen
Dateien basierend auf dem letzten Zugriff abgeglichen werden.
68
Hinweis
Die Aktivierung der Nachverfolgung der Zugriffszeit kann sich auf die Clusterperformance
auswirken.
Vorgehensweise
1. Aktivieren oder deaktivieren Sie die Nachverfolgung der Zugriffszeit, indem Sie die
Systemoption „atime_enabled“ festlegen.
l
Führen Sie den folgenden Befehl aus, um die Nachverfolgung der Zugriffszeit zu
aktivieren:
sysctl efs.bam.atime_enabled=1
l
Führen Sie den folgenden Befehl aus, um die Nachverfolgung der Zugriffszeit zu
deaktivieren:
sysctl efs.bam.atime_enabled=0
2. Um anzugeben, wie oft die Zeit des letzten Zugriffs aktualisiert werden soll, legen Sie
die Systemoption „atime_grace_period“ fest.
Geben Sie den Zeitraum in Sekunden an.
Mit dem folgenden Befehl wird OneFS so konfiguriert, dass die Zeit des letzten
Zugriffs alle zwei Wochen aktualisiert wird:
sysctl efs.bam.atime_grace_period=1209600
Clusterüberwachung
Sie können Integritäts- und Statusinformationen für das EMC Isilon-Cluster anzeigen
sowie die Cluster- und Node-Performance überwachen.
Führen Sie den Befehl isi status aus, um die folgenden Informationen zu prüfen:
l
Integrität von Cluster, Node und Laufwerk
l
Speicherdaten wie Größe und belegter Speicherplatz
l
IP-Adressen
l
Durchsatz
l
Kritische Ereignisse
l
Jobstatus
Zusätzliche Befehle sind verfügbar, um Performanceinformationen für die folgenden
Bereiche zu überprüfen:
l
Allgemeine Clusterstatistiken
l
Statistiken nach Protokoll oder nach mit dem Cluster verbundenen Clients
l
Performancedaten nach Laufwerk
l
Performanceverlaufsdaten
Erweiterte Funktionen für Performancemonitoring und -analyse sind über das InsightIQModul verfügbar, für das Sie eine separate Lizenz aktivieren müssen. Weitere
Informationen über optionale Softwaremodule erhalten Sie von Ihren EMC IsilonVertriebsmitarbeiter.
Clusterüberwachung
69
Überwachen des Clusters
Sie können die Integrität und Performance eines Clusters mit Diagrammen und Tabellen
überwachen.
Vorgehensweise
isi status
Anzeigen des Node-Status
Sie können den Status eines Node anzeigen.
Vorgehensweise
1. (Optional) Führen Sie den Befehl isi status aus.
Mit dem folgenden Befehl werden Informationen über einen Node mit der logischen
Node-Nummer (LNN) 1 angezeigt:
isi status -n 1
Überwachen der Clusterhardware
Sie können den Status der Hardware auf dem EMC Isilon-Cluster manuell prüfen sowie
SNMP für ein Remotemonitoring der Komponenten aktivieren.
Anzeigen des Node-Hardwarestatus
Sie können den Hardwarestatus eines Node anzeigen.
Vorgehensweise
1. Klicken Sie auf Dashboard > Cluster Overview > Cluster Status.
2. (Optional) Klicken Sie im Bereich Status auf die ID-Nummer für einen Node.
3. Klicken Sie im Bereich Chassis and drive status auf Platform.
Gehäuse- und Laufwerksstatus
Sie können Details zum Gehäuse- und Laufwerksstatus anzeigen.
In einem Cluster bestimmt die Kombination von Nodes in verschiedenen
heruntergestuften Status, ob Lese- oder Schreibanforderungen oder beide Arten von
Anforderungen funktionieren. Ein Cluster kann das Schreib-Quorum verlieren, jedoch das
Lese-Quorum beibehalten. OneFS bietet detaillierte Informationen zum Status von
Gehäusen und Laufwerken im Cluster. Die folgende Tabelle beschreibt alle möglichen
Status, die im Cluster auftreten können.
70
Status
Beschreibung
Schnittstelle
HEALTHY
Alle Laufwerke im Node
funktionieren
ordnungsgemäß.
Befehlszeilenoberfläche,
Fehlerstatus
Status
Beschreibung
Schnittstelle
SMARTFAIL oder
Smartfail or
restripe in
progress
Das Laufwerk wird derzeit
sicher aus dem Dateisystem Webverwaltungsschnittstelle
entfernt, entweder aufgrund
eines I/O-Fehlers oder
aufgrund einer
Benutzeranforderung.
Nodes oder Laufwerke im
Status SMARTFAIL oder in
einem schreibgeschützten
Status haben nur
Auswirkungen auf das
Schreib-Quorum.
NOT AVAILABLE
Ein Laufwerk ist aus
verschiedenen Gründen
nicht verfügbar. Sie können
auf das Bay klicken, um
detaillierte Informationen
über diese Bedingung
anzuzeigen.
Fehlerstatus
X
Hinweis
In der
umfasst dieser Status die
Status ERASE und
SED_ERROR der
Befehlszeilenoberfläche.
SUSPENDED
Dieser Status gibt an, dass
die Laufwerksaktivität
vorübergehend ausgesetzt
ist und das Laufwerk nicht
verwendet wird. Der Status
wird manuell initiiert und
tritt bei normaler
Clusteraktivität nicht auf.
NOT IN USE
Ein Node im Offlinestatus
betrifft sowohl Lese- als
auch Schreib-Quorum.
REPLACE
Der Smartfail-Vorgang des
Laufwerks war erfolgreich
und das Laufwerk kann
ausgetauscht werden.
Nur Befehlszeilenoberfläche
STALLED
Das Laufwerk stockt und
wird dahingehend bewertet.
Die Bewertung stockender
Laufwerke ist ein Prozess,
bei dem Laufwerke
überprüft werden, die
langsam sind oder andere
Probleme aufweisen. Je
Gehäuse- und Laufwerksstatus
71
Status
Beschreibung
Schnittstelle
Fehlerstatus
nach Ergebnis der
Bewertung erfolgt ein
Smartfail oder das Laufwerk
wird wieder in Betrieb
genommen. Dies ist ein
vorübergehender Status.
NEW
Das Laufwerk ist neu und
leer. Dies ist der Status, in
dem sich ein Laufwerk
befindet, wenn Sie den
Befehl isi dev mit der
Option -aadd ausführen.
USED
Das Laufwerk wurde
hinzugefügt und enthielt
eine Isilon-GUID, das
Laufwerk stammt jedoch
nicht von diesem Node.
Dieses Laufwerk wird
wahrscheinlich im Cluster
formatiert.
PREPARING
Das Laufwerk wird derzeit
formatiert. Der
Laufwerksstatus ändert sich
zu HEALTHY, wenn die
Formatierung erfolgreich
war.
EMPTY
Es befindet sich kein
Laufwerk in diesem Bay.
WRONG_TYPE
Der Laufwerkstyp für diesen Nur Befehlszeilenoberfläche
Node ist falsch. Beispiel:
Ein Nicht-SED-Laufwerk in
einem SED-Node oder SAS
anstelle des erwarteten
SATA-Laufwerks.
BOOT_DRIVE
Gilt nur für das A100Laufwerke, die über
Startlaufwerke im Bay
verfügen.
SED_ERROR
Das Laufwerk kann vom
OneFS-System nicht
erkannt werden.
X
Hinweis
In der
ist dieser Status unter Not
available enthalten.
72
Status
Beschreibung
Schnittstelle
ERASE
Das Laufwerk ist bereit zum Nur Befehlszeilenoberfläche
Löschen, benötigt jedoch
Ihre Aufmerksamkeit, da
die Daten nicht gelöscht
wurden. Sie können das
Laufwerk manuell löschen,
um dafür zu sorgen, dass
die Daten entfernt werden.
Fehlerstatus
Hinweis
In der
ist dieser Status unter Not
available enthalten.
INSECURE
Die Daten auf dem SEDNur Befehlszeilenoberfläche
Laufwerk sind für
Unbefugte zugänglich. SEDLaufwerke sollten nie für
unverschlüsselte Daten
verwendet werden.
X
Hinweis
In der
ist dieser Status mit
Unencrypted SED
bezeichnet.
UNENCRYPTED SED
Die Daten auf dem SEDX
Nur
Laufwerk sind für
Unbefugte zugänglich. SEDLaufwerke sollten nie für
unverschlüsselte Daten
verwendet werden.
Hinweis
In der
Befehlszeilenoberfläche ist
dieser Status mit
INSECURE bezeichnet.
Überprüfen des Akkustatus
Sie können den Status der NVRAM-Akkus und der Ladesysteme überwachen.
Diese Funktion ist nur über die Befehlszeile auf Node-Hardware verfügbar, die diesen
Befehl unterstützt.
Vorgehensweise
1. Führen Sie den Befehl isi batterystatus aus, um den Status aller NVRAM-Akkus
und Ladesysteme auf dem Node anzuzeigen.
Überprüfen des Akkustatus
73
Die Systemausgabe ähnelt dem folgenden Beispiel:
battery 1 : Good
battery 2 : Good
SNMP-Überwachung
Sie können SNMP für ein Remotemonitoring der Hardwarekomponenten des EMC IsilonClusters verwenden, z. B. Lüfter , Hardwaresensoren, Netzteile und Laufwerke. Die
standardmäßigen Linux SNMP-Tools oder ein GUI-basiertes SNMP-Tool Ihrer Wahl kann
für diesen Zweck verwendet werden.
Sie können das SNMP-Monitoring auf einzelnen Nodes im Cluster aktivieren oder
Clusterinformationen von jedem Node aus überwachen. Erstellte SNMP-Traps werden an
Ihr SNMP-Netzwerk gesendet. Sie können eine Eventbenachrichtigungsregel
konfigurieren, in der die Netzwerkstation angegeben wird, an die Sie SNMP-Traps für
bestimmte Events senden möchten, sodass das Cluster bei einem Event den Trap an
diesen Server sendet. OneFS unterstützt SNMP im schreibgeschützten Modus. OneFS
unterstützt SNMP-Version 2c, die der Standardwert ist, und SNMP-Version 3.
Hinweis
OneFS unterstützt nicht SNMP v1. Obwohl eventuell eine Option für v1/v2c angezeigt
wird, überwacht OneFS nur über SNMP v2c, wenn Sie diese Option auswählen.
Sie können Einstellungen nur für SNMP v3 oder für SNMP v2c und v3 konfigurieren.
Hinweis
Wenn Sie SNMP v3 konfigurieren, benötigt OneFS das SNMP-spezifische Sicherheitslevel
„AuthNoPriv“ als Standardwert für die Clusterabfrage. Das Sicherheitslevel „AuthPriv“
wird nicht unterstützt.
Elemente in einer SNMP-Hierarchie sind in einer Baumstruktur angeordnet, die einer
Verzeichnisstruktur ähnelt. Wie in Verzeichnissen sind die Kennungen erst allgemein und
werden immer spezifischer, je weiter rechts sie sich in der Zeichenfolge befinden. Im
Gegensatz zu einer Dateihierarchie wird jedes Element jedoch nicht nur benannt, sondern
auch nummeriert.
Die SNMPEinheit .iso.org.dod.internet.private.enterprises.isilon.oneFSss.
ssLocalNodeId.0 wird z. B. .1.3.6.1.4.1.12124.3.2.0 zugewiesen. Der Teil
des Namens, der auf den OneFS SNMP-Namespace verweist, ist das Element 12124. Alle
Angaben rechts neben dieser Zahl beziehen sich auf das OneFS-spezifische Monitoring.
MIB-Dokumente (Management Information Base) definieren menschenlesbare Namen für
gemanagte Objekte und geben ihre Datentypen und andere Eigenschaften an. Sie können
MIBs herunterladen, die für das SNMP-Monitoring eines Isilon-Clusters über die
Webverwaltungsschnittstelle erstellt wurden, oder diese mithilfe der
Befehlszeilenoberfläche managen. MIBs werden im Verzeichnis /usr/local/share/
snmp/mibs/ auf einem OneFS-Node gespeichert. Die OneFS-Isilon-MIBs dienen einem
doppelten Zweck:
l
Ergänzung der in Standard-MIBs verfügbaren Informationen
l
Bereitstellung von OneFS-spezifischen Informationen, die nicht in Standard-MIBs
verfügbar sind
ISILON-MIB ist eine registrierte Unternehmens-MIB. Isilon-Cluster verfügen über zwei
separate MIBs:
74
ISILON-MIB
Definiert eine Gruppe von SNMP-Agents, die Abfragen vom NMS (Network Monitoring
System) bearbeiten. Diese Agents werden als OneFS Statistics Snapshot-Agents
bezeichnet. Wie der Name impliziert, erfassen diese Agents einen Snapshot vom
Status des OneFS-Dateisystems zu dem Zeitpunkt, zu dem dieses eine Anforderung
empfängt, und melden diese Informationen an das NMS.
ISILON-TRAP-MIB
Erzeugt SNMP-Traps, die an eine SNMP-Monitoringstation gesendet werden, wenn
die in den PDUs (Protocol Data Units, Protokolldateneinheiten) definierten
Bedingungen erfüllt sind.
Die OneFS-MIB-Dateien ordnen die OneFS-spezifischen Objekt-IDs Beschreibungen zu.
Laden Sie die MIB-Dateien in ein Verzeichnis herunter oder kopieren Sie diese Dateien in
ein Verzeichnis, in dem sie von Ihrem SNMP-Tool gefunden werden können, z. B. /usr/
share/snmp/mibs/ oder /usr/local/share/snmp/mibs, je nach verwendetem
Tool.
Damit Net-SNMP-Tools die MIBs für eine automatisierte Name-zu-OID-Zuordnung lesen
können, fügen Sie -m All zum Befehl hinzu, wie im folgenden Beispiel gezeigt.
snmpwalk -v2c -c public -m All <node IP> isilon
Wenn sich die MIB-Dateien nicht im Net-SNMP-MIB-Standardverzeichnis befinden,
müssen Sie möglicherweise den vollständigen Pfad angeben, wie im folgenden Beispiel
gezeigt. Beachten Sie, dass alle drei Zeilen ein einziger Befehl sind.
snmpwalk -m /usr/local/share/snmp/mibs/ISILON-MIB.txt:/usr/local\
/share/snmp/mibs/ISILON-TRAP-MIB.txt:/usr/local/share/snmp/mibs \
/ONEFS-TRAP-MIB.txt -v2c -C c -c public <node IP> enterprises.onefs
Hinweis
Die vorherigen Beispiele werden über den Befehl snmpwalk auf einem Cluster
ausgeführt. Ihre SNMP-Version erfordert möglicherweise unterschiedliche Argumente.
Managen von SNMP-Einstellungen
SNMP kann für das Monitoring von Clusterhardware und Systeminformationen verwendet
werden. Die Einstellungen können über die Webverwaltungsschnittstelle oder die
Befehlszeilenoberfläche konfiguriert werden.
Sie können das SNMP-Monitoring auf einzelnen Nodes im Cluster aktivieren und Sie
können die Informationen clusterweit von jedem beliebigen Node überwachen, wenn Sie
SNMP auf jedem Node aktivieren. Wenn Sie SNMP auf einem Isilon-Cluster nutzen,
sollten Sie einen festen allgemeinen Benutzernamen verwenden. Ein Passwort für den
allgemeinen Benutzer kann in der Webverwaltungsschnittstelle konfiguriert werden.
Sie sollten ein NMS (Network Monitoring System) konfigurieren, um jeden Node direkt
über eine statische IP-Adresse abzurufen. Mit diesem Ansatz können Sie sicherstellen,
dass alle Nodes über externe IP-Adressen verfügen und dementsprechend auf SNMPAbfragen antworten. Da der SNMP-Proxy standardmäßig aktiviert ist, wird die SNMPImplementierung auf jedem Node automatisch als Proxy für alle anderen Nodes im
Cluster außer sich selbst konfiguriert. Mit dieser Proxykonfiguration können die MIB
(Isilon Management Information Base) und Standard-MIBs durch den Einsatz von
Kontextzeichenfolgen für unterstützte SNMP-Versionen nahtlos verfügbar gemacht
werden. Nachdem Sie die entsprechenden MIBs herunterladen und gespeichert haben,
können Sie das SNMP-Monitoring entweder über die Webverwaltungsschnittstelle oder
die Befehlszeilenoberfläche konfigurieren.
SNMP-Überwachung
75
Konfigurieren der SNMP-Einstellungen
Sie können SNMP-Überwachungseinstellungen konfigurieren.
Hinweis
Wenn SNMP v3 verwendet wird, benötigt OneFS das SNMP-spezifische Sicherheitslevel
„AuthNoPriv“ als Standardwert für die EMC Isilon-Clusterabfrage. Das Sicherheitslevel
„AuthPriv“ wird nicht unterstützt.
Vorgehensweise
1. Führen Sie den Befehl isi snmp aus.
Mit dem folgenden Befehl wird nur Zugriff über die SNMP-Version 3 zugelassen:
isi snmp --protocols "v3"
Konfigurieren des Clusters für die SNMP-Überwachung
Sie können für Ihr EMC Isilon-Cluster ein Remotemonitoring der Hardwarekomponenten
mit SNMP konfigurieren.
Bevor Sie beginnen
Wenn SNMP v3 verwendet wird, benötigt OneFS das SNMP-spezifische Sicherheitslevel
„AuthNoPriv“ als Standardwert für die Clusterabfrage. Das Sicherheitslevel „AuthPriv“
wird nicht unterstützt.
Sie können das SNMP-Monitoring aktivieren oder deaktivieren, SNMP-Zugriff nach
Version zulassen und andere Einstellungen konfigurieren, von denen einige optional
sind. Jeglicher SNMP-Zugriff ist schreibgeschützt.
Hinweis
Das Isilon-Cluster erzeugt keine SNMP-Traps, es sei denn, Sie konfigurieren eine
Eventbenachrichtigungsregel, um Events zu senden.
Vorgehensweise
1. Klicken Sie auf Cluster Management > General Settings > SNMP Monitoring.
2. Aktivieren oder deaktivieren Sie im Bereich Service auf der Seite SNMP Monitoring
das SNMP-Monitoring.
a. Um das SNMP-Monitoring zu deaktivieren, klicken Sie auf Disable und
anschließend auf Submit.
b. Um das SNMP-Monitoring zu aktivieren, klicken Sie auf Enable und fahren dann
mit den folgenden Schritten mit der Konfiguration Ihrer Einstellungen fort.
3. Klicken Sie im Bereich Download auf die MIB-Datei, die Sie herunterladen möchten.
Befolgen Sie die für Ihren Browser erforderlichen Anweisungen für den
Downloadprozess.
4. (Optional) Wenn Sie Internet Explorer verwenden, klicken Sie mit der rechten
Maustaste auf den Link Download, wählen Sie Save As aus dem Menü aus und
speichern Sie die Datei auf Ihrem lokalen Laufwerk.
Sie können den Text in dem für Ihr Net-SNMP-Tool erforderlichen Dateiformat
speichern.
76
5. Kopieren Sie die MIB-Dateien in ein Verzeichnis, in dem diese von Ihrem SNMP-Tool
gefunden werden können, z. B. /usr/share/snmp/mibs/ oder /usr/local/
share/snmp/mibs, je nach verwendetem Tool.
Damit Net-SNMP-Tools die MIBs für eine automatisierte Name-zu-OID-Zuordnung
lesen können, fügen Sie -m All zum Befehl hinzu, wie im folgenden Beispiel
gezeigt: snmpwalk -v2c -c public -m All <node IP> isilon
6. Navigieren Sie zurück zur Seite SNMP Monitoring und konfigurieren Sie die
allgemeinen Einstellungen.
a. Konfigurieren Sie im Bereich Settings den Protokollzugriff, indem Sie die
gewünschte Version auswählen.
OneFS unterstützt keine beschreibbaren OIDs. Daher ist keine Einstellung für eine
Nur-Schreiben-Zeichenfolge für die Community verfügbar.
b. Geben Sie im Feld System location den Systemnamen ein.
Diese Einstellung ist der Wert, den der Node bei der Beantwortung von Abfragen
verwendet. Geben Sie einen Namen ein, mit dem Sie den Standort des Node
identifizieren können.
c. Geben Sie im Feld System contact die E-Mail-Adresse des Ansprechpartners ein.
7. (Optional) Wenn Sie SNMP v1/v2 als Protokoll ausgewählt haben, geben Sie im
Bereich SNMP v1/v2c Settings den Communitynamen in das Feld Read-only
community ein.
Die Standardcommunityzeichenfolge ist I$ilonpublic.
Hinweis
OneFS unterstützt SNMP v1 nicht mehr. Obwohl eventuell eine Option für v1/v2c
angezeigt wird, überwacht OneFS nur über SNMP v2c, wenn Sie diese Option
auswählen.
8. Konfigurieren Sie die SNMP v3-Einstellungen.
a. Geben Sie im Feld Read-only user den SNMP v3-Sicherheitsnamen ein, um den
Namen des Benutzers mit Lesezugriff zu ändern.
Der Standardbenutzer mit Lesezugriff ist general.
Das Passwort muss mindestens acht Zeichen lang sein und darf keine Leerzeichen
enthalten.
b. Geben Sie im Feld SNMP v3 password das neue Passwort für den Benutzer mit
Lesezugriff ein, um ein neues SNMP v3-Authentifizierungspasswort festzulegen.
Das Standardpasswort lautet password. Es wird empfohlen, dass Sie das
Kennwort ändern, um die Sicherheit zu verbessern.
c. Geben Sie das neue Passwort im Feld Confirm password ein, um das neue
Passwort zu bestätigen.
9. Klicken Sie auf Senden.
Anzeigen von SNMP-Einstellungen
Sie können SNMP-Überwachungseinstellungen überprüfen.
SNMP-Überwachung
77
Vorgehensweise
isi snmp list
Events und Benachrichtigungen
Sie können die Integrität und Performance Ihres EMC Isilon-Clusters durch OneFSEventbenachrichtigungen überwachen.
Wenn OneFS ein Vorkommnis auf dem Cluster identifiziert, das möglicherweise
zusätzliche Aufmerksamkeit erfordert, wird ein Event generiert. OneFS speichert Events,
die mit Dateisystemintegrität, Netzwerkverbindungen, Hardware und anderen wichtigen
Komponenten Ihres Clusters in Verbindung stehen.
Sie können die Events auswählen, die Sie überwachen möchten, und Events abbrechen,
in den Ruhemodus versetzen oder den Ruhemodus aufheben.
Darüber hinaus können Sie Eventbenachrichtigungsregeln konfigurieren, um
herauszufinden, wer eine Benachrichtigung erhält, wenn ein Event auftritt.
Zusammengeführte Events
OneFS führt zusammengehörige, gruppierte Events oder wiederholte, duplizierte Events
in einem einzigen Event zusammen.
Zusammengeführte Gruppenevents
Gruppenevents sind andere Arten von Events, die sich alle auf ein einziges Vorkommnis
beziehen.
Im folgenden Beispiel führt ein Verbindungsproblem zu folgenden Events:
Event
Beschreibung
100010005 Ein SAS-PHY-Topologieproblem oder eine Änderung wurde erkannt.
100010006 Der Fehlerprotokollzähler eines Laufwerks gibt an, dass möglicherweise ein
Problem vorliegt.
100010007 Ein SAS-Link hat die maximal zulässige Bitfehlerrate überschritten.
100010008 Ein SAS-Link wurde aufgrund einer Überschreitung der maximal zulässigen
Bitfehlerrate deaktiviert.
Da die Events von einem einzigen Vorkommnis ausgelöst werden, erstellt OneFS ein
Gruppenevent und kombiniert die verwandten Meldungen im neuen Gruppenevent mit
der Nummer 24.294. Anstatt vier Events anzuzeigen, sehen Sie ein einziges
Gruppenevent, das Sie auf Speichertransportprobleme hinweist. Sie können alle
gruppierten Events bei Bedarf auch einzeln anzeigen.
Führen Sie zum Anzeigen dieses zusammengeführten Events den folgenden Befehl aus:
isi events show 24.924
78
Das System zeigt die folgende Beispielausgabe des zusammengeführten Gruppenevents
an:
ID:
24.924
Type:
199990001
Severity:
critical
Value:
0.0
Message:
Disk Errors detected (Bay 1)
Node:
21
Lifetime:
Sun Jun 17 23:29:29 2012 - Now
Quieted:
Not quieted
Specifiers: disk: 35
val: 0.0
devid: 24
drive_serial: 'XXXXXXXXXXXXX'
lba: 1953520064L
lnn: 21
drive_type: 'HDD'
device: 'da1'
bay: 1
unit: 805306368
Coalesced by: -Coalescer Type: Group
Coalesced events:
ID
STARTED
ENDED SEV LNN MESSAGE
24.911 06/17 23:29 -- I
21 Disk stall: Bay 1, Type HDD, LNUM 35.
Disk ...
24.912 06/17 23:29 -- I
21 Sector error: da1 block 1953520064
24.913 06/17 23:29 -- I
24.914 06/17 23:29 -- I
24.915 06/17 23:29 -- I
24.916 06/17 23:29 -- I
24.917 06/17 23:29 -- I
24.918 06/17 23:29 -- I
24.919 06/17 23:29 -- I
24.920 06/17 23:29 -- I
24.921 06/17 23:29 -- I
24.922 06/17 23:29 -- C
21 Disk Repair Initiated: Bay 1, Type
HDD, LNUM...
Zusammengeführte duplizierte Events
Duplizierte Events liegen vor, wenn dieselbe Meldung als Reaktion auf ein fortlaufendes
Problem wiederholt wird.
Im folgenden Beispiel wird ein maximaler SmartQuotas-Schwellenwert wiederholt
überschritten und das System führt diese Abfolge von identischen, aber einzelnen
Vorkommnissen in ein Event mit der Nummer 1.3035 zusammen.
Führen Sie zum Anzeigen dieses zusammengeführten Events den folgenden Befehl aus:
isi events show 1.3035
Das System zeigt die folgende Beispielausgabe des zusammengeführten duplizierten
Events an:
ID: 1.3035
Type: 500010001
Severity: info
Value: 0.0
Message: SmartQuotas threshold violation on quota violated, domain
Zusammengeführte Events
79
direc...
Node: All
Lifetime: Thu Jun 14 01:00:00 2012 - Now
Quieted: Not quieted
Specifiers: enforcement: 'advisory'
domain: 'directory /ifs/quotas'
name: 'violated'
val: 0.0
devid: 0
lnn: 0
Coalesced by: -Coalescer Type: Duplicate
Coalesced events:
ID STARTED ENDED SEV LNN MESSAGE
18.621 06/14 01:00 -- I All SmartQuotas threshold
vio...
vio...
vio...
vio...
vio...
violation on quota
violation on quota
violation on quota
violation on quota
violation on quota
Anzeigen von Eventinformationen
Sie können Eventdetails, Eventverlauf und Eventprotokolle anzeigen.
Anzeigen einer Liste von Ereignissen
Sie können eine Liste aller Ereignisse anzeigen.
Darüber hinaus können Sie Ereignisergebnisse nach den folgenden Kriterien filtern:
l
Älteste Ereignisse
l
Neueste Ereignisse
l
Historische Ereignisse
l
Zusammengeführte Ereignisse
l
Schweregrad
l
Ereignisse für einen bestimmten Node
l
Ereignistypen
Vorgehensweise
1. Führen Sie den Befehl isi events list aus.
ID
STARTED
2.2
04/24 03:53
3, 4, 5, 6, ...
1.166 04/24 03:54
expire on ...
1.167 04/24 03:54
will expir...
1.168 04/24 03:54
will expir...
2.57 04/25 17:41
'HDFS' will...
80
ENDED
--
SEV LNN MESSAGE
C
2
One or more drives (bay(s)
--
I
All Software license 'HDFS' will
--
I
All Software license '{license}'
--
I
All Software license '{license}'
--
I
All Recurring: Software license
2.58 04/25 17:41
'{license}'...
1.2
05/02 16:40
3, 4, 5, 6, ...
3.1
05/02 16:50
3, 4, 5, 6, ...
1.227 04/29 20:25
1.228 04/29 20:26
1.229 04/29 22:33
1.259 05/01 00:00
2.59 04/25 17:41
'{license}'...
--
I
All Recurring: Software license
--
C
1
--
C
3
C
C
C
I
I
All
All
All
1
All
Test event sent from CLI
Monthly status
Recurring: Software license
04/29
04/29
04/29
05/01
05/02
20:25
20:26
22:33
00:00
20:17
Mit dem folgenden Beispielbefehl wird eine Liste von Ereignissen mit dem
Schweregrad „critical“ angezeigt:
isi events list --severity=critical
ID
2.2
3, 4,
1.2
3, 4,
3.1
3, 4,
1.227
1.228
1.229
STARTED
04/24 03:53
5, 6, ...
05/02 16:40
5, 6, ...
05/02 16:50
5, 6, ...
04/29 20:25
04/29 20:26
04/29 22:33
ENDED
--
SEV LNN MESSAGE
C
2
--
C
1
--
C
3
04/29 20:25 C
04/29 20:26 C
04/29 22:33 C
All Test event sent from CLI
Anzeigen von Ereignisdetails
Sie können die Details eines bestimmten Ereignisses anzeigen.
Vorgehensweise
1. (Optional) Um die Instanz-ID der Benachrichtigung zu ermitteln, die Sie anzeigen
möchten, führen Sie den folgenden Befehl aus:
isi events list
2. Um die Details eines bestimmten Ereignisses anzuzeigen, führen Sie den Befehl isi
events show aus und geben Sie die Ereignisinstanz-ID an.
Mit dem folgenden Beispielbefehl werden die Details für das Ereignis mit der InstanzID angezeigt:
isi events show --instanceid=2.57
ID: 2.57
Type: 400070004
Severity: info
Value: 28.0
Message: Recurring: Software license 'HDFS' will expire on
May 23, 2014
Node: All
Lifetime: Fri Apr 25 17:41:34 2014 - Now
Quieted: Not quieted
Specifiers: license: 'HDFS'
Anzeigen von Eventinformationen
81
val: 24
devid: 0
lnn: 0
thresh: 0.0
exp_date: 'May 23, 2014'
Coalesced by: -Coalescer Type: Repeat
Coalesced events:
ID
STARTED
ENDED SEV LNN MESSAGE
1.171 04/25 17:41 -I
All Software
expire on May 23...
2.43 04/29 00:14 -I
All Software
expire on May 23...
1.200 04/29 18:34 -I
All Software
expire on May 23...
1.232 04/30 17:00 -I
All Software
expire on May 23...
2.72 05/01 03:07 -I
All Software
expire on May 23...
2.75 05/02 16:51 -I
All Software
expire on May 23...
license 'HDFS' will
license 'HDFS' will
license 'HDFS' will
license 'HDFS' will
license 'HDFS' will
license 'HDFS' will
Anzeigen des Ereignisprotokolls
Sie können sich über die Befehlszeilenoberfläche bei einem Node anmelden und den
Inhalt des lokalen Ereignisprotokolls anzeigen.
Ereignisprotokolle werden in der Regel für Supportzwecke verwendet. Sie können das
Ereignisprotokoll nur mithilfe der Befehlszeilenoberfläche anzeigen.
Vorgehensweise
1. Stellen Sie eine SSH-Verbindung zu einem beliebigen Node im EMC Isilon-Cluster her.
2. Zeigen Sie die Datei /var/log/isi_celog_events.log an.
In der Protokolldatei sind alle Ereignisaktivitäten aufgeführt. Jede Ereigniszeile enthält
eine der folgenden Ereignisbezeichnungen:
Ereignisbezeichnung
Beschreibung
COALESCED: FIRST EVENT
Ein Ereignis wurde als ein mögliches erstes Ereignis in einer Reihe
von Ereignissen markiert, die zusammengeführt werden können.
Die Bezeichnung als erstes Ereignis ist lediglich ein Platzhalter für
ein potenzielles übergeordnetes zusammenführendes Ereignis.
COALESCER EVENT: ADDED
Ein übergeordnetes zusammenführendes Ereignis wurde erstellt.
COALESCED
Ein Ereignis wurde als untergeordnetes Ereignis zu einem
zusammenführenden Ereignis hinzugefügt.
CREATOR EV COALID UPDATED Eine Gruppe wurde erstellt und der Platzhalter für die
Bezeichnung als erstes Ereignis wurde aktualisiert, um die
tatsächlichen Gruppeninformationen zu enthalten.
82
DROPPED
Ein Ereignis hat keine neuen Informationen enthalten und wurde
nicht in der Masterereignisdatenbank gespeichert.
FORWARDED_TO_MASTER
Ein Ereignis wurde an den Master-Node weitergeleitet, um in der
Masterereignisdatenbank gespeichert zu werden.
DB: STORED
Ein Ereignis wurde in der Masterereignisdatenbank gespeichert.
DB: PURGED
Ein Ereignis wurde aus der Masterereignisdatenbank gelöscht.
Die Datenbank hat eine Begrenzung von 50.000 Einträgen und
alte Ereignisse werden gelöscht, wenn diese Grenze erreicht ist.
Ereignisbezeichnung
Beschreibung
INVALID EVENT: DROPPED
Ein Ereignis hat ungültige Informationen enthalten und wurde
nicht in der Masterereignisdatenbank gespeichert.
UPDATE EVENT: DROPPED
Eine Anforderung zur Aktualisierung der Gruppeninformationen in
einem übergeordneten zusammenführenden Ereignis wurde
abgebrochen.
Reagieren auf Ereignisse
Sie können Ereignisdetails anzeigen und auf Clusterereignisse reagieren.
Sie können neue Ereignisse, offene Ereignisse und kürzlich beendete Ereignisse anzeigen
und managen. Sie können außerdem zusammengeführte Ereignisse und ausführlichere
Information zu einem bestimmten Ereignis anzeigen. Darüber hinaus können Sie
Ereignisse in den Ruhemodus versetzen oder abbrechen.
Ruhemodus, Aufheben des Ruhemodus und Abbrechen von Ereignissen
Sie können den Status eines Ereignisses ändern, indem Sie das Ereignis in den
Ruhemodus versetzen, den Ruhemodus aufheben oder das Ereignis abbrechen.
Sie können die folgenden Aktionen auswählen, um den Status eines Ereignisses zu
ändern:
Quiet
Bestätigt und löscht das Ereignis aus der Liste der neuen Ereignisse und fügt das
Ereignis einer Liste mit Ereignissen im Ruhemodus hinzu.
Hinweis
Wenn ein neues Ereignis desselben Ereignistyps ausgelöst wird, handelt es sich um
ein separates neues Ereignis, das in den Ruhemodus versetzt werden muss.
Unquiet
Versetzt ein Ereignis vom Ruhemodus in einen unbestätigten Status in der Liste der
neuen Ereignisse und löscht das Ereignis aus der Liste der Ereignisse im
Ruhemodus.
Cancel
Beendet das Auftreten eines Ereignisses dauerhaft. Das System bricht ein Ereignis
ab, wenn die Bedingungen erfüllt sind, die seine Laufzeit beenden, die an eine Startund Endzeit gebunden ist, oder wenn Sie das Ereignis manuell abbrechen.
Die meisten Ereignisse werden automatisch vom System abgebrochen, wenn das Ereignis
das Ende seiner Laufzeit erreicht. Das Ereignis verbleibt im System, bis Sie das Ereignis
manuell bestätigen oder in den Ruhemodus versetzen. Sie können Ereignisse über die
Webverwaltungsschnittstelle oder die Befehlszeilenoberfläche bestätigen.
Versetzen eines Ereignisses in den Ruhemodus
Sie können ein Ereignis bestätigen und aus der Ereignisliste entfernen, indem Sie es in
den Ruhemodus versetzen.
Reagieren auf Ereignisse
83
Vorgehensweise
1. (Optional) Um die Instanz-ID des Ereignisses zu ermitteln, das Sie in den Ruhemodus
versetzen möchten, führen Sie den folgenden Befehl aus:
isi events list
2. Versetzen Sie das Ereignis in den Ruhemodus, indem Sie den Befehl isi events
quiet ausführen.
Mit dem folgenden Beispielbefehl wird ein Ereignis mit der Instanz-ID 1.227 in den
Ruhemodus versetzt:
isi events quiet --instanceid=1.227
Aufheben des Ruhemodus eines Ereignisses
Sie können den Status eines Ereignisses im Ruhemodus in einen nicht bestätigten Status
zurücksetzen, indem Sie den Ruhemodus aufheben.
Vorgehensweise
1. (Optional) Um die Instanz-ID des Ereignisses zu ermitteln, dessen Ruhemodus Sie
aufheben möchten, führen Sie den folgenden Befehl aus:
isi events list
2. Heben Sie den Ruhemodus des Ereignisses auf, indem Sie den Befehl isi events
unquiet ausführen.
Mit dem folgenden Beispielbefehl wird der Ruhemodus für ein Ereignis mit der
Instanz-ID 1.227 aufgehoben:
isi events unquiet --instanceid=1.227
Abbrechen eines Ereignisses
Sie können das Auftreten eines Ereignisses beenden, indem Sie es abbrechen.
Vorgehensweise
1. (Optional) Um die Instanz-ID des Ereignisses zu ermitteln, das Sie abbrechen
isi events list
2. Brechen Sie das Ereignis ab, indem Sie den Befehl isi events cancel
ausführen.
Mit dem folgenden Beispielbefehl wird ein Ereignis mit der Instanz-ID 2.59
abgebrochen:
isi events cancel --instanceid=2.59
Managen der Einstellungen für die Eventbenachrichtigung
Sie können die Einstellungen für Eventbenachrichtigungen anzeigen und ändern sowie
Batchbenachrichtigungen konfigurieren.
84
Eventbenachrichtigungsmethoden
Sie können definieren, wie OneFS Benachrichtigungen sendet.
Email
Sie können E-Mail-Nachrichten an Verteilerlisten senden und E-Mail-Vorlagen für
Benachrichtigungen anwenden. Sie können außerdem SMTP-, Autorisierungs- und
Sicherheitseinstellungen festlegen.
SupportIQ
Sie können Benachrichtigungen an den technischen Isilon-Support über HTTPS,
SMTP oder beides senden.
SNMP-Trap
Sie können SNMP-Traps an eine oder mehrere Netzwerkmonitoringstationen oder
Trap-Empfänger senden. Jedes Event kann einen oder mehrere SNMP-Traps
erzeugen. Sie können die Management Information Base (MIB)-Dateien vom Cluster
unter /usr/local/share/snmp/mibs/ herunterladen. Die Datei ISILONTRAP-MIB.txt beschreibt die Traps, die das Cluster erzeugen kann, und die Datei
ISILON-MIB.txt beschreibt die zugehörigen varbinds, die die Traps begleiten.
ESRS
Sie können Warnmeldungen vom ESRS-Gateway (EMC Secure Remote Support)
erhalten. Das ESRS-Gateway ist ein sicheres, IP-basiertes Customer-ServiceSupportsystem.
Das ESRS-Gateway ähnelt SupportIQ und bietet zahlreiche seiner Funktionen:
l
l
l
Senden von Warnmeldungen bezüglich der Integrität Ihrer Geräte
Supportmitarbeiter können die gleichen Skripte ausführen, die von SupportIQ
verwendet werden, um Daten von Geräten zu erfassen.
Supportmitarbeiter können für das Troubleshooting Ihres Clusters Remotezugriff
einrichten.
Einstellungen für die Eventbenachrichtigung
Sie können festlegen, ob Sie Eventbenachrichtigungen als zusammengefasste Batches
oder als einzelne Benachrichtigungen für jedes Event erhalten möchten.
Batchbenachrichtigungen werden alle 10 Sekunden gesendet.
Die in der folgenden Tabelle beschriebenen Batchoptionen wirken sich sowohl auf den
Inhalt als auch auf die Betreffzeile der Benachrichtigungs-E-Mails aus, die als Reaktion
auf Systemevents gesendet werden. Sie können Batchoptionen für
Eventbenachrichtigungen festlegen, wenn Sie SMTP-E-Mail-Einstellungen konfigurieren.
Zulässige Werte
Option
Beschreibung
Notification batch
mode
Batch all
Generiert eine einzelne E-Mail für jede
Eventbenachrichtigung.
Batch by severity
Generiert eine E-Mail, die
zusammengefasste Benachrichtigungen für
jedes Event desselben Schweregrads
enthält, unabhängig von der
Eventkategorie.
Batch by category
Generiert eine E-Mail, die
zusammengefasste Benachrichtigungen für
Managen der Einstellungen für die Eventbenachrichtigung
85
Zulässige Werte
Option
Beschreibung
Events derselben Kategorie enthält,
unabhängig vom Schweregrad.
Custom notification
template
No batching
Generiert eine E-Mail pro Event.
Es ist keine
benutzerdefinierte
Benachrichtigungsvorlage
festgelegt
Sendet die E-Mail-Benachrichtigung im
OneFS-StandardBenachrichtigungsvorlagenformat.
Set custom notification
template
Sendet die E-Mail-Benachrichtigungen im
Format, das Sie in Ihrer benutzerdefinierten
Vorlagendatei definiert haben.
Anzeigen der Einstellungen für Ereignisbenachrichtigungen
Sie können die aktuellen Einstellungen für Ereignisbenachrichtigungen anzeigen.
Vorgehensweise
1. Führen Sie den Befehl isi events settings list aus.
Setting
Value
-----------------------------------batch_mode
none
user_template
/etc/email/email_template.txt
max_email_size
5242880
Ändern der Einstellungen für Ereignisbenachrichtigungen
Sie können die Einstellungen für das Senden von Ereignisbenachrichtigungen ändern.
Dabei können Sie den Batchmodus, die Benutzervorlage und die E-Mail-Größe ändern.
Vorgehensweise
1. Ändern Sie Ereignisbenachrichtigungen, indem Sie den Befehl isi events
settings set unter Angabe des Namens und des Wertes der Einstellung
ausführen, die geändert werden soll.
Mit dem folgenden Beispielbefehl wird angegeben, dass Benachrichtigungen des
gleichen Schweregrads in einem Batch gesendet werden sollen:
isi events settings set --name batch_mode --value severity
Managen von Eventbenachrichtigungsregeln
Über die Webverwaltungsschnittstelle oder die Befehlszeilenoberfläche können Sie
Benachrichtigungsregeln ändern oder löschen und Einstellungen für
Eventbenachrichtigungen sowie Batchbenachrichtigungseinstellungen konfigurieren.
Sie können Einstellungen für Eventbenachrichtigungen festlegen und
Eventbenachrichtigungsregeln erstellen, ändern oder löschen. Sie können einstellen, wie
Benachrichtigungen (einzeln oder in einem Batch) empfangen werden.
86
Anzeigen von Ereignisbenachrichtigungsregeln
Sie können eine Liste aller Benachrichtigungsregeln oder Details zu einer bestimmten
Regel anzeigen.
Vorgehensweise
1. Um alle Benachrichtigungsregeln anzuzeigen, führen Sie den Befehl isi events
notifications list aus.
NAME
TYPE
RECIPIENTS
Isilon support smtp
1
SupportIQ
supportiq 3
categories, 1 event types
CritSupport
smtp
5
DESCRIPTION
10 categories, 1 event types
10
10 categories, 2 event types
2. Um Details zu einer bestimmten Benachrichtigungsregel anzuzeigen, führen Sie isi
events notifications list aus und geben Sie den Namen des Ereignisses
an.
Beim Namen der Benachrichtigungsregel muss zwischen Groß- und Kleinschreibung
unterschieden werden.
Mit dem folgenden Beispielbefehl werden Details zur SupportIQBenachrichtigungsregel angezeigt:
isi events notifications list --name=SupportIQ
Name: SupportIQ
Type: supportiq
Recipients:
Categories:
LEVELS EVENT TYPE
CE
SYS_DISK_EVENTS (100000000)
CE
NODE_STATUS_EVENTS (200000000)
CE
REBOOT_EVENTS (300000000)
CE
SW_EVENTS (400000000)
CE
QUOTA_EVENTS (500000000)
CE
SNAP_EVENTS (600000000)
CE
WINNET_EVENTS (700000000)
CE
FILESYS_EVENTS (800000000)
CE
HW_EVENTS (900000000)
CE
CPOOL_EVENTS (1100000000)
Specific Event types:
LEVELS EVENT TYPE
I
SW_CLUSTER_MONTHLY_STATUS (400090001)
Erstellen einer Ereignisbenachrichtigungsregel
Sie können Ereignisbenachrichtigungsregeln auf Grundlager bestimmter Ereignisse und
Ereignistypen konfigurieren.
Sie können die Erzeugung von E-Mail-Benachrichtigungen und SNMP-Traps für ein
bestimmtes Ereignis konfigurieren.
Vorgehensweise
1. Führen Sie den Befehl isi events notifications create aus.
Managen von Eventbenachrichtigungsregeln
87
Mit dem folgenden Beispielbefehl wird eine Regel namens „example rule“, mit der
angegeben wird, dass bei einem kritischen Ereignis eine Benachrichtigung an
[email protected] gesendet wird:
isi events notifications create --name=test-rule \
[email protected] --include-critical=all
Ändern einer Ereignisbenachrichtigungsregel
Sie können von Ihnen erstellte Ereignisbenachrichtigungsregeln ändern.
Benachrichtigungsregeln für Systemereignisse können nicht geändert werden.
Vorgehensweise
1. (Optional) Um den Namen der Benachrichtigung zu ermitteln, die Sie abbrechen
isi events notifications list
2. Ändern Sie eine Ereignisbenachrichtigungsregel, indem Sie den Befehl isi events
notifications modify ausführen.
Mit dem folgenden Beispielbefehl wird die Benachrichtigungsregel mit dem Namen
„test-rule“ geändert, indem der Liste von Ereignissen, die eine Benachrichtigungs-EMail auslösen, alle Ereignisse mit dem Schweregrad „emergency“ hinzugefügt
werden:
isi events notifications modify --name=test-rule --addemergency=all
Senden einer Testereignisbenachrichtigung
Sie können eine Testereignisbenachrichtigung erzeugen, um zu bestätigen, dass
Ereignisbenachrichtigungen wie geplant funktionieren.
Vorgehensweise
1. Führen Sie den Befehl isi events sendtest aus.
Der Befehl gibt die Instanz ID des Testereignisses zurück.
2. (Optional) Führen Sie den Befehl isi events list aus, um zu überprüfen, ob die
Testereignisbenachrichtigung gesendet wurde und ob die zurückgegebene Instanz-ID
in der Liste angezeigt wird.
Löschen einer Ereignisbenachrichtigungsregel
Sie können von Ihnen erstellte Ereignisbenachrichtigungsregeln löschen.
Benachrichtigungsregeln für Systemereignisse können nicht gelöscht werden.
Vorgehensweise
1. (Optional) Um den Namen der Benachrichtigung zu ermitteln, die Sie abbrechen
88
2. Löschen Sie eine Ereignisbenachrichtigungsregel, indem Sie den Befehl isi
events notifications delete ausführen.
Mit dem folgenden Beispielbefehl wird die Benachrichtigungsregel namens „test-rule“
gelöscht:
isi events notifications delete --name-test-rule
Clusterwartung
Geschulte Servicemitarbeiter können Komponenten in Isilon-Nodes ersetzen oder ein
Upgrade für diese Komponenten durchführen.
Die Mitarbeiter des technischen Isilon-Supports können Ihnen beim Austausch von NodeKomponenten oder dem Durchführen eines Upgrades behilflich sein, um die Performance
zu steigern.
Ersetzen von Node-Komponenten
Wenn eine Node-Komponente ausfällt, arbeitet der technische Isilon-Support mit Ihnen
zusammen, um die Komponente schnell zu ersetzen und den Node in einen
ordnungsgemäßen Status zurückzuversetzen.
Die geschulten Servicemitarbeiter können die folgenden vor Ort austauschbaren Teile
(Field Replaceable Units, FRUs) ersetzen:
l
battery
l
Bootflashlaufwerk
l
SATA/SAS-Laufwerk
l
DIMM (Arbeitsspeicher)
l
fan
l
Vorderseite
l
Intrusions-Switch
l
NIC (Netzwerkschnittstellenkarte)
l
IB/NVRAM-Karte
l
SAS-Controller
l
Netzteil
Wenn Sie das Cluster so konfigurieren, dass Benachrichtigungen an Isilon gesendet
werden, setzt sich der technische Isilon-Support mit Ihnen in Verbindung, wenn eine
Komponente ersetzt werden muss. Wenn Sie das Cluster nicht so konfigurieren, dass
Benachrichtigungen an Isilon gesendet werden, müssen Sie einen Service-Request
senden.
Durchführen eines Upgrades von Node-Komponenten
Sie können ein Upgrade für Node-Komponenten durchführen, um zusätzliche Kapazität
oder Performance zu erhalten.
Geschulte Servicemitarbeiter können für die folgenden Komponenten ein Upgrade vor Ort
durchführen:
Clusterwartung
89
l
Laufwerk
l
DIMM (Arbeitsspeicher)
l
NIC (Netzwerkschnittstellenkarte)
Wenn Sie ein Upgrade für Komponenten in Ihren Nodes durchführen möchten, wenden
Sie sich an den technischen Isilon-Support.
Managen der Laufwerksfirmware
Wenn die Firmware eines Laufwerks in einem Cluster veraltet ist, kann die
Clusterperformance oder Hardwarezuverlässigkeit beeinträchtigt werden. Um
Gesamtdatenintegrität sicherzustellen, können Sie die Laufwerksfirmware auf die
neueste Version aktualisieren, indem Sie das Laufwerksupportpaket oder das
Laufwerksfirmwarepaket installieren.
Sie können bestimmen, ob die Laufwerksfirmware auf dem Cluster die aktuelle Version
ist, indem Sie den Status der Laufwerksfirmware anzeigen.
Hinweis
Vor dem Aktualisieren der Laufwerksfirmware wird empfohlen, dass Sie sich an den
technischen EMC Isilon-Support wenden.
Übersicht über Laufwerksfirmwareupdates
Sie können die Laufwerksfirmware durch Laufwerksupportpakete oder
Laufwerksfirmwarepakete aktualisieren.
Laden Sie eines dieser Pakete von http://support.emc.com herunter (abhängig von der
OneFS-Version, die in Ihrem Cluster ausgeführt wird, und dem Typ von Laufwerken auf
den Nodes) und installieren Sie es.
Laufwerksupportpaket
Installieren Sie für Cluster mit OneFS 7.1.1 oder höher ein Laufwerksupportpaket, um Ihre
Laufwerksfirmware zu aktualisieren. Sie müssen die betroffenen Nodes nicht neu starten,
um das Firmwareupdate abzuschließen. Ein Laufwerksupportpaket bietet folgende
zusätzliche Funktionen:
l
l
Aktualisiert die folgenden Laufwerkskonfigurationsinformationen:
n
Liste der unterstützten Laufwerke
n
Metadaten der Laufwerksfirmware
n
SSD-Abnutzungsüberwachungsdaten
n
SAS- und SATA-Einstellungen und -Attribute
Aktualisiert automatisch die Laufwerksfirmware für neue und Ersatzlaufwerke auf die
neueste Version, bevor diese Laufwerke in einem Cluster formatiert und verwendet
werden. Dies gilt nur für Cluster, die OneFS 7.2 und höher ausführen.
Hinweis
Firmware von gerade verwendeten Laufwerken kann nicht automatisch aktualisiert
werden.
Laufwerksfirmwarepaket
Installieren Sie für Cluster, die frühere OneFS-Versionen als 7.1.1 ausführen, oder für
Cluster mit Nicht-Bootflash-Nodes ein clusterweites Laufwerksfirmwarepaket, um die
Laufwerksfirmware zu aktualisieren. Sie müssen die betroffenen Nodes neu starten, um
das Firmwareupdate abzuschließen.
90
Installieren eines Laufwerksupportpakets
Installieren Sie für Cluster mit OneFS 7.1.1 oder höher das Laufwerksupportpaket, um
Ihre Laufwerksfirmware auf die neueste unterstützte Version zu aktualisieren.
Vorgehensweise
1. Gehen Sie zur Seite EMC Support, auf der alle verfügbaren Versionen des
Laufwerksupportpakets aufgelistet werden.
2. Klicken Sie auf die neueste Version des Laufwerksupportpakets und laden Sie die
Datei herunter.
3. Öffnen Sie eine SSH-Verbindung (Secure Shell) zu einem beliebigen Node im Cluster
und melden Sie sich an.
4. Erstellen oder überprüfen Sie die Verfügbarkeit der Verzeichnisstruktur /ifs/data/
Isilon_Support/dsp.
5. Kopieren Sie die heruntergeladene Datei in das Verzeichnis dsp über SCP, FTP, SMB,
NFS oder ein anderes unterstütztes Datenzugriffsprotokoll.
6. Entpacken Sie die Datei, indem Sie den Befehl tar ausführen.
Entpacken Sie beispielsweise Laufwerksupportpaket-Version 1.2 wie folgt:
tar -zxvf Drive_Support_v1.2.tgz
7. Installieren Sie das Paket, indem Sie den Befehl isi_dsp_install ausführen.
Installieren Sie beispielsweise Laufwerksupportpaket-Version 1.2 wie folgt:
isi_dsp_install Drive_Support_v1.2.tar
Anzeigen des Laufwerksfirmwarestatus
Sie können den Status der Laufwerksfirmware auf dem Cluster anzeigen, um zu
bestimmen, ob Sie die Firmware aktualisieren müssen.
Vorgehensweise
2. Führen Sie eine der folgenden Aufgaben durch:
l
Zeigen Sie den Laufwerksfirmwarestatus aller Nodes an, indem Sie den folgenden
Befehl ausführen:
isi drivefirmware status
l
Um den Laufwerksfirmwarestatus der Laufwerke auf einem bestimmten Node
anzuzeigen, führen Sie den Befehl isi devices mit der Option -afwstatus
aus. Mit dem folgenden Befehl wird der Laufwerksfirmwarestatus jedes Laufwerks
auf Node 1 angezeigt:
isi devices -a fwstatus -d 1
Die Ausgabe des vorherigen Befehls wird im folgenden Beispiel dargestellt:
Node 1
Bay 1
Bay 2
Bay 3
Model
HGST HUS724030ALA640
FW
MF80AAC0
MF80AAC0
MF80AAC0
Desired FW
91
Führen Sie den folgenden Befehl aus, um den Laufwerksfirmwarestatus auf Node 1
und Festplatte 12 anzuzeigen:
isi devices -a fwstatus -d 1:12
Wenn kein Laufwerksfirmwareupdate erforderlich ist, ist die Spalte Desired FW leer.
Aktualisieren der Laufwerksfirmware
Sie können die Laufwerksfirmware auf die neueste Version aktualisieren; durch das
Aktualisieren der Firmware wird die allgemeine Datenintegrität sichergestellt.
In diesem Verfahren wird erklärt, wie die Laufwerksfirmware auf Nodes aktualisiert wird,
die über Bootflash Laufwerke verfügen, nachdem Sie das neueste Laufwerksupportpaket
installiert haben. Eine Liste der Nodes mit Bootflash Laufwerken finden Sie im Abschnitt
mit den Systemanforderungen in den Versionshinweisen zum Isilon Support Package.
Um die Laufwerksfirmware auf Nodes zu aktualisieren, die keine Bootflash-Laufwerke
enthalten, müssen Sie das neueste Laufwerksfirmwarepaket herunterladen und
installieren. Weitere Informationen finden Sie in den Versionshinweisen der neuesten
Laufwerksfirmware unter https://support.emc.com/.
Hinweis
Das Aus- und erneute Einschalten während eines Firmwareupdates kann unter
Umständen zu unerwarteten Ergebnissen führen. Starten Sie Nodes als Best Practice
nicht neu bzw. schalten Sie sie nicht ab, während die Laufwerksfirmware in einem Cluster
aktualisiert wird.
Vorgehensweise
1. Führen Sie den Befehl isi devices mit der Option -afwupdate aus.
Mit dem folgenden Befehl wird die Laufwerksfirmware für alle Laufwerke auf Node 1
aktualisiert:
isi devices -a fwupdate -d 1
Sie müssen den Befehl einmal für jeden Node ausführen, für den eine Aktualisierung
der Laufwerksfirmware erforderlich ist.
Die Aktualisierung der Laufwerksfirmware dauert je nach Laufwerkmodell ca.
15 Sekunden. OneFS führt Laufwerksaktualisierungen sequenziell durch.
Überprüfen eines Laufwerksfirmwareupdates
Nachdem Sie die Laufwerksfirmware in einem Node aktualisiert haben, überprüfen Sie,
ob die Firmware korrekt aktualisiert wurde und die betroffenen Laufwerke
ordnungsgemäß funktionieren.
Vorgehensweise
1. Vergewissern Sie sich, dass gerade keine Laufwerksfirmwareupdates ausgeführt
werden, indem Sie den folgenden Befehl ausführen:
isi devices
Wenn ein Laufwerk gerade aktualisiert wird, wird [FW_UPDATE] in der Statusspalte
angezeigt.
92
2. Überprüfen Sie, ob alle Laufwerke aktualisiert wurden, indem Sie den folgenden
Befehl ausführen:
Wenn alle Laufwerke aktualisiert sind, ist die Spalte Desired FW leer.
3. Überprüfen Sie, ob alle betroffenen Laufwerken funktionsfähig sind, indem Sie den
folgenden Befehl ausführen:
isi devices
Wenn ein Laufwerk funktionsfähig ist, wird [HEALTHY] in der Statusspalte angezeigt.
Statusinformationen zur Laufwerksfirmware
Sie können Informationen zum Status der Laufwerksfirmware über die OneFSBefehlszeilenoberfläche anzeigen.
Das folgende Beispiels zeigt die Ausgabe des Befehls isi drivefirmware status:
Model
FW
MF80AAC0
Desired FW
30
Count
1
Nodes
Wobei:
Modell
Zeigt den Namen des Laufwerksmodells an
FW
Zeigt die Versionsnummer der Firmware an, die derzeit auf den Laufwerken
ausgeführt wird
Desired FW
Wenn ein Upgrade der Laufwerksfirmware durchgeführt werden muss, wird die
Versionsnummer der Laufwerksfirmware angezeigt, auf die die Firmware aktualisiert
werden soll.
Count
Zeigt die Anzahl der Laufwerke dieses Modells an, auf denen derzeit die angegebene
Laufwerksfirmware ausgeführt wird
Nodes
Zeigt die LNNs der Nodes an, in denen die angegebenen Laufwerke vorhanden sind
Das folgende Beispiel zeigt die Ausgabe des Befehls isi devices mit der Option afwstatus:
Node 1
Bay 1
Bay 2
Bay 3
Model
FW
MF80AAC0
MF80AAC0
MF80AAC0
Desired FW
Wobei:
93
Laufwerk
Gibt die Nummer des Bay an, in dem sich das Laufwerk befindet
Hinweis
Diese Spalte ist in der Ausgabe nicht bezeichnet. Die Informationen werden unter
der Node-Nummer angezeigt.
Modell
Zeigt den Namen des Laufwerksmodells an
FW
Zeigt die Versionsnummer der Firmware an, die derzeit auf dem Laufwerk ausgeführt
wird
Desired FW
Zeigt die Versionsnummer der Laufwerksfirmware an, auf die das Laufwerk
aktualisiert werden sollte. Wenn kein Laufwerksfirmwareupdate erforderlich ist, ist
die Spalte Desired FW leer.
Automatische Aktualisierung der Laufwerksfirmware
Installieren Sie für Cluster, die OneFS 7.2 oder höher ausführen, das aktuelle
Laufwerksupportpaket auf einem Node, um die Firmware für ein neues oder
Ersatzlaufwerk automatisch zu aktualisieren.
Die Informationen im Laufwerksupportpaket ermitteln, ob die Firmware eines Laufwerks
aktualisiert werden muss, bevor das Laufwerk formatiert und verwendet wird. Wenn ein
Update verfügbar ist, wird das Laufwerk automatisch mit der neuesten Firmware
aktualisiert.
Hinweis
Neue und Ersatzlaufwerke, die zu einem Cluster hinzugefügt werden, werden unabhängig
vom Status ihrer Firmwareversion formatiert. Sie können einen Fehler beim
Firmwareupdate identifizieren, indem Sie den Firmwarestatus für die Laufwerke auf
einem bestimmten Node anzeigen. Im Falle eines Fehlers führen Sie den Befehl isi
devices mit der Aktion fwupdate auf dem Node aus, um die Firmware manuell zu
aktualisieren. Führen Sie z. B. den folgenden Befehl aus, um die Firmware auf Node 1
manuell zu aktualisieren:
isi devices -a fwupdate -d 1
Managen von Cluster-Nodes
Sie können Nodes zu einem Cluster hinzufügen und aus einem Cluster entfernen. Sie
können auch das gesamte Cluster herunterfahren oder neu starten.
Hinzufügen eines Node zu einem Cluster
Sie können einen neuen Node zu einem vorhandenen EMC Isilon-Cluster hinzufügen.
Bevor Sie beginnen
Bevor Sie einen Node zu einem Cluster hinzufügen, überprüfen Sie, ob eine interne IPAdresse verfügbar ist. Falls erforderlich, fügen Sie IP-Adressen hinzu, bevor Sie einen
neuen Node hinzufügen.
94
Wenn auf einem neuen Node eine andere Version von OneFS als auf dem Cluster
ausgeführt wird, wird die OneFS-Version des Node an die des Clusters angepasst.
Für die folgenden Nodes ist eine Mindestversion von OneFS erforderlich:
l
Für S200- und X200-Nodes ist OneFS 6.5.2 oder höher erforderlich.
l
Für X400- und NL400-Nodes ist OneFS 6.5.5 oder höher erforderlich.
Vorgehensweise
1. Ermitteln Sie die Seriennummer des hinzuzufügenden Node, indem Sie den folgenden
Befehl ausführen:
isi devices --action discover
2. Fügen Sie den Node zum Cluster hinzu, indem Sie den folgenden Befehl ausführen,
wobei <serial num> die Seriennummer des Node ist:
isi devices --action add --device <serial num>
Entfernen eines Node aus dem Cluster
Sie können einen Node aus einem Cluster entfernen. Wenn Sie einen Node entfernen,
führt das System einen SmartFail-Prozess für den Node durch, damit die Daten auf dem
Node auf andere Nodes im Cluster übertragen werden.
Durch Entfernen eines Speicher-Node aus einem Cluster werden die Daten von diesem
Node gelöscht. Bevor das System die Daten löscht, werden diese mit dem FlexProtect-Job
sicher auf die im Cluster verbleibenden Nodes verteilt.
Vorgehensweise
1. Führen Sie den Befehl isi devices aus.
Mit dem folgenden Befehl wird ein Node mit der logischen Node-Nummer (LNN) 2 aus
dem Cluster entfernt:
isi devices --action smartfail --device 2
Neustarten oder Herunterfahren des Clusters
Sie können das EMC Isilon-Cluster neu starten oder herunterfahren.
Vorgehensweise
2. Starten Sie Nodes auf dem Cluster neu oder fahren Sie sie herunter.
l
Um einen einzigen Node oder alle Nodes auf dem Cluster neu zu starten, führen
Sie den Befehl reboot aus.
Mit dem folgenden Befehl wird ein einziger Node neu gestartet, indem die logische
Node-Nummer (LNN) angegeben wird:
reboot 7
l
Um einen einzigen Node oder alle Nodes auf dem Cluster herunterzufahren, führen
Sie den Befehl shutdown aus.
Managen von Cluster-Nodes
95
Mit dem folgenden Befehl werden alle Nodes auf dem Cluster heruntergefahren:
shutdown all
Durchführen eines Upgrades von OneFS
Es sind zwei Optionen für das Upgrade des OneFS-Betriebssystems verfügbar: ein
fortlaufendes Upgrade oder ein simultanes Upgrade. Vor dem Upgrade der OneFSSoftware muss eine Prüfung durchgeführt werden.
Bei einem fortlaufenden Upgrade wird das Upgrade sequenziell durchgeführt und jeder
Node im EMC Isilon-Cluster neu gestartet. Während eines fortlaufenden Upgrades bleibt
das Cluster online und ist weiterhin ohne Serviceunterbrechungen für Clients verfügbar,
obwohl auf SMB-Clients die Verbindung möglicherweise einige Male zurückgesetzt wird.
Ein fortlaufendes Upgrade wird sequenziell nach Node-Nummer durchgeführt. Daher
dauert ein fortlaufendes Upgrade nicht länger als ein simultanes Upgrade. Der letzte
Node im Upgradeprozess ist der Node, mit dem Sie den Upgradeprozess gestartet haben.
Hinweis
Fortlaufende Upgrades sind nicht für alle Cluster verfügbar. Anweisungen zur Planung
eines Upgrades, zur Vorbereitung des Clusters für das Upgrade und zur Durchführung
eines Upgrades für das Betriebssystem finden Sie im OneFS Upgrade Planning and Process
Guide.
Bei einem simultanen Upgrade wird das neue Betriebssystem installiert. Ferner werden
alle Nodes im Cluster gleichzeitig neu gestartet. Simultane Upgrades sind schneller als
sequenzielle Upgrades, erfordern aber während des Upgradeprozesses eine
vorübergehende Serviceunterbrechung. Während des Upgradeprozesses können Sie
nicht auf Ihre Daten zugreifen.
Vor Beginn eines simultanen oder fortlaufenden Upgrades vergleicht OneFS das aktuelle
Cluster und das aktuelle Betriebssystem mit der neuen Version, um zu überprüfen, ob
das Cluster bestimmte Kriterien erfüllt, z. B. die Konfigurationskompatibilität (SMB, LDAP,
SmartPools), die Laufwerksverfügbarkeit und das Fehlen kritischer Clusterevents. Wenn
das Upgrade ein Risiko für das Cluster darstellt, zeigt OneFS eine Warnung an, stellt
Informationen über die Risiken bereit und fordert Sie dazu auf, das Fortsetzen des
Upgrades zu bestätigen.
Wenn das Cluster die Upgradekriterien nicht erfüllt, wird das Upgrade nicht fortgesetzt
und der Status „Unsupported“ angezeigt.
Remotesupport
Sie können Mitarbeitern des technischen Supports von Isilon Remotezugriff auf Ihr IsilonCluster gewähren, um mit Ihrer Erlaubnis ein Troubleshooting für offene Supportanfragen
einzuleiten.
Sie können den Remotesupport über SupportIQ oder über das ESRS-Gateway (EMC
Secure Remote Support) aktivieren.
Remotesupport über SupportIQ
Sie können Mitarbeitern des technischen Supports von Isilon Remotezugriff auf Ihr IsilonCluster gewähren, um mit Ihrer Erlaubnis ein Troubleshooting für offene Supportanfragen
einzuleiten. Mit dem Isilon-SupportIQ-Modul können Mitarbeiter des technischen IsilonSupports Diagnosedaten über das Cluster erfassen.
96
Mitarbeiter des technischen Isilon-Supports führen Skripte aus, um Daten über
Einstellungen und Vorgänge zu erfassen. Der SupportIQ-Agent lädt die Informationen
dann auf einen sicheren Isilon-FTP-Standort hoch, sodass sie für den technischen IsilonSupport zur Analyse verfügbar sind. Diese Skripte wirken sich weder auf Clusterservices
noch auf die Datenverfügbarkeit aus.
Hinweis
Die SupportIQ-Skripte basieren auf dem Isilon-Tool isi_gather_info für die
Protokollerfassung.
Das SupportIQ-Modul ist in das OneFS-Betriebssystem integriert, sodass keine separate
Lizenz aktiviert werden muss. Sie müssen das SupportIQ-Modul aktivieren und
konfigurieren, bevor SupportIQ Skripte zum Erfassen von Daten ausführen kann. Die
Funktion wurde möglicherweise bei der Ersteinrichtung des Clusters aktiviert. Sie können
SupportIQ jedoch über die Isilon-Webverwaltungsschnittstelle aktivieren oder
deaktivieren.
Zusätzlich zur Aktivierung des SupportIQ-Moduls, mit dem der SupportIQ-Agent Skripte
ausführen kann, können Sie Remotezugriff aktivieren, damit die Mitarbeiter des
technischen Isilon-Supports Clusterevents überwachen und Ihr Cluster remote über SSH
oder die Webverwaltungsschnittstelle managen können. Remotezugriff ermöglicht den
Mitarbeitern des technischen Isilon-Supports, Clusterprobleme schnell zu identifizieren
und zu beheben. Andere Diagnosetools sind in Verbindung mit dem technischen IsilonSupport verfügbar, um Informationen wie Paketerfassungskennzahlen zu erfassen und
hochzuladen.
Hinweis
Wenn Sie den Remotezugriff aktivieren, müssen Sie die Clusteranmeldedaten an die
Mitarbeiter des technischen Isilon-Supports weitergeben. Die Mitarbeiter des
technischen Isilon-Supports können nur im Fall einer offenen Supportanfrage auf das
Cluster zugreifen und nur, nachdem Sie Ihre Erlaubnis gegeben haben.
Konfigurieren von SupportIQ
OneFS-Protokolle enthalten Daten, die die Mitarbeiter des technischen Isilon-Supports
mit Ihrer Zustimmung sicher hochladen und anschließend analysieren können, um
Clusterprobleme zu beheben. Die SupportIQ-Technologie muss für diesen Prozess
aktiviert und konfiguriert werden.
Wenn SupportIQ aktiviert ist, können die Mitarbeiter des technischen Isilon-Supports
Protokolle über Skripte anfordern, mit denen Clusterdaten erfasst werden, und diese
Daten dann an einen sicheren Standort hochladen. Sie müssen das SupportIQ-Modul
aktivieren und konfigurieren, bevor SupportIQ Skripte für die Datenerfassung ausführen
kann. Die Funktion wurde möglicherweise bei der Ersteinrichtung des Clusters aktiviert.
Sie können außerdem den Remotezugriff aktivieren, der es den Mitarbeitern des
technischen Isilon-Supports ermöglicht, ein Remote-Troubleshooting für Ihr Cluster
durchzuführen und zusätzliche Skripte für die Datenerfassung auszuführen.
Remotezugriff ist standardmäßig deaktiviert. Um SSH-Remotezugriff auf das Cluster zu
aktivieren, müssen Sie das Clusterpasswort einem Supporttechniker zur Verfügung
stellen.
Aktivieren und Konfigurieren von SupportIQ
Sie können SupportIQ aktivieren und konfigurieren, damit SupportIQ-Agents Skripte für
Erfassung und Upload von Informationen über Ihr Cluster für die Mitarbeiter des
technischen Isilon-Supports ausführen können.
97
Vorgehensweise
2. Befolgen Sie die Eingabeaufforderungen des Befehls.
Deaktivieren von SupportIQ
Sie können SupportIQ deaktivieren, damit der SupportIQ-Agent kein Skripte zur
Erfassung und zum Upload von Daten über Ihr Isilon-Cluster ausführt.
Vorgehensweise
2. Befolgen Sie die Eingabeaufforderungen des Befehls.
SupportIQ-Skripte
Wenn SupportIQ aktiviert ist, können die Mitarbeiter des technischen Isilon-Supports
Protokolle über Skripte anfordern, mit denen Clusterdaten erfasst werden, und diese
Daten dann hochladen. Die SupportIQ-Skripte befinden sich auf jedem Node im
Verzeichnis /usr/local/SupportIQ/Scripts/.
In der folgenden Tabelle wird aufgeführt, welche Datenerfassungsaktivitäten mit
SupportIQ-Skripten durchgeführt werden können. Diese Skripte können automatisch auf
Anfrage eines Mitarbeiters des technischen Isilon-Supports ausgeführt werden. Sie
erfassen Informationen über die Konfigurationseinstellungen und -vorgänge eines
Clusters. Der SupportIQ-Agent lädt die Informationen dann auf einen sicheren Isilon-FTPStandort hoch, sodass sie für den technischen Isilon-Support zur Analyse verfügbar sind.
Die SupportIQ-Skripte beeinflussen weder Clusterservices noch die Verfügbarkeit Ihrer
Daten.
Aktion
Beschreibung
Clean watch folder
Löscht den Inhalt des Verzeichnisses /var/crash
Get application data
Erfasst Informationen über OneFS-Anwendungsprogramme und
lädt diese hoch
Generate dashboard file
daily
Erzeugt tägliche Dashboard-Informationen
Generate dashboard file
sequence
Erzeugt Dashboard-Informationen in der aufgetretenen
Reihenfolge
Get ABR data (as built
record)
Erfasst Bestandsinformationen über die Hardware
Get ATA control and GMirror
status
Erfasst die Systemausgabe und ruft ein Skript auf, wenn ein Event
empfangen wird, das einer vorab festgelegten eventid
entspricht
Get cluster data
98
Erfasst Informationen über die allgemeine Clusterkonfiguration
und allgemeine Clustervorgänge und lädt diese hoch
Aktion
Beschreibung
Get cluster events
Ruft die Ausgabe von vorhandenen kritischen Events ab und lädt
die Informationen hoch
Get cluster status
Erfasst Details zum Clusterstatus und lädt diese hoch
Get contact info
Extrahiert Kontaktinformationen und lädt diese in einer Textdatei
hoch
Get contents (var/crash)
Lädt die Inhalte des Verzeichnisses /var/crash hoch
Get job status
Erfasst Details für einen Job, der überwacht wird, und lädt diese
hoch
Get domain data
Erfasst Informationen über die ADS-Domainmitgliedschaft (Active
Directory Services) des Clusters und lädt diese hoch
Get file system data
Erfasst Informationen über Status und Integrität des OneFSDateisystems /ifs/ und lädt diese hoch
Get IB data
Erfasst Informationen über die Konfiguration und den Betrieb des
InfiniBand-Back-end-Netzwerks und lädt diese hoch
Get logs data
Erfasst nur die aktuellsten Clusterprotokollinformationen und lädt
diese hoch
Get messages
Erfasst aktive /var/log/messages-Dateien und lädt diese
hoch
Get network data
Erfasst Informationen über clusterweite und Node-spezifische
Netzwerkkonfigurationseinstellungen und -vorgänge und lädt
diese hoch
Get NFS clients
Führt einen Befehl aus, um zu prüfen, ob Nodes als NFS-Clients
verwendet werden
Get node data
Erfasst Node-spezifische Informationen zu Konfiguration, Status
und Vorgängen und lädt diese hoch
Get protocol data
Erfasst Netzwerkstatusinformationen und
Konfigurationseinstellungen für die NFS-, SMB-, FTP- und HTTPProtokolle und lädt diese hoch
Get Pcap client stats
Erfasst Clientstatistiken und lädt diese hoch
Get readonly status
Sendet eine Warnung, wenn das Gehäuse geöffnet ist, und lädt
eine Textdatei mit den Eventinformationen hoch
Get usage data
Erfasst aktuelle und historische Daten zu Node-Performance und
Ressourcennutzung und lädt diese hoch
isi_gather_info
Erfasst alle aktuellen Clusterprotokollinformationen und lädt diese
hoch
isi_gather_info-incremental
Erfasst Änderungen an den Clusterprotokollinformationen, die seit
der letzten vollständigen Ausführung vorgenommen wurden, und
lädt diese hoch
isi_gather_info -incrementalsingle
node
Erfasst Details für einen einzigen Node und lädt diese hoch
Fragt die Node-Nummer ab
99
Aktion
Beschreibung
isi_gather_infosingl
e node
Erfasst Änderungen an den Clusterprotokollinformationen, die seit
der letzten vollständigen Ausführung vorgenommen wurden, und
lädt diese hoch
Fragt die Node-Nummer ab
Upload the dashboard file
Lädt Dashboard-Informationen auf den sicheren FTP-Standort des
technischen Isilon-Supports hoch
Remotesupport über ESRS-Gateway
EMC Isilon-Cluster unterstützen die Aktivierung des ESRS-Gateways.
Das ESRS-Gateway (EMC Secure Remote Support) ist ein sicheres, IP-basiertes CustomerService-Supportsystem. Die ESRS-Gatewayfunktionen umfassen Remotemonitoring rund
um die Uhr und sichere Authentifizierung mit AES-256-Bit-Verschlüsselung und digitalen
RSA-Zertifikaten. Sie können das Monitoring auf Node-Basis auswählen,
Remotesupportsitzungen zulassen oder verweigern und Remote-Customer-ServiceAktivitäten überprüfen.
Das ESRS-Gateway ähnelt SupportIQ und bietet zahlreiche seiner Funktionen:
l
Senden von Warnmeldungen bezüglich der Integrität Ihrer Geräte
l
Supportmitarbeiter können die gleichen Skripte ausführen, die von SupportIQ
verwendet werden, um Daten von Geräten zu erfassen.
l
Supportmitarbeiter können für das Troubleshooting Ihres Clusters Remotezugriff
einrichten.
Ein wesentlicher Unterschied zwischen SupportIQ und dem ESRS-Gateway besteht darin,
dass das SupportIQ-Management clusterweit erfolgt, während SupportIQ alle Nodes
managt. Das ESRS-Gateway managt Nodes einzeln, wobei Sie auswählen, welche Nodes
gemanagt werden sollen.
Sie können lediglich ein Remotesupportsystem auf Ihrem Isilon-Cluster aktivieren. Die
Produkte von EMC, die Sie verwenden und Ihre spezielle Umgebung bestimmen, welches
System für Ihr Isilon-Cluster am besten geeignet ist:
l
Wenn Ihre Umgebung aus einem oder mehreren EMC Produkten besteht, die
überwacht werden können, verwenden Sie das ESRS-Gateway.
l
Wenn ESRS aktuell in Ihrer Umgebung implementiert ist, verwenden Sie das ESRSGateway.
l
Wenn für die Verwendung von ESRS der ESRS-Client erforderlich ist, verwenden Sie
SupportIQ. Isilon-Nodes unterstützen keine ESRS-Clientkonnektivität.
l
Wenn Sie eine Umgebungen mit hohen Sicherheitsanforderungen haben, verwenden
Sie das ESRS-Gateway.
l
Wenn die einzigen EMC Produkte in Ihrer Umgebung Isilon-Nodes sind, verwenden
Sie SupportIQ.
Eine umfassende Beschreibung der Funktionen des EMC Secure Remote Support finden
Sie in der aktuellen Version des Dokuments EMC Secure Remote Support Technical
Description.
Zusätzliche Dokumentation zu ESRS finden Sie auf der EMC Online Support-Website.
100
Konfigurieren von ESRS-Gatewaysupport
Sie können den Support für das ESRS-Gateway auf Ihrem Isilon-Cluster konfigurieren.
Bevor Sie ESRS-Gatewaysupport auf Ihrem Isilon-Cluster konfigurieren, muss mindestens
ein ESRS-Gatewayserver installiert und konfiguriert werden. Der Server dient als zentraler
Eingang und Ausgang für IP-basierte Remotesupportaktivitäten und
Monitoringbenachrichtigungen. Sie können ein Subnetz auf Ihrem Isilon-Cluster als
Remotezugriffspunkt für das Supportpersonal festlegen.
Sie können auch einen sekundären Gatewayserver als Failover installieren und angeben,
ob SMTP verwendet werden soll, wenn die ESRS-Übertragung fehlschlägt. Außerdem
können Sie festlegen, ob nach Übertragungsfehlern eine E-Mail gesendet werden soll.
Wenn Sie den Support für das ESRS-Gateway auf einem Cluster aktivieren, werden die
Seriennummer und die IP-Adresse jedes Node an den ESRS-Gatewayserver gesendet.
Sobald die Node-Informationen empfangen werden, können Sie Folgendes tun:
l
Auswählen, welche Nodes das ESRS-Gateway mit den ESRS-Konfigurationstools
managen soll
l
Erstellen von Regeln für die Remotesupportverbindung zu Isilon-Nodes mit dem ESRS
Policy Manager
Eine umfassende Beschreibung der Anforderungen, Installation und Konfiguration des
ESRS-Gatewayservers finden Sie in der aktuellen Version des Dokuments EMC Secure
Remote Site Planning Guide.
Eine umfassende Beschreibung des ESRS-Konfigurationstools finden Sie in der aktuellen
Version des Dokuments EMC Secure Remote Support Gateway for Windows Operations
Guide.
Eine umfassende Beschreibung des ESRS Policy-Manager finden Sie in der aktuellen
Version des Dokuments EMC Secure Remote Support Policy Manager Operations Guide.
Zusätzliche Dokumentation zu ESRS finden Sie auf der EMC Online Support-Website.
Aktivieren und Konfigurieren des ESRS-Gatewaysupports
Sie können den Support für das ESRS-Gateway auf einem Isilon-Cluster aktivieren.
Bevor Sie beginnen
Es muss ein ESRS-Gatewayserver installiert und konfiguriert werden, bevor Sie den ESRSGatewaysupport auf einem Isilon-Cluster aktivieren können. SupportIQ muss deaktiviert
sein.
Vorgehensweise
1. Führen Sie den Befehl isi remotesupport connectemc modify aus, um den
ESRS-Gatewaysupport zu aktivieren und zu konfigurieren.
Mit dem folgenden Befehl wird der ESRS-Gatewaysupport aktiviert und festgelegt,
dass ein primäres Gateway, ein Subnetz für Remotesupport und ein SMTP-Failover
verwendet werden sollen.
isi remotesupport connectemc modify --enabled yes \
-- primary-esrs-gateway gw-serv-esrs1 --use-smtp-failover yes \
--remote-support-subnet subnet0
Deaktivieren des ESRS-Gatewaysupports
Sie können den ESRS-Gatewaysupport auf dem Isilon-Cluster deaktivieren.
Remotesupport über ESRS-Gateway
101
Sie können den Support für das ESRS-Gateway deaktivieren, um SupportIQ zu
verwenden. Für Isilon-Cluster kann nicht mehr als ein Remotesupportsystem gleichzeitig
aktiviert sein.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um den ESRS-Gatewaysupport auf einem IsilonCluster zu deaktivieren:
isi remotesupport connectemc modify --enabled no
Anzeigen von ESRS-Gatewayeinstellungen
Sie können die auf einem EMC Isilon-Cluster festgelegten ESRS-Gatewayeinstellungen
anzeigen.
Vorgehensweise
1. Führen Sie den Befehl isi remotesupport connectemc view aus.
Enabled:
Primary Esrs Gateway:
Secondary Esrs Gateway:
Use Smtp Failover:
Email Customer On Failure:
Remote Support Subnet:
yes
gw-serv-esrs1
gw-serv-esrs2
yes
no
subnet0
Befehle für die Clusteradministration
Sie können das Isilon-Cluster mithilfe von Clusteradministrationsbefehlen konfigurieren,
überwachen und managen.
isi config
Öffnet eine neue Eingabeaufforderung, in der Node- und Clustereinstellungen geändert
werden können.
Die Befehlszeileneingabeaufforderung ändert sich, um darauf hinzuweisen, dass Sie sich
im isi config-Subsystem befinden. Während Sie sich im isi config-Subsystem
befinden, sind andere OneFS-Befehle nicht verfügbar und nur isi config-Befehle
gültig.
Syntax
isi config
Wenn Sie sich im isi config-Subsystem befinden, lautet die Syntax für jede Option
<command>, wenn nicht anders angegeben. Befehle werden nur erkannt, wenn Sie sich
derzeit in der isi config-Eingabeaufforderung befinden.
Hinweis
Änderungen werden aktualisiert, wenn Sie den Befehl commit ausführen. Bei einigen
Befehlen muss das Cluster neu gestartet werden.
102
Befehle
changes
Zeigt eine Liste der Änderungen an der Konfiguration an, die nicht übernommen
wurden.
commit
Übernimmt Konfigurationseinstellungen und beendet dann isi config.
date<time-and-date>
Zeigt das aktuelle Datum und die aktuelle Uhrzeit auf dem Cluster an oder legt diese
fest.
<time-and-date>
Legt die Clusterzeit auf die angegebene Zeit fest.
Geben Sie <time-and-date> im folgenden Format an:
<YYYY>-<MM>-<DD>[T<hh>:<mm>[:<ss>]]
Geben Sie <time> als einen der folgenden Werte an.
Y
Jahr
M
Monat
W
Woche
D
Tag
h
Stunde
s
Sekunde
deliprange [<interface-name> [<ip-range>]]
Zeigt eine Liste der IP-Adressen des internen Netzwerks an, die Nodes zugewiesen
werden können, oder löscht festgelegte IP-Adressen aus der Liste.
<interface-name>
Gibt den Namen der Schnittstelle als einen der folgenden Werte an:
int-a
int-b
failover
<ip-range>
Gibt den Bereich von IP-Adressen an, die Nodes nicht mehr zugewiesen werden
können. Geben Sie diesen in der Form <lowest-ip>-<highest-ip> an.
encoding [list] [<encoding>]
Legt den Standardcodierungszeichensatz für das Cluster fest.
isi config
103
ACHTUNG
Die Zeichencodierung wird in der Regel während der Installation des Clusters
eingerichtet. Eine fehlerhafte Änderung der Zeichencodierungseinstellungen kann
dazu führen, dass Dateien unlesbar werden. Ändern Sie die Einstellungen nur, wenn
dies unbedingt erforderlich ist, und nur nach Rücksprache mit dem technischen
Isilon-Support.
list
Zeigt die Liste der unterstützten Zeichensätze an.
exit
Beendet das isi config-Subsystem.
help
Zeigt eine Liste aller isi config-Befehle an. Die Syntax für weitere Informationen
zu bestimmten Befehlen lautet help [<command>].
interface <interface-name> {enable | disable}
Der interface-Befehl zeigt die IP-Bereiche, Netzmaske und MTU an und aktiviert oder
deaktiviert interne Schnittstellen. Bei Ausgabe ohne Argument zeigt dieser Befehl die
IP-Bereiche, Netzmaske und MTU aller Schnittstellen an. Bei Ausgabe mit einem
<interface-name>-Argument zeigt dieser Befehl die IP-Bereiche, Netzmaske und MTU
nur für die angegebene Schnittstelle an.
{enable | disable}
Aktiviert oder deaktiviert die angegebene Schnittstelle.
<interface-name>
Gibt den Namen der Schnittstelle als int-a oder int-b an.
iprange [<interface-name> [<lowest-ip>-<highest-ip>]]
Zeigt eine Liste der internen IP-Adressen an, die Nodes zugewiesen werden können,
oder fügt Adressen zur Liste hinzu.
<interface-name>
Gibt den Namen der Schnittstelle als int-a, int-b oder failover an.
<lowest-ip>-<highest-ip>
Gibt den Bereich von IP-Adressen an, die Nodes zugewiesen werden können.
ipset
Veraltet. Verwenden Sie lnnset, um Cluster-Nodes neu zu nummerieren. Die IPAdresse kann nicht manuell festgelegt werden.
joinmode [<mode>]
Zeigt die Einstellung dafür an, wie Nodes zum aktuellen Cluster hinzugefügt werden.
Die Option <mode> gibt die Einstellung zum Hinzufügen von Nodes zum Cluster als
einen der folgenden Werte an.
manual
Konfiguriert das Cluster so, dass Beitritte über den Node oder das Cluster initiiert
werden können.
secure
Konfiguriert das Cluster so, dass Beitritte nur über das Cluster initiiert werden
können.
lnnset [<old-lnn><new-lnn>]
104
Zeigt eine Tabelle der logischen Node-Nummer (LNN), der Geräte-ID und der internen
IP-Adresse für jeden Node im Cluster an, wenn die Ausführung ohne Argumente
erfolgt. Ändert die LNN, wenn angegeben.
<old lnn>
Gibt die alte LNN an, die geändert werden soll.
<new lnn>
Gibt die neue LNN an, die den alten LNN-Wert für diesen Node ersetzt.
Hinweis
Die neue LNN darf derzeit keinem anderen Node zugewiesen sein. Benutzer, die
bei der Shell- oder Webverwaltungsschnittstelle eines Node angemeldet sind,
dessen LNN geändert wurde, müssen sich erneut anmelden, um die neue LNN
anzuzeigen.
migrate [<interface-name> [[<old-ip-range>] {<new-ip-range> [-n<netmask>]}]]
Zeigt eine Liste der IP-Adressbereiche an, die Nodes zugewiesen werden können,
oder fügt IP-Bereiche zu dieser Liste hinzu und entfernt sie aus der Liste.
<interface-name>
Gibt den Namen der Schnittstelle als int-a, int-b oder failover an.
<old-ip-range>
Gibt den Bereich von IP-Adressen an, die Nodes nicht mehr zugewiesen werden
können. Wenn diese Option nicht angegeben wird, werden alle vorhandenen IPBereiche entfernt, bevor der neue IP-Bereich hinzugefügt wird. Geben Sie diesen
in der Form <lowest-ip>-<highest-ip> an.
<new-ip-range>
Gibt den Bereich von IP-Adressen an, die Nodes zugewiesen werden können.
Geben Sie diesen in der Form <lowest-ip>-<highest-ip> an.
-n<netmask>
Gibt eine neue Netzmaske für die Schnittstelle an.
Hinweis
Wenn mehr als einem Node eine neue IP-Adresse zugewiesen wird, wird das Cluster
neu gestartet, wenn die Änderung übernommen wird. Wenn nur einem Node eine
neue IP-Adresse zugewiesen wird, wird nur dieser Node neu gestartet.
mtu [<value>]
Zeigt die Größe der MTU (Maximum Transmission Unit) an, die das Cluster für die
interne Netzwerkkommunikation verwendet, wenn die Ausführung ohne Argumente
erfolgt. Wenn diese Option angegeben wird, wird eine neue Größe für den MTU-Wert
festgelegt. Dieser Befehl ist nur für das interne Netzwerk.
Hinweis
Dieser Befehl ist nicht für Cluster mit einem InfiniBand-Back-end gültig.
<Wert>
Gibt die neue Größe für den MTU-Wert an. Jeder Wert ist gültig, aber
möglicherweise sind nicht alle Werte mit Ihrem Netzwerk kompatibel. Die
gängigsten Einstellungen sind 1.500 für Standard-Frames und 9.000 für Jumbo
Frames.
name [<new_name>]
isi config
105
Zeigt die Namen an, die Clustern derzeit zugewiesen sind, wenn die Ausführung ohne
Argumente erfolgt. Weist Clustern neue Namen zu, wie angegeben.
<new name>
Gibt einen neuen Namen für das Cluster an.
netmask [<interface-name> [<ip-mask>]]
Zeigt die Subnetz-IP-Maske an, die derzeit vom Cluster verwendet wird, oder legt
neue Subnetz-IP-Masken fest, wie angegeben. Gibt den Schnittstellennamen als
int-a und int-b an.
<interface-name>
Gibt den Namen der Schnittstelle an. Gültige Namen sind int-a und int-b.
<ip-mask>
Gibt die neue IP-Maske für die Schnittstelle an.
reboot [{<node_lnn> | all}]
Startet einen oder mehrere Nodes neu, angegeben nach LNN. Wenn keine Nodes
angegeben werden, wird der Node neu gestartet, von dem der Befehl ausgeführt wird.
Um das Cluster neu zu starten, geben Sie all an.
Hinweis
Bei Ausführung auf einem nicht konfigurierten Node akzeptiert dieser Befehl keine
Argumente.
remove
Veraltet. Führen Sie stattdessen den Befehl isi devices-asmartfail aus.
shutdown [{<node_lnn> | all}]
Fährt einen oder mehrere Nodes herunter, angegeben nach LNN. Wenn keine Nodes
angegeben werden, wird der Node heruntergefahren, von dem der Befehl ausgeführt
wird. Um das Cluster herunterzufahren, geben Sie all an.
Hinweis
Bei Ausführung auf einem nicht konfigurierten Node akzeptiert dieser Befehl keine
Argumente.
status [advanced]
Zeigt aktuelle Informationen zum Status des Clusters an. Um weitere Informationen,
einschließlich der Geräteintegrität, anzuzeigen, geben Sie advanced an.
timezone [<timezone identifier>]
Zeigt die aktuelle Zeitzone an oder gibt neue Zeitzonen an. Gibt die neue Zeitzone für
das Cluster als einen der folgenden Werte an:
106
<timezone identifier>
Gibt die neue Zeitzone für das Cluster als einen der folgenden Werte an:
Greenwich Mean Time
Eastern Time Zone
Central Time Zone
Mountain Time Zone
Pacific Time Zone
Arizona
Alaska
Hawaii
Japan
Advanced. Öffnet eine Eingabeaufforderung mit weiteren Zeitzonenoptionen.
version
Zeigt Informationen zur aktuellen OneFS-Version an.
wizard
Aktiviert einen Assistenten auf nicht konfigurierten Nodes und aktiviert den
Assistenten erneut, wenn Sie ihn während der Erstkonfiguration des Node beenden.
Der Assistent führt Sie durch die Node-Konfigurationsschritte.
isi email
Konfiguriert E-Mail-Einstellungen für das Cluster.
Syntax
isi email
[--mail-relay] <string>]
[--smtp-port <integer>]
[--mail-sender <string>]
[--mail-subject <string>]
[--use-smtp-auth {yes | no}]
[--auth-user <string>]
[--use-encryption {yes | no}]
Optionen
--mail-relay<string>
Gibt die SMTP-Relay-Adresse an.
--smtp-port<integer>
Gibt den SMTP-Relay-Port an. Der Standardwert ist 25.
--mail-sender<string>
Gibt die Ursprungs-E-Mail-Adresse an.
--mail-subject<string>
Gibt die Präfixzeichenfolge für die E-Mail-Betreffzeile an.
--use-smtp-auth {yes | no}
isi email
107
Gibt an, ob die SMTP-Authentifizierung verwendet wird. Yes aktiviert die SMTPAuthentifizierung.
{--auth-user | -u}<string>
Gibt den Benutzernamen für die SMTP-Authentifizierung an.
{--auth-pass | -p} <string>
Gibt das Passwort für die SMTP-Authentifizierung an.
--use-encryption {yes | no}
Gibt an, ob Verschlüsselung (TLS) für die SMTP-Authentifizierung verwendet wird.
Yes aktiviert die Verschlüsselung.
isi email list
Zeigt E-Mail-Einstellungen für das Cluster an.
Syntax
isi email list
isi exttools
Stellt Unterbefehle für die Interaktion mit unterstützten Drittanbietertools bereit.
Nagios ist das einzige Drittanbietertool, das in dieser Version unterstützt wird. Mehrere
Isilon-Cluster können mit der Konfigurationsdatei überwacht werden, die erzeugt wird,
wenn dieser Befehl verwendet wird.
Syntax
isi exttools nagios_config
isi license activate
Aktiviert eine OneFS-Modullizenz.
Syntax
isi license activate --key <key>
Optionen
{--key | -k} <key>
Aktiviert den angegebenen Lizenzschlüssel. Es können mehrere Schlüssel angegeben
werden, indem diese durch Leerzeichen oder Kommas getrennt werden.
isi license status
Zeigt den Lizenzstatus aller OneFS-Module an.
Syntax
isi license status
108
isi license unconfigure
Hebt die Konfiguration einer OneFS-Modullizenz auf.
Durch das Aufheben der Konfiguration einer Lizenz werden alle wiederkehrenden Jobs
oder geplanten Vorgänge deaktiviert, die Sie für dieses Modul aktiviert haben. Die Lizenz
wird jedoch nicht deaktiviert.
Syntax
isi license unconfigure --module <module>
Optionen
--module<module>
Gibt den Namen der Lizenz an, deren Konfiguration Sie aufheben möchten.
isi perfstat
Zeigt einen Snapshot der Netzwerk- und Datei-I/O-Performance in Echtzeit an.
Syntax
isi perfstat
isi pkg create
Erstellt OneFS-Patches. Der Befehl isi pkg create ist nur für die Verwendung durch
EMC Isilon Engineering-Mitarbeiter vorgesehen, um neue Patches für das OneFSBetriebssystem zu erstellen. Daher funktioniert er in einer Kundenumgebung nicht wie
vorgesehen. Diese Beschreibung dient nur zu Informationszwecken.
Syntax
isi pkg create <patch-spec-file>
Optionen
<patch-spec-file>
Stellen Sie die Beschreibung und die Parameter für den Patch bereit, den Sie
erstellen.
isi pkg delete
Deinstalliert einen Patch.
Syntax
isi pkg delete <patch-name>
Optionen
<patch-name>
Erforderlich. Deinstalliert einen Patch vom Cluster. Der Patchname muss der Name
eines installierten Patches sein.
isi license unconfigure
109
Beispiele
Um ein Paket namens „patch-example.tar“ vom Cluster zu deinstallieren, führen Sie den
folgenden Befehl aus.
isi pkg delete patch-example.tar
Verwenden Sie den Befehl isi pkg info, um zu überprüfen, dass der Patch
erfolgreich deinstalliert wurde.
isi pkg info
Zeigt Informationen zu Patches an, die auf dem Cluster installiert sind.
Syntax
isi pkg info <patch-name>
Optionen
<patch-name>
Zeigt nur Informationen zum angegebenen Patch an. <patch-name> kann der Pfad zu
einem TAR-Archiv oder die URL eines Patches auf einer HTTP- oder FTP-Site sein.
Wenn Sie diese Option auslassen, zeigt das System alle installierten Patches an.
Beispiele
Wenn Sie einen bestimmten Patch überprüfen, werden mehr Informationen
zurückgegeben, als wenn Sie isi pkg info ohne Argumente ausführen, um
Informationen zu allen Patches abzurufen.
Um Informationen zu einem Patch namens „patch-example.tar“ zu erhalten, führen Sie
den folgenden Befehl aus.
isi pkg info <path> patch-example.tar
Das System zeigt den Paketnamen und das Installationsdatum ähnlich wie in der
folgenden Ausgabe an.
Information for patch-example:
Description:
Package Name : patch-example - 2009-10-11
Wenn der Patch nicht installiert ist, zeigt das System die folgende Ausgabe an.
patch-example.tar It is not installed.
isi pkg install
Installiert einen Patch aus einem TAR-Archiv oder von einer HTTP- oder FTP-Site.
Syntax
isi pkg install <patch-name>
Optionen
<patch-name>
110
Erforderlich. Installiert den angegebenen Patch auf dem Cluster. <patch-name> kann
ein Pfad zu einem TAR-Archiv oder eine URL für einen Patch auf einer HTTP- oder FTPSite sein.
Beispiele
Um ein Paket namens „patch-example.tar“ auf dem Cluster zu installieren, führen Sie den
folgenden Befehl aus.
isi pkg install patch-example.tar
Preparing to install the package... Installing
the package... Committing the installation...
Package successfully installed
Falls erforderlich, verwenden Sie den Befehl isi pkg info, um zu überprüfen, dass
der Patch erfolgreich installiert wurde.
isi remotesupport connectemc modify
Aktiviert oder deaktiviert den Support für ESRS-Gateway (EMC Secure Remote Support)
auf einem Isilon-Node.
Syntax
[--enabled {yes|no}]
[--primary-esrs-gateway <string>]
[--secondary-esrs-gateway <string>]
[--use-smtp-failover {yes|no}]
[--email-customer-on-failure {yes|no}]
[--remote-support-subnet <string>]
Optionen
--enabled {yes|no}
Gibt an, ob der Support für ESRS-Gateway auf dem Isilon-Cluster aktiviert ist.
--primary-esrs-gateway<string>
Gibt den Namen des primären ESRS-Gatewayservers an.
Der Gatewayserver dient als zentraler Eingangs- und Ausgangspunkt für IP-basierte
Remotesupportaktivitäten und Überwachungsbenachrichtigungen.
--secondary-esrs-gateway<string>
Gibt den Namen eines sekundären ESRS-Gatewayservers an, der als Failover-Server
verwendet wird.
--use-smtp-failover {yes|no}
Gibt an, ob nach ESRS-Übertragungsfehlern Ereignisbenachrichtigungen an eine
Failover-SMTP-Adresse gesendet werden sollen.
Die SMTP-E-Mail-Adresse wird mithilfe des Befehls isi email angegeben.
--email-customer-on-failure {yes|no}
Gibt an, ob nach Ausfall anderer Benachrichtigungsmethoden eine Warnmeldung an
eine Kunden-E-Mail-Adresse gesendet werden soll.
--remote-support-subnet<string>
111
Gibt das Subnetz auf dem Isilon-Cluster an, das für Remotesupportverbindungen
verwendet werden soll.
Beispiele
Um den Support für ESRS-Gateway auf einem Cluster zu aktivieren und einen primären
ESRS-Gatewayserver anzugeben, führen Sie den folgenden Befehl aus:
isi remotesupport connectemc modify --enabled yes --primary-esrsgateway gw-serv-esrs1
isi remotesupport connectemc view
Zeigt Einstellungen für ESRS-Gateway (EMC Secure Remote Support) auf einem IsilonNode an.
Syntax
isi remotesupport connectemc view
Optionen
Dieser Befehl hat keine Optionen.
isi services
Zeigt eine Liste der verfügbaren Services an. Die Optionen -l und -a können einzeln
oder gemeinsam verwendet werden.
Syntax
isi services
[-l | -a]
[<service> [{enable | disable}]]
Optionen
-l
Listet alle verfügbaren Services und den aktuellen Status jedes Services auf. Das ist
der Standardwert für diesen Befehl.
- a
Listet alle Services, einschließlich verborgener Services, und den aktuellen Status
jedes Services aus.
<service> {enable | disable}
Aktiviert oder deaktiviert den angegebenen Service.
Beispiele
Das folgende Beispiel zeigt den Befehl zur Aktivierung eines angegebenen verborgenen
Services.
isi services -a <hidden-service> enable
isi set
Funktioniert ähnlich wie chmod und stellt einen Mechanismus zur Anpassung OneFSspezifischer Dateiattribute wie den angeforderten Schutz oder zur Durchführung eines
112
ausdrücklichen Restriping von Dateien bereit. Dateien können nach Pfad oder LIN
angegeben werden.
Syntax
isi set
[-f -F -L -n -v -r
-R]
[-p <policy>]
[-w <width>]
[-c {on | off}]
[-g <restripe_goal>]
[-e <encoding>]
[-d <@r drives>]
[-a {<default> | <streaming> | <random> | <custom{1..5}>}]
[-l {<concurrency> | <streaming> | <random>}]
[--diskpool {<id> | <name>}]
[-A {on | off}]
[-P {on | off}]
[{--strategy | -s} {<avoid> | <metadata> | <metadata-write> |
<data>]
[<file> {<path> | <lin>}]
Optionen
-f
Unterdrückt Warnungen zu fehlgeschlagenen Änderungen an einer Datei.
-F
Umfasst den /ifs/.ifsvar-Verzeichnisinhalt und alle Unterverzeichnisse. Ohne F werden der /ifs/.ifsvar-Verzeichnisinhalt und alle Unterverzeichnisse
übersprungen. Diese Einstellung ermöglicht die Angabe von potenziell gefährlichen,
nicht unterstützten Schutz-Policies.
-L
Gibt Dateiargumente nach LIN und nicht nach Pfad an.
-n
Zeigt eine Liste der Dateien an, die geändert werden würden, ohne dass eine Aktion
erforderlich ist.
-v
Zeigt jede Datei an, sobald auf diese zugegriffen wird.
-r
Führt ein Restriping aus.
-R
Legt einen rekursiven Schutz für Dateien fest.
-p<policy>
Gibt Schutz-Policies in den folgenden Formen an:
+M
M steht für die Anzahl der Node-Ausfälle, die ohne Datenverlust toleriert werden
können. +M muss eine Zahl sein, wobei Zahlen von 1 bis 4 gültig sind.
isi set
113
+D:M
D steht für die Anzahl der Laufwerksausfälle und M für die Anzahl der NodeAusfälle, die ohne Datenverlust toleriert werden können. D muss eine Zahl von 1
bis 4 und M muss ein beliebiger Wert sein, der glatt in D geteilt werden kann.
Beispiel: +2:2 und +4:2 sind gültig, +1:2 und +3:2 dagegen nicht.
Nx
N steht für die Anzahl der unabhängigen, gespiegelten Kopien der Daten, die
gespeichert werden. N muss eine Zahl von 1 bis 8 sein.
-w<width>
Gibt die Anzahl der Nodes an, über die das Striping einer Datei ausgeführt wird.
Normalerweise ist w = N + M, die Breite kann jedoch auch für die Gesamtanzahl der
verwendeten Nodes stehen.
Sie können eine maximale Breiten-Policy von 32 festlegen, aber der tatsächliche
Schutz unterliegt nach wie vor den Einschränkungen von N und M.
-c {on | off}
Gibt an, ob die Schreibzusammenführung aktiviert ist.
-g<restripe goal>
Gibt das Ziel für das Restriping an. Die folgenden Werte sind gültig:
repair
reprotect
rebalance
retune
-e<encoding>
Gibt die Codierung des Dateinamens an. Die folgenden Werte sind gültig:
EUC-JP
EUC-JP-MS
EUC-KR
ISO-8859-1
ISO-8859-10
ISO-8859-13
ISO-8859-14
ISO-8859-15
ISO-8859-160
ISO-8859-2
ISO-8859-3
ISO-8859-4
ISO-8859-5
ISO-8859-6
ISO-8859-7
ISO-8859-8
ISO-8859-9
114
UTF-8
UTF-8-MAC
Windows-1252
Windows-949
Windows-SJIS
-d<@r drives>
Gibt die Mindestanzahl der Laufwerke an, über die die Datei verteilt wird.
-a<value>
Gibt die Optimierungseinstellung für das Dateizugriffsmuster an. Die folgenden Werte
sind gültig:
default
streaming
random
custom1
custom2
custom3
custom4
custom5
-l<value>
Gibt die Optimierungseinstellung für das Dateilayout an. Dies entspricht der Angabe
der Flags -a und -d.
concurrency
streaming
random
--diskpool <id | name>
Legt den bevorzugten Laufwerkspool für eine Datei fest.
-A {on | off}
Gibt an, ob Dateizugriffs- und Schutzeinstellungen manuell gemanagt werden sollen.
-P {on | off}
Gibt an, ob die Datei Werte aus der entsprechenden Dateipool-Policy übernimmt.
{--strategy | -s} <value>
Legt die SSD-Strategie für eine Datei fest. Die folgenden Werte sind gültig:
Wenn der Wert ein Metadatenschreibvorgang ist, werden alle Kopien der Metadaten
der Datei, wenn möglich, auf SSD-Speicher verteilt und für Benutzerdaten werden
SSDs weiterhin vermieden. Wenn der Wert Daten enthält, werden sowohl die
Metadaten der Datei als auch die Benutzerdaten (eine Kopie, wenn gespiegelter
Schutz verwendet wird, alle Blöcke bei FEC), wenn möglich, auf SSD-Speicher verteilt.
avoid
Schreibt alle zugehörigen File-basierten Daten und Metadaten nur auf HDDs. Die
Daten und Metadaten der Datei werden so gespeichert, dass SSD-Speicher
vermieden wird, es sei denn, dies würde dazu führen, dass kein Speicherplatz
mehr vorhanden ist.
isi set
115
metadata
Schreibt sowohl File-basierte Daten als auch Metadaten auf HDDs. Eine
Spiegelung der Metadaten für die Datei befindet sich, wenn möglich, im SSDSpeicher, aber die Strategie für Daten besteht darin, SSD-Speicher zu
vermeiden.
metadata-write
Schreibt File-basierte Daten auf HDDs und Metadaten auf SSDs, falls verfügbar.
Alle Kopien von Metadaten für die Datei befinden sich, wenn möglich, im SSDSpeicher und die Strategie für Daten besteht darin, SSD-Speicher zu vermeiden.
data
Verwendet SSD-Node-Pools für Daten und Metadaten. Sowohl die Metadaten für
die Datei als auch die Benutzerdaten (eine Kopie, wenn gespiegelter Schutz
verwendet wird, und alle Blöcke bei FEC) befinden sich, wenn möglich, im SSDSpeicher.
<file> {<path> |<lin>}
Gibt eine Datei nach Pfad oder LIN an.
isi snmp
Verwaltet SNMP-Einstellungen.
Wenn SNMP v3 verwendet wird, ist für OneFS der Wert „AuthNoPriv“ als Standardwert
erforderlich. AuthPriv wird nicht unterstützt.
Syntax
isi snmp
[--syslocation <string>]
[--syscontact <string>]
[--protocols <value>]
[--rocommunity <string>]
[--v3-rouser <string>]
[--v3-password <string>]
Optionen
--syslocation<string>
Gibt das SNMP-Netzwerk an. Hierbei handelt es sich um ein schreibgeschütztes Feld,
das die SNMP-Implementierung auf dem Cluster bei Anfrage zurück an einen
Benutzer melden kann. Die ist für den Benutzer rein informativ. Damit wird lediglich
der Wert des Standardsystemstandorts OID festgelegt.
--syscontact<string>
Legt die SNMP-Netzwerkkontaktadresse fest.
--protocols<value>
Gibt SNMP-Protokolle an. Die folgenden Werte sind gültig:
v1/v2c
v3
all
116
Hinweis
v1 und v2 werden gemeinsam gesteuert und müssen zusammen angegeben werden,
wie gezeigt.
{ --rocommunity | -c}<string>
Gibt den schreibgeschützten Communitynamen an.
{--v3-rouser | -u}<string>
Gibt den schreibgeschützten SNMP v3-Benutzersicherheitsnamen an.
{--v3-password | -p}<string>
Gibt das SNMP v3-Authentifizierungspasswort an.
isi snmp list
Zeigt SNMP-Einstellungen an.
Syntax
isi snmp list
isi statistics client
Zeigt die nach Durchsatz aktivsten Clients, die auf das Cluster zugreifen, für jedes
unterstützte Protokoll an. Sie können Optionen angeben, um den Zugriff nach Benutzer
zu verfolgen, z. B. wenn mehr als ein Benutzer auf demselben Clienthost auf das Cluster
zugreift.
Syntax
[--csv]
[--csvstring <string>]
[--noconversion]
[--noheader]
[--top]
[--interval <integer>]
[--repeat <integer>]
[--degraded]
[--timeout <integer>]
[--nodes <value>]
[--protocols <value>]
[--classes <string>]
[--orderby <column>]
[--total]
[--totalby <column>]
[--nooutput <column>]
[--output <column>]
[--long]
[--zero]
[--local_addrs <integer>]
[--local_names <string>]
[--remote_addrs <integer>]
[--remote_names <string>]
[--user_ids <integer>]
[--user_names <string>]
[--numeric]
[--wide]
isi snmp list
117
Optionen
{--csv | -c}
Zeigt Daten als kommagetrennte Werte an.
Hinweis
Deaktiviert die Top-Style-Anzeige und die dynamische Einheitenkonvertierung.
{--csvstring | -C} <string>
Zeigt Daten als im CSV-Stil getrennte Liste an, wobei die angegebene Zeichenfolge
das Trennzeichen ist.
Hinweis
Wenn diese Option angegeben wird, setzt --csvstring die Option --csv außer
Kraft und deaktiviert die Top-Style-Anzeige und die dynamische
Einheitenkonvertierung.
--noconversion
Zeigt alle Daten in Basismengen ohne dynamische Konvertierung an. Wenn diese
Option angegeben wird, wird außerdem die Anzeige von Einheiten in der Datentabelle
deaktiviert.
--noheader
Zeigt Daten ohne Spaltenüberschriften an.
{--top | -t}
Zeigt Ergebnisse in der Top-Style-Anzeige an, in der die Daten kontinuierlich in einer
einzigen Tabelle überschrieben werden.
Hinweis
Wenn --top ohne --repeat angegeben wird, wird der Bericht auf unbestimmte
Zeit ausgeführt.
{--interval | -i}<integer>
Meldet Daten in dem in Sekunden angegebenen Intervall.
{--repeat | -r} <integer>
Gibt an, wie oft der Bericht vor dem Beenden ausgeführt werden soll.
Hinweis
Damit der Bericht auf unbestimmte Zeit ausgeführt wird, geben Sie -1 an.
{--degraded | -d}
Führt dazu, dass der Bericht weiter ausgeführt wird, wenn einige Nodes nicht
reagieren.
{--timeout | -o} <integer>
Gibt die Anzahl der Sekunden vor einem Timeout von Remotebefehlen an.
--nodes
Gibt an, für welche Nodes Statistiken gemeldet werden sollen. Mehrere Werte können
in einer kommagetrennten Liste angegeben werden, z. B. --nodes=1-2,5-9. Der
Standardwert ist all. Die folgenden Werte sind gültig:
118
l
all
l
<int>
l
<int>-<int>
--protocols<value>
Gibt an, zu welchen Protokollen Statistiken gemeldet werden sollen. Mehrere Werte
können in einer kommagetrennten Liste angegeben werden, z. B. -protocols=http,papi. Die folgenden Werte sind gültig:
l
all
l
external
l
ftp
l
hdfs
l
http
l
internal
l
irp
l
iscsi
l
jobd
l
lsass_in
l
lsass_out
l
nlm
l
nfs3
l
nfs4
l
papi
l
siq
l
smb1
l
smb2
--classes<string>
Gibt an, zu welchen Vorgangsklassen Statistiken gemeldet werden sollen. Bei der
Standardeinstellung werden alle Klassen gemeldet. Die folgenden Werte sind gültig:
all
Alle Klassen
read
Lesen von Dateien und Streams
write
Schreiben von Dateien und Streams
create
Erstellen von Dateien, Verknüpfungen, Nodes, Streams und Verzeichnissen
delete
Löschen von Dateien, Verknüpfungen, Nodes, Streams und Verzeichnissen
namespace_read
Lesen von Attributen, Statistiken und ACLs; Suchen, Lesen von Verzeichnissen
119
namespace_write
Umbenennungen; Attributeinstellungen; Berechtigungen, Zeiten und ACLSchreibvorgänge
file_state
Öffnen, Schließen; Sperren: Erfassen, Freigeben, Trennen, Prüfen;
Benachrichtigung
session_state
Verhandlung, Anfrage oder Manipulation von Protokollverbindungen oder
Sitzungsstatus
other
Dateisysteminformationen für andere, nicht kategorisierte Vorgänge
--orderby<column>
Gibt an, wie die Zeilen geordnet werden. Die folgenden Werte sind gültig:
l
Class
l
In
l
InAvg
l
InMax
l
InMin
l
LocalAddr
l
LocalName
l
Node
l
NumOps
l
Ops
l
Out
l
OutAvg
l
OutMax
l
OutMin
l
Proto
l
RemoteAddr
l
RemoteName
l
TimeAvg
l
TimeMax
l
TimeMin
l
TimeStamp
l
UserID
l
UserName
--total
Gruppiert und fasst die Ergebnisse gemäß den Filteroptionen zusammen.
--totalby<column>
Fasst Ergebnisse gemäß den angegebenen Feldern zusammen. Die folgenden Werte
sind gültig:
120
l
Class
l
Group
l
LocalAddr
l
LocalName
l
Node
l
Proto
l
RemoteAddr
l
RemoteName
l
UserId
l
UserName
Hinweis
Wenn --totalby angegeben wird, wird --total hierdurch außer Kraft gesetzt.
--nooutput<column>
Gibt an, welche Spalten nicht angezeigt werden. Die Spalten werden aus der Liste der
derzeit aktiven Spalten, die durch --output oder --long angegeben werden, oder
aus der Standardspaltenliste ausgeschlossen, wenn dies nicht durch andere
Ausgabeoptionen außer Kraft gesetzt wird.
--output<column>
Gibt an, welche Spalten angezeigt werden sollen. Die folgenden Werte sind gültig:
TimeStamp
Zeigt die Zeit der letzten Datenerfassung durch das Tool „isi statistics“ an.
Angezeigt in POSIX-Zeit (Anzahl der Sekunden, die seit dem 1. Januar 1970
vergangen sind).
NumOps
Zeigt an, wie oft ein Vorgang durchgeführt wurde.
Ops
Zeigt die Geschwindigkeit an, mit der ein Vorgang durchgeführt wurde. Angezeigt
in Vorgängen pro Sekunde.
InMax
Zeigt die maximal empfangenen Bytes (Eingabebytes) für einen Vorgang an.
InMin
Zeigt die minimal empfangenen Bytes (Eingabebytes) für einen Vorgang an.
In
Zeigt die Geschwindigkeit der Eingabe für einen Vorgang seit dem letzten
Zeitpunkt an, an dem mit „isi statistics“ Daten erfasst wurden. Angezeigt in
Bytes pro Sekunde.
InAvg
Zeigt die durchschnittlich empfangenen Bytes (Eingabebytes) für einen Vorgang
an.
OutMax
Zeigt die maximal gesendeten Bytes (Ausgabebytes) für einen Vorgang an.
121
OutMin
Zeigt die minimal gesendeten Bytes (Ausgabebytes) für einen Vorgang an.
Out
Zeigt die Geschwindigkeit der Ausgabe für einen Vorgang seit dem letzten
Bytes pro Sekunde.
OutAvg
Zeigt die durchschnittlich gesendeten Bytes (Ausgabebytes) für einen Vorgang
an.
TimeMax
Zeigt die maximal abgelaufene Zeit an, die benötigt wird, um einen Vorgang
abzuschließen. Angezeigt in Mikrosekunden.
TimeMin
Zeigt die minimal abgelaufene Zeit an, die benötigt wird, um einen Vorgang
TimeAvg
Zeigt die durchschnittlich abgelaufene Zeit an, die benötigt wird, um einen
Vorgang abzuschließen. Angezeigt in Mikrosekunden.
Node
Zeigt den Node an, auf dem der Vorgang durchgeführt wurde.
Proto
Zeigt das Protokoll des Vorgangs an.
Class
Zeigt die Klasse des Vorgangs an.
UserID
Zeigt die numerische UID des Benutzers, der die Vorgangsanforderung ausgibt,
oder im Fall des iSCSI-Protokolls die eindeutige LUN-ID an.
UserName
Zeigt den aufgelösten Textnamen der Benutzer-ID oder im Fall des iSCSIProtokolls das Ziel und die LUN an. In beiden Fällen wird, wenn die Auflösung
nicht durchgeführt werden kann, UNKNOWN angezeigt.
LocalAddr
Zeigt die IP-Adresse des Hosts an, der die Vorgangsanforderung empfängt.
Angezeigt in vier durch Punkte getrennten Zahlen.
LocalName
Zeigt den aufgelösten Textnamen von „LocalAddr“ an, wenn eine Auflösung
durchgeführt werden kann.
RemoteAddr
Zeigt die IP-Adresse des Hosts an, der die Vorgangsanforderung sendet.
Angezeigt in vier durch Punkte getrennten Zahlen.
RemoteName
Zeigt den aufgelösten Textnamen von „RemoteAddr“ an, wenn eine Auflösung
durchgeführt werden kann.
122
--long
Zeigt alle möglichen Spalten an.
--zero
Zeigt Tabelleneinträge ohne Werte an.
--local_addrs<integer>
Gibt lokale IP-Adressen an, für die Statistiken gemeldet werden.
--local-names<string>
Gibt die Namen von lokalen Hosts an, für die Statistiken gemeldet werden.
--remote_addrs<integer>
Gibt Remote-IP-Adressen an, für die Statistiken gemeldet werden.
--remote_names<string>
Gibt Namen von Remoteclients an, für die Statistiken gemeldet werden.
--user_ids<integer>
Gibt Benutzer-IDs an, für die Statistiken gemeldet werden. Bei der
Standardeinstellung werden alle Benutzer gemeldet.
--user_names<string>
Gibt Benutzernamen an, für die Statistiken gemeldet werden. Bei der
Standardeinstellung werden alle Benutzer gemeldet.
--numeric
Wenn Textkennungen von lokalen Hosts, Remoteclients oder Benutzern in der Liste
der anzuzeigenden Spalten enthalten sind (mit der Standardeinstellung werden sie
angezeigt), wird die nicht aufgelöste numerische Entsprechung dieser Spalten
angezeigt.
--wide
Zeigt aufgelöste Namen mit einer breiten Spaltenbreite an.
isi statistics describe
Zeigt die Dokumentation zu bestimmten Statistiken an.
Syntax
isi statistics describe --stats <statistics-key-string>
Optionen
{--stats | -s} <statistics-key-string>
Zeigt die Dokumentation zu bestimmten Statistiken an. Für eine vollständige Liste der
Statistiken führen Sie isi statistics list stats aus.
isi statistics drive
Zeigt Performanceinformationen nach Laufwerk an.
Syntax
[--csv]
isi statistics describe
123
[--noconversion]
[--noheader]
[--top]
[--degraded]
[--long]
[--nodes <value>]
[--timestamp]
[--type <value>]
[--orderby <column>]
Optionen
{--csv | -c}
Zeigt Daten als eine kommagetrennte Liste an.
Hinweis
Hinweis
Wenn diese Option angegeben wird, wird --csv außer Kraft gesetzt und die TopStyle-Anzeige und die dynamische Einheitenkonvertierung werden deaktiviert.
--noconversion
Zeigt alle Daten in Basismengen ohne dynamische Konvertierung an. Wenn dieser
Parameter angegeben wird, wird außerdem die Anzeige von Einheiten in der
Datentabelle deaktiviert.
--noheader
{--top | -t}
Zeigt die Ergebnisse in einer Top-Style-Anzeige an, in der die Daten kontinuierlich in
einer einzigen Tabelle überschrieben werden.
Hinweis
Zeit ausgeführt.
{--interval | -I} <integer>
Hinweis
124
{--degraded | -d}
Legt die Einstellungen für den Bericht so fest, dass dieser weiter ausgeführt wird,
wenn einige Nodes nicht reagieren.
--long
--nodes
Gibt an, für welche Nodes Statistiken gemeldet werden sollen. Der Standardwert ist
all. Die folgenden Werte sind gültig:
l
all
l
<int>
l
<int>-<int>
l
*
--orderby<column>
Busy
BytesIn
BytesOut
Drive
Inodes
OpsIn
OpsOut
Queued
SizeIn
SizeOut
Slow
TimeAvg
TimeInQ
Type
Used
--timestamp
Zeigt die Zeit der letzten Datenerfassung durch das Tool isi statistics an. Die
Zeit wird in Epochensekunden angezeigt.
--type
Legt die Laufwerkstypen an, für die Statistiken gemeldet werden. Bei der
Standardeinstellung werden für alle Laufwerke Statistiken gemeldet. Die folgenden
Werte sind gültig:
sata
sas
ssd
125
isi statistics heat
Zeigt die aktivsten /ifs-Pfade für verschiedene Kennzahlen an.
Syntax
isi statistics heat
[--csv]
[--noconversion]
[--noheader]
[--top]
[--degraded]
[--nodes <value>]
[--events <string>]
[--classes <string>]
[--orderby <column>
[--totalby <column>]
[--maxpath <integer>]
[--pathdepth <integer>]
[--limit <integer>]
[--output <column>]
[--long]
Optionen
{--csv | -c}
Hinweis
Hinweis
--noconversion
deaktiviert.
--noheader
{--top | -t}
Zeigt die Ergebnisse in einer Top-Style-Anzeige an, in der die Daten kontinuierlich in
einer einzigen Tabelle überschrieben werden.
126
Hinweis
Wenn --top ohne --repeat angegeben wird,
wird der Bericht auf unbestimmte Zeit ausgeführt.
Hinweis
{--degraded | -d}
--nodes
l
all
l
<int>
l
<int>-<int>
--events<string>
Gibt an, welche Ereignistypen für die angegebenen Informationen gemeldet werden.
Die folgenden Werte sind gültig:
blocked
Der Zugriff auf die LIN wurde blockiert, da darauf gewartet wird, dass eine
Ressource von einem anderen Vorgang freigegeben wird. Die Klasse ist other.
contended
Bei einer LIN ist ein Node-übergreifender Konflikt aufgetreten. Auf die LIN wird
gleichzeitig von mehreren Nodes aus zugegriffen. Die Klasse ist other.
deadlocked
Der Versuch, die LIN zu sperren, führte zu einem Deadlock. Die Klasse ist other.
link
Die LIN wurde mit dem Dateisystem verknüpft. Die diesem Ereignis zugeordnete
LIN ist das übergeordnete Verzeichnis und nicht die verknüpfte LIN. Die Klasse
ist namespace_write.
lock
Die LIN ist gesperrt. Die Klasse ist other.
isi statistics heat
127
lookup
Ein Name wird in einem Verzeichnis gesucht; die LIN für das durchsuchte
Verzeichnis ist die dem Ereignis zugeordnete LIN. Die Klasse ist
namespace_read.
read
Es wurde ein Lesevorgang durchgeführt. Die Klasse ist read.
rename
Eine Datei oder ein Verzeichnis wurde umbenannt. Die diesem Ereignis
zugeordnete LIN ist das Verzeichnis, in dem das Quellverzeichnis oder das
Zielverzeichnis umbenannt wurde, falls diese voneinander abweichen. Die
Klasse ist namespace_write.
getattr
Es wurde ein Datei- oder Verzeichnisattribut gelesen. Die Klasse ist
namespace_read.
setattr
Es wurde ein Datei- oder Verzeichnisattribut hinzugefügt, geändert oder
gelöscht. Die Klasse ist namespace_write.
unlink
Die Verknüpfung einer Datei oder eines Verzeichnisses mit dem Dateisystem
wurde aufgehoben, die diesem Ereignis zugeordnete LIN ist das übergeordnete
Verzeichnis des entfernten Elements. Die Klasse ist namespace_write.
write
Es wurde ein Schreibvorgang durchgeführt. Die Klasse ist write.
--classes<string>
Gibt an, welche Klassen für die angegebenen Informationen gemeldet werden. Bei
der Standardeinstellung werden alle Klassen gemeldet. Die folgenden Werte sind
gültig:
read
write
create
delete
namespace_read
Attribute, Statistiken und ACL-Schreibvorgänge; Suchen, Lesen von
Verzeichnissen
namespace_write
128
file_state
Öffnen, Schließen, Sperren: Erfassen, Freigeben, Trennen, Prüfen;
Benachrichtigung
session_state
Sitzungsstatus
other
Informationen zum Dateisystem
--orderby<column>
Class
Event
LIN
Node
Ops
Path
TimeStamp
--totalby<column>
sind gültig:
Class
Event
LIN
Node
Ops
Path
TimeStamp
--maxpath<integer>
Gibt die maximale Pfadlänge an, nach der im Dateisystem gesucht wird.
-pathdepth<integer>
Reduziert Pfade auf die angegebene Tiefe.
--limit<integer>
Zeigt nur die angegebene Anzahl der Einträge nach Summenbildung und Sortierung
an.
--output<column>
Gibt die anzuzeigenden Spalten an. Die folgenden Werte sind gültig:
timestamp
Zeigt die Zeit der letzten Datenerfassung durch das Tool „isi statistics“ an.
vergangen sind).
isi statistics heat
129
Ops
Node
Event
Zeigt den Namen des Ereignisses an.
Class
LIN
Zeigt die LIN für die Datei oder das Verzeichnis an, die bzw. das dem Ereignis
zugeordnet ist.
Path
Zeigt den Pfad an, der der Ereignis-LIN zugeordnet ist.
--long
isi statistics history
Zeigt Verlaufsstatistiken an.
Syntax
[--csv]
[--noconversion]
[--noheader]
[--top]
[--interval <number>]
[--repeat <number>]
[--degraded]
[--timeout <number>]
[--nodes <value>]
[--stats <string>]
[--onecolumn]
[--formattime]
[--begin <number>]
[--end <number>]
[--resolution <number>]
[--zero]
Optionen
{--csv | -c}
Hinweis
130
Hinweis
--noconversion
deaktiviert.
--noheader
{--top | -t}
Zeigt Ergebnisse in einer Top-Style-Anzeige an, in der die Daten kontinuierlich in einer
Hinweis
Zeit ausgeführt.
{--repeat | -r} <number>
Hinweis
{--degraded | -d}
{--timeout | -o} <number>
Gibt die Anzahl von Sekunden vor einem Timeout von Remotebefehlen an.
--nodes
l
all
l
<int>
l
<int>-<int>
--stats<string>
Gibt an, welche Statistiken für angeforderte Nodes gemeldet werden sollen, wobei
der Wert für <string> ein Statistikschlüssel ist. Verwenden Sie den Befehl isi
statistics list stats, um eine vollständige Liste der Statistikschlüssel zu
erhalten.
{--onecolumn | -1}
Zeigt die Ausgabe jeweils einer Serie in einer Spalte statt in einem Rasterformat an.
{--formattime | -F}
131
Formatiert Serienzeiten, anstatt das Zeitstempelformat „UNIX Epoch“ zu verwenden.
--begin<number>
Gibt die Anfangszeit im Zeitstempelformat „UNIX Epoch“ an.
--end<number>
Gibt die Endzeit im Zeitstempelformat „UNIX Epoch“ an.
--resolution<number>
Gibt das Mindestintervall zwischen Seriendatenpunkten in Sekunden an.
--zero
Zeigt Rasterzeilen ohne gültige Serienpunkte an.
isi statistics list all
Zeigt eine Liste der gültigen list-mode-Argumente an.
Syntax
isi statistics list all
[--client]
[--protocol]
[--heat]
[--drive]
Optionen
--client
Zeigt gültige Optionswerte für den Clientmodus an.
--protocol
Zeigt gültige Optionswerte für den Protokollmodus an.
--heat
Zeigt gültige Optionswerte für den Heat-Modus an.
--drive
Zeigt gültige Optionswerte für den Laufwerkmodus an.
isi statistics list classes
Zeigt eine Liste gültiger Argumente für die Option --classes an.
Syntax
isi statistics list classes
[--client]
[--protocol]
[--heat]
[--drive]
Optionen
--client
--protocol
--heat
132
--drive
isi statistics list events
Zeigt eine Liste gültiger Argumente für die Option --events an.
Syntax
[--client]
[--protocol]
[--heat]
[--drive]
Optionen
--client
--protocol
--protocol
--drive
isi statistics list nodes
Zeigt eine Liste gültiger Argumente für die Option --nodes an.
Syntax
isi statistics list nodes
[--client]
[--protocol]
[--heat]
[--drive]
Optionen
--client
--protocol
--heat
--drive
133
isi statistics list nooutput
Zeigt eine Liste gültiger Argumente für die Option --nooutput an.
Syntax
isi statistics list nooutput
[--client]
[--protocol]
[--heat]
[--drive]
Optionen
--client
--protocol
--heat
--drive
isi statistics list operations
Zeigt eine Liste gültiger Argumente für die Option --operations an.
Syntax
isi statistics list operations
[--client]
[--protocol]
[--heat]
[--drive]
Optionen
--client
--protocol
--heat
--drive
isi statistics list orderby
Zeigt eine Liste gültiger Argumente für die Option --orderby an.
134
Syntax
isi statistics list orderby
[--client]
[--protocol]
[--heat]
[--drive]
Optionen
--client
--protocol
--heat
--drive
isi statistics list output
Zeigt eine Liste gültiger Argumente für die Option --output an.
Syntax
[--client]
[--protocol]
[--heat]
[--drive]
Optionen
--client
--protocol
--heat
--drive
isi statistics list protocols
Zeigt eine Liste gültiger Argumente für die Option --protocols an.
Syntax
isi statistics list protocols
[--client]
[--protocol]
[--heat]
[--drive]
135
Optionen
--client
--protocol
--heat
--drive
isi statistics list stats
Zeigt eine Liste gültiger Argumente für die Option --stats an.
Syntax
isi statistics list stats
[--client]
[--protocol]
[--heat]
[--drive]
Optionen
--client
--protocol
--heat
--drive
isi statistics list totalby
Zeigt eine Liste gültiger Argumente für die Option --totalby an.
Syntax
isi statistics list totalby
[--client]
[--protocol]
[--heat]
[--drive]
Optionen
--client
--protocol
--heat
136
--drive
isi statistics protocol
Zeigt Statistiken nach Protokoll, z. B. NFS3 und HTTP, an.
Syntax
[--csv]
[--noconversion]
[--noheader]
[--top]
[--degraded]
[--long]
[--nodes {all | <int> | <int>-<int>}]
[--protocols <protocol>...]
[--classes <class>...]
[--orderby <column>...]
[--total]
[--totalby <column>...]
[--nooutput <column>...]
[--output <column>...]
[--long]
[--zero]
[--operations <operation>...]
Optionen
{--csv | -c}
Hinweis
Hinweis
--noconversion
Option festgelegt wird, wird außerdem die Anzeige von Einheiten in der Datentabelle
deaktiviert.
--noheader
{--top | -t}
137
Hinweis
Zeit ausgeführt.
Hinweis
{--degraded | -d}
reagieren.
--nodes
l
all
l
<int>
l
<int>-<int>
--protocols<value>
138
l
all
l
external
l
ftp
l
hdfs
l
http
l
internal
l
irp
l
iscsi
l
jobd
l
lsass_in
l
lsass_out
l
nlm
l
nfs3
l
nfs4
l
papi
l
siq
l
smb1
l
smb2
--classes<class>
Gibt an, zu welchen Betriebsklassen Statistiken gemeldet werden sollen. Die
Standardeinstellung ist all. Die folgenden Werte sind gültig:
all
Alle Klassen
read
write
create
delete
namespace_read
Lesen von Attributen, Statistiken und ACLs; Lesen von Suchverzeichnissen
namespace_write
file_state
Öffnen, Schließen, Sperren: Erfassen, Freigeben, Trennen, Prüfen;
Benachrichtigung
session_state
Sitzungsstatus
other
Informationen zum Dateisystem. Mehrere Werte können in einer
kommagetrennten Liste angegeben werden.
--orderby <column>
l
Class
l
In
l
InAvg
l
InMax
l
InMin
l
InStdDev
139
l
Node
l
NumOps
l
Ops
l
Out
l
OutAvg
l
OutMax
l
OutMin
l
OutStdDev
l
Proto
l
TimeAvg
l
TimeMax
l
TimeMin
l
TimeStamp
l
TimeStdDev
--total
Gruppiert und fasst die Ergebnisse gemäß den Filteroptionen zusammen.
--totalby <column>
sind gültig:
l
Class
l
Node
l
Proto
l
Op
l
Hinweis
Wenn --totalby angegeben wird, wird --total hierdurch außer Kraft gesetzt.
--nooutput<column>
Gibt an, welche Spalten nicht angezeigt werden. Die Spalten werden aus der Liste der
aktiven Spalten, die durch --output oder --long angegeben werden, oder aus der
Standardspaltenliste ausgeschlossen, wenn dies nicht durch andere
Ausgabeoptionen außer Kraft gesetzt wird. Mehrere Werte können in einer
kommagetrennten Liste angegeben werden. Die folgenden Werte sind gültig:
140
l
Class
l
In
l
InAvg
l
InMax
l
InMin
l
InStdDev
l
Node
l
NumOps
l
Ops
l
Out
l
OutAvg
l
OutMax
l
OutMin
l
OutStdDev
l
Proto
l
TimeAvg
l
TimeMax
l
TimeMin
l
TimeStamp
l
TimeStdDev
--output<column>
Gibt an, welche Spalten angezeigt werden sollen. Die folgenden Werte sind gültig:
timestamp
Zeigt die Zeit der letzten Datenerfassung durch das Tool isi statistics an.
vergangen sind).
Geben Sie <time-and-date> im folgenden Format an:
<YYYY>-<MM>-<DD>[T<hh>:<mm>[:<ss>]]
Geben Sie <time> als einen der folgenden Werte an.
Y
Jahr
M
Monat
W
Woche
D
Tag
h
Stunde
s
Sekunde
NumOps
Zeigt an, wie oft ein Vorgang durchgeführt wurde. Mehrere Werte können in einer
Ops
InMax
Zeigt die maximal empfangenen Bytes (Eingabebytes) für einen Vorgang an.
141
InMin
Zeigt die minimal empfangenen Bytes (Eingabebytes) für einen Vorgang an.
In
Zeigt die Geschwindigkeit der Eingabe für einen Vorgang seit dem letzten
Bytes pro Sekunde.
InAvg
Zeigt die durchschnittlich empfangenen Bytes (Eingabebytes) für einen Vorgang
an.
OutMax
Zeigt die maximal gesendeten Bytes (Ausgabebytes) für einen Vorgang an.
OutMin
Zeigt die minimal gesendeten Bytes (Ausgabebytes) für einen Vorgang an.
Out
Zeigt die Geschwindigkeit der Ausgabe für einen Vorgang seit dem letzten
Bytes pro Sekunde.
OutAvg
Zeigt die durchschnittlich gesendeten Bytes (Ausgabebytes) für einen Vorgang
an.
TimeMax
Zeigt die maximal abgelaufene Zeit an, die benötigt wird, um einen Vorgang
TimeMin
Zeigt die minimal abgelaufene Zeit an, die benötigt wird, um einen Vorgang
TimeAvg
Zeigt die durchschnittlich abgelaufene Zeit an, die benötigt wird, um einen
Vorgang abzuschließen. Angezeigt in Mikrosekunden.
Node
Proto
Zeigt das Protokoll des Vorgangs an.
Class
InStdDev
Zeigt die Standardabweichung der empfangenen Bytes (Eingabebytes) für einen
Vorgang an. Angezeigt in Bytes.
OutStdDev
Zeigt die Standardabweichung der gesendeten Bytes (Ausgabebytes) für einen
Vorgang an. Angezeigt in Bytes.
142
Op
Zeigt den Namen des Vorgangs an.
--long
--zero
Zeigt Tabelleneinträge ohne Werte an.
--operations<operation>
Gibt die Vorgänge an, zu denen Statistiken gemeldet werden. Um eine Liste der
gültigen Werte anzuzeigen, führen Sie den folgenden Befehl aus: isi
statistics list operations. Mehrere Werte können in einer
isi statistics pstat
Zeigt eine Auswahl von clusterweiten und Protokolldaten an.
Syntax
[--csv]
[--noconversion]
[--noheader]
[--top]
[--degraded]
[--protocol <protocol>]
Optionen
{--csv | -c}
Hinweis
Hinweis
--noconversion
deaktiviert.
--noheader
143
{--top | -t}
Hinweis
Zeit ausgeführt.
{--interval | -i} <integer>
Hinweis
{--degraded | -d}
--protocol<protocol>
ftp
hdfs
http
irp
iscsi
jobd
lsass_in
lsass_out
nlm
nfs3
nfs4
papi
siq
smb1
smb2
144
isi statistics query
Zeigt hochgradig anpassbare Informationen zu beliebigen Statistiken in der
Clusterstatistikbibliothek an.
Syntax
[--csv]
[--noconversion]
[--noheader]
[--top]
[--degraded]
[--nofooter]
[--nodes {all | <int>[-<int>]}]
[--stats <string>]
Optionen
{--csv | -c}
Hinweis
Hinweis
--noconversion
deaktiviert.
--noheader
{--top | -t}
Hinweis
Zeit ausgeführt.
{--interval | -I}<integer>
145
Hinweis
{--degraded | -d}
reagieren.
--nofooter
Unterdrückt die Anzeige der Fußzeile, die Zusammenfassungsdaten enthält.
--nodes {all | <int>[-<int>]}
Standardwert ist all.
{--stats | statistics key} <key>
Gibt an, welche Statistiken für angeforderte Nodes gemeldet werden sollten. Führen
Sie den Befehl isi statistics list stats aus, um eine vollständige Liste
der Statistikschlüssel zu erhalten.
isi statistics system
Zeigt allgemeine Clusterstatistiken an, einschließlich Vorgangsraten für alle unterstützten
Protokolle sowie den Netzwerk- und Laufwerksdatenverkehr.
Syntax
[--csv]
[--noconversion]
[--noheader]
[--top]
[--degraded]
[--running <integer>]
[--nodes]
[--timestamp]
[--oprates]
Optionen
{--csv | -c}
Hinweis
146
Hinweis
--noconversion
deaktiviert.
--noheader
{--top | -t}
Zeigt Ergebnisse in einer Top-Style-Anzeige an, in der die Daten kontinuierlich in einer
Hinweis
Zeit ausgeführt.
Hinweis
{--degraded | -d}
--running<integer>
Zeigt Statistiken mit einer Zusammenfassung von Clusterstatistiken über ein
bestimmtes Intervall in der Anzahl von Iterationen des Toolwiederholungsintervalls
an. Wenn gleitende Mittelwerte angefordert werden, werden diese in der Zeile
namens Avg. angezeigt.
--nodes
Zeigt Informationen zu einzelnen Nodes an.
--timestamp
Zeigt die Zeit der letzten Datenerfassung durch das Tool isi statistics an. Der
Zeitstempel wird in Epochensekunden angezeigt.
--oprates
Zeigt die Statistiken zur Protokollvorgangsrate anstelle der standardmäßigen
Durchsatzstatistiken an.
147
isi status
Zeigt Informationen zum aktuellen Status des Clusters, der Ereignisse und der Jobs an.
Syntax
isi status
[-q]
[-r]
[-w]
[-D]
[-d <storage-pool-name>]
[-n <id>]
Optionen
-q
Lässt Ereignis- und Schutzvorgänge aus und zeigt nur Informationen zum Status des
Clusters an.
-r
Zeigt die Raw-Größe an.
-w
Zeigt Ergebnisse ohne Kürzungen an.
-D
Zeigt ausführlichere Informationen zu derzeit ausgeführten Schutzvorgängen an,
einschließlich einer Liste von Arbeitsprozessen. Zeigt außerdem mehr Informationen
über fehlgeschlagene Schutzvorgänge an, einschließlich einer Liste der Fehler.
-d<storage-pool-name>
Zeigt eine Node-Pool- oder Tier-Ansicht des Dateisystems anstelle einer
Clusteransicht an. Wenn ein Speicherpoolname als ein Tier oder ein Node-Pool
angegeben wird, werden nur Informationen für diesen Pool gemeldet.
-n<id>
Zeigt zusätzlich zu den Statistiken für jedes Laufwerk im Node dieselben
Informationen für einen einzelnen Node an, angegeben nach logischer Node-Nummer
(LNN).
isi update
Aktualisiert ein Cluster auf eine neuere Version von OneFS.
Sie werden dazu aufgefordert, den Speicherort anzugeben, an dem sich das für die
Aktualisierung des Clusters zu verwendende Image befindet. Nachdem das Image
geladen wurde, werden Sie dazu aufgefordert, das Cluster neu zu starten.
Syntax
isi update
[--rolling]
[--manual]
[--drain-time <duration>]
[--check-only]
Optionen
--rolling
148
Führt eine laufende Aktualisierung durch, wodurch das Cluster während der
Aktualisierung verfügbar bleibt. Wenn eine laufende Aktualisierung unterbrochen
wird, kann derselbe Aktualisierungsbefehl ausgegeben werden, um die laufende
Aktualisierung neu zu starten. Die Aktualisierung versucht dann, an der Stelle
fortzufahren, an der die vorherige Aktualisierung unterbrochen wurde. Laufende
Aktualisierungen werden nicht für alle Versionen unterstützt. Wenden Sie sich an
Ihren Isilon-Vertriebsmitarbeiter, um Informationen darüber zu erhalten, welche
Versionen diese Option unterstützen.
--manual
Führt dazu, dass die laufende Aktualisierung angehalten und auf eine
Benutzereingabe gewartet wird, bevor jeder Node neu gestartet wird.
--drain-time<duration>
Richtet die Aktualisierung so ein, dass ein Node aus dem SmartConnect-Pool getrennt
wird. Anschließend wird darauf gewartet, dass Clients getrennt werden oder die
angegebene <duration> abläuft, bevor der Node neu gestartet wird. Die
Standardeinheit für <duration> sind Sekunden. Sie können jedoch eine andere
Zeiteinheit angeben, indem Sie einen Buchstaben an das Ende der Zeit hinzufügen.
m
Minuten
h
Stunden
d
Tage
w
Wochen
--check-only
Stellt Informationen über potenzielle Schwachstellen im gesamten Cluster bereit,
initiiert den Upgradeprozess jedoch nicht.
isi version
Zeigt detaillierten Informationen zu den Eigenschaften der Isilon-Clustersoftware an.
Syntax
isi version
[<os-info>]
Optionen
<os-info>
Optionale Variable, die die Ausgabe auf angegebene Informationen beschränkt.
Wenn Sie den Wert <os-info> nicht einschließen, zeigt das System alle Informationen
an. Für <os-info> werden nur die folgenden Werte akzeptiert.
osversion
Zeigt den Namen, den Build, das Veröffentlichungsdatum und die aktuelle
Betriebssystemversion an.
isi version
149
osbuild
Zeigt Build-Informationen an.
osrelease
Zeigt die Versionszeichenfolge für die Software an.
ostype
Zeigt den Namen des Betriebssystems an.
osrevision
Zeigt die Versionsnummer als dekadische Zahl an.
copyright
Zeigt die aktuellen Copyrightinformationen für die Software an.
Beispiele
Der folgende Befehl zeigt nur den Namen des Betriebssystems an.
isi version ostype
isi_for_array
Führt parallele oder serielle Befehle auf mehreren Nodes in einem Array aus.
Wenn Konflikte zwischen Optionen bestehen, hat die zuletzt angegebene Vorrang.
Hinweis
Die Optionen -k, -u, -p und -q sind nur für die SSH-Übertragung gültig.
Syntax
isi_for_array
[--array-name <array>]
[--array-file <filename>]
[--directory <directory>]
[--diskless]
[--known-hosts-file <filename>]
[--user <user>]
[--nodes <nodes>]
[--password <password>]
[--pre-command <command>]
[--query-password]
[--quiet]
[--serial]
[--storage]
[--transport <transport-type>]
[--throttle <setting>]
[--exclude-nodes <nodes>]
[--exclude-down-nodes]
Optionen
{--array-name | -a} <array>
Verwendet <array>.
{--array-file | -A} <filename>
Liest Arrayinformationen aus <filename>. Standardmäßig wird zuerst nach
$HOME/.array.xml und dann nach /etc/ifs/array.xml gesucht.
{--directory | -d} <directory>
150
Führt Befehle vom angegebenen Verzeichnis auf Remotecomputern aus. Das aktuelle
Arbeitsverzeichnis ist das Standardverzeichnis. Ein leeres <directory> führt dazu, dass
Befehle im Stammverzeichnis des Benutzers auf dem Remotecomputer ausgeführt
werden.
{--diskless | -D}
Führt Befehle von Nodes ohne Laufwerke aus.
{--known-hosts-file | -k} <filename>
Verwendet für eine bekannte SSH-Hostdatei <filename> anstelle des
Standardverzeichnisses /dev/null.
{--user | -u | -l} <user>
Meldet sich als <user> statt als Standardstammbenutzer an.
{--nodes | -n} <nodes>
Führt Befehle auf den angegebenen Nodes aus, die mehrmals angegeben werden
können. Muss eine Liste mit Node-Namen oder Bereichen von Node-IDs sein, z. B.
1,3-5,neal8,10. Wenn keine Nodes ausdrücklich aufgelistet werden, wird das
gesamte Array verwendet.
{--password | -p | --pw} <password>
Verwendet das angegebene Passwort anstelle des Standardpassworts.
{--pre-command | -P} <command>
Führt den angegebenen Befehl vor allen anderen Befehlen aus. Dies ist für die
Einrichtung der Umgebung nützlich und kann mehrmals angegeben werden. Sie
können - angeben, um die Liste der Vorbefehle zurückzusetzen.
{--query-password | -q}
Fordert den Benutzer zur Eingabe eines Passworts auf.
{--quiet | -Q}
Unterdrückt das Drucken des Hostpräfixes für jede Ausgabezeile.
{--serial | -s}
Führt Befehle seriell statt parallel aus.
{--storage | -S}
Führt Befehle von Speicher-Nodes aus.
{--transport | -t} <transport-type>
Gibt den Typ der Netzwerkübertragung an. Der Standardwert ist rpc. Gültige
Übertragungswerte sind rpc oder ssh.
{--throttle | -T} <setting>
Passt die Drosselung an. Um die Drosselung zu deaktivieren, geben Sie 0 an. Der
Standardwert ist 24.
{--exclude-nodes | -x} <nodes>
Schließt angegebene Nodes aus dem Befehl aus. Dieses Argument wird auf dieselbe
Weise wie die Option -n angegeben.
{--exclude-down-nodes | -X}
Schließt Offline-Nodes aus dem Befehl aus. Dieser Befehl kann nur lokal im Cluster
verwendet werden.
isi_for_array
151
Beispiel 1 Beispiele
Im SmartLock-Compliancemodus müssen Sie zur Ausführung von isi_for_array für
einen Befehl, für den Stammberechtigungen erforderlich sind, zweimal sudo angeben.
Mit dem folgenden Befehl wird „isi stat“ auf jedem Node in einem Compliancecluster
ausgeführt.
sudo isi_for_array -u compadmin sudo isi stat
isi get
Zeigt Informationen zu einer Gruppe von Dateien an, einschließlich des angeforderten
Schutzes und des aktuellen tatsächlichen Schutzes. Außerdem wird angegeben, ob die
Schreibzusammenführung aktiviert ist.
Der angeforderte Schutz wird in einer von drei Farben angezeigt: grün, gelb oder rot. Grün
bedeutet vollständiger Schutz. Gelb bedeutet heruntergestufter Schutz unter einer
Spiegelungs-Policy. Rot weist auf einen Verlust von einem oder mehreren Datenblöcken
unter einer Paritäts-Policy hin.
Syntax
isi get {{[-a] [-d] [-g] [-s] [{-D | -DD | -DDC}] [-R] <path>}
| {[-g] [-s] [{-D | -DD | -DDC}] [-R] -L <lin>}}
Optionen
-a
Zeigt die verborgenen „.“- und „..“-Einträge jedes Verzeichnisses an.
-d
Zeigt die Attribute eines Verzeichnisses anstelle der Inhalte an.
-g
Zeigt detaillierte Informationen an, einschließlich der Snapshot-Governance-Listen.
-s
Zeigt den Schutzstatus mit Wörtern anstelle von Farben an.
-D
Zeigt ausführlichere Informationen an.
-DD
Schließt Informationen zu Schutzgruppen und Security Descriptor-Eigentümern und Gruppen ein.
-DDC
Schließt CRC-Informationen (Cyclic Redundancy Check, zyklische Redundanzprüfung)
ein.
-R
Zeigt Informationen über die Unterverzeichnisse und Dateien der angegebenen
Verzeichnisse an.
<path>
Zeigt Informationen über die angegebene Datei oder das angegebene Verzeichnis an.
Geben Sie den Wert als Datei oder Verzeichnispfad an.
152
-L <lin>
Zeigt Informationen über die angegebene Datei oder das angegebene Verzeichnis an.
Geben Sie den Wert als Datei oder Verzeichnis-LIN an.
Beispiele
Mit dem folgenden Befehl werden Informationen zu ifs/home/ und allen
Unterverzeichnisse angezeigt:
isi get -R /ifs/home
POLICY
default
default
default
default
default
default
LEVEL
4x/2
8x/3
4x/2
4x/2
4x/2
4x/2
PERFORMANCE
concurrency
concurrency
concurrency
concurrency
concurrency
concurrency
COAL
on
on
on
on
on
on
FILE
./
../
admin/
ftp/
newUser1/
newUser2/
/ifs/home/admin:
default 4+2/2 concurrency on
.zshrc
/ifs/home/ftp:
default
4x/2 concurrency on
default
4x/2 concurrency on
incoming/
pub/
/ifs/home/ftp/incoming:
/ifs/home/ftp/pub:
/ifs/home/newUser1:
default 4+2/2 concurrency
on
on
on
on
on
on
on
on
on
.cshrc
.login
.login_conf
.mail_aliases
.mailrc
.profile
.rhosts
.shrc
.zshrc
/ifs/home/newUser2:
on
on
on
on
on
on
on
on
on
.cshrc
.login
.login_conf
.mail_aliases
.mailrc
.profile
.rhosts
.shrc
.zshrc
isi_gather_info
Erfasst die neuesten Clusterprotokollinformation und lädt sie auf SupportIQ hoch.
Es sind mehrere Instanzen von -i, -f, -s, -S und -1 zulässig.
Es können gather_expr und analysis_expr angegeben werden.
Das temporäre Standardverzeichnis ist /ifs/data/Isilon_Support/ (und kann mit
-L oder -T geändert werden).
isi_gather_info
153
Syntax
isi_gather_info
[-h]
[-v]
[-u <user>]
[-p <password>]
[-i]
[--incremental]
[-l]
[-f <filename>]
[-n <nodes>]
[--local-only]
[--skip-node-check]
[-s gather-script]
[-S gather-expr]
[-1 gather-expr]
[-a analysis-script]
[-A analysis-expr]
[-t <tarfile>]
[-x exclude_tool]
[-I]
[-L]
[-T <temp-dir>]
[--tardir <dir>]
[--symlinkdir <dir>]
[--varlog_recent]
[--varlog_all]
[--nologs]
[--group <name>]
[--noconfig]
[--save-only]
[--save]
[--upload]
[--noupload]
[--re-upload <filename>]
[--verify-upload]
[--http]
[--nohttp]
[--http-host <host>]
[--http-path <dir>]
[--http-proxy <host>]
[--http-proxy-port <port>]
[--ftp]
[--noftp]
[--ftp-user <user>]
[--ftp-pass <password>]
[--ftp-host <host>]
[--ftp-path <dir>]
[--ftp-port <alt-port>]
[--ftp-proxy <host>]
[--ftp-proxy-port <port>]
[--ftp-mode <mode>]
[--esrs]
[--email]
[--noemail]
[--email-addresses]
[--email-subject]
[--email-body]
[--skip-size-check]
Optionen
-h
Druckt diese Meldung und beendet den Vorgang.
-v
Druckt Versionsinformationen und beendet den Vorgang.
154
-u<user>
Legt für die Anmeldung <user> anstelle des Standardstammbenutzers fest.
-p<password>
Verwendet <password>.
-i
Schließt nur das aufgelistete Dienstprogramm ein. Eine Liste der einzuschließenden
Dienstprogramme finden Sie auch unter der Option -l. Der spezielle Wert all kann
verwendet werden, um jedes bekannte Dienstprogramm einzuschließen.
--incremental
Es werden nur die Protokolle erfasst, die seit dem letzten Protokollupload geändert
wurden.
-l
Listet Dienstprogramme und Gruppen auf, die eingeschlossen werden können.
Informationen finden Sie unter -i und --group.
-f<filename>
Erfasst <filename> von jedem Node. Der Wert muss ein absoluter Pfad sein.
-n<nodes>
Erfasst nur Informationen von den angegebenen Nodes. Nodes müssen als Liste oder
Bereich von LNNs angegeben werden, z. B. 1,4-10,12,14. Wenn keine Nodes
angegeben werden, wird das gesamte Array verwendet. Beachten Sie, dass
ausgefallene Nodes automatisch ausgeschlossen werden.
--local-only
Erfasst nur Informationen vom lokalen Node. Führen Sie diese Option aus, wenn Sie
Dateien aus dem Dateisystem /ifs erfassen.
--skip-node-check
Überspringt die Prüfung der Node-Verfügbarkeit.
-s gather-script
Führt <gather-script> auf jedem Node aus.
-S gather-expr
Führt <gather-expr> auf jedem Node aus.
-1 gather-expr
Führt <gather-expr> auf dem lokalen Node aus.
-a analysis-script
Führt <analysis-script> für Ergebnisse aus.
-A analysis-expr
Führt <analysis-expr> auf jedem Node aus.
-t<tarfile>
Speichert alle Ergebnisse in der angegebenen <tarfile> statt in der Standard-TAR-Datei.
-x exclude_tool
Schließt die angegebenen Tools von der Erfassung von jedem Node aus. Mehrere
Tools können als kommagetrennte Werte aufgelistet werden.
-I
Speichert Ergebnisse in /ifs. Dies ist die Standardeinstellung.
isi_gather_info
155
-L
Speichert alle Ergebnisse im lokalen Speicher /var/crash/support/.
-T<temp-dir>
Speichert alle Ergebnisse in <temp-dir> statt im Standardverzeichnis. -T setzt -L und
-l außer Kraft.
--tardir<dir>
Legt das endgültige Paket direkt im angegebenen Verzeichnis ab.
--symlinkdir<dir>
Erstellt eine symbolische Verknüpfung zum endgültigen Paket im angegebenen
Verzeichnis.
--varlog_recent
Erfasst alle Protokolle in /var/log, mit Ausnahme der komprimierten und rotierten
alten Protokollen. Bei der Standardeinstellung werden alle Protokolle erfasst.
--varlog_all
Erfasst alle Protokolle in /var/log, einschließlich komprimierter und rotierter alter
Protokolle. Dies ist die Standardeinstellung.
--nologs
Erfasst nicht die erforderliche Mindestanzahl von Protokollen.
--group<name>
Fügt eine bestimmte Gruppe von Dienstprogrammen zur TAR-Datei hinzu.
--noconfig
Verwendet integrierte Standardwerte und umgeht die Konfigurationsdatei.
--save-only
Speichert die von der CLI angegebene Konfiguration in einer Datei und beendet den
Vorgang.
--save
Speichert die von der CLI angegebene Konfiguration in einer Datei und führt sie aus.
--upload
Lädt Protokolle automatisch an den technischen Isilon-Support hoch. Dies ist die
Standardeinstellung.
--noupload
Gibt keinen automatischen Upload an den technischen Isilon-Support an.
--re-upload<filename>
Lädt die angegebene <filename> erneut hoch.
--verify-upload
Erstellt eine TAR-Datei und lädt diese hoch, um die Verbindung zu testen.
--http
Versucht einen HTTP-Upload. Dies ist die Standardeinstellung.
--nohttp
Gibt keinen HTTP-Uploadversuch an.
--http-host <host>
Gibt eine alternative HTTP-Site für Uploads an.
156
--http-path<dir>
Gibt ein alternatives HTTP-Uploadverzeichnis an.
--http-proxy<host>
Gibt den zu verwendenden Proxyserver an.
--http-proxy-port<port>
Gibt den zu verwendenden Proxyport an.
--ftp
Versucht einen FTP-Upload. Diese Einstellung ist der Standardwert.
--noftp
Gibt keinen FTP-Uploadversuch an.
--ftp-user<user>
Gibt einen alternativen Benutzer für FTP an (Standard: anonymous).
--ftp-pass<password>
Gibt ein alternatives Passwort für FTP an.
--ftp-host<host>
Gibt eine alternative FTP-Site für Uploads an.
--ftp-pathDIR
Gibt ein alternatives FTP-Uploadverzeichnis an.
--ftp-port<alt-port>
Gibt einen alternativen FTP-Port für Uploads an.
--ftp-proxy<host>
Gibt den zu verwendenden Proxyserver an.
--ftp-proxy-port<port>
Gibt den zu verwendenden Proxyport an.
--ftp-mode<mode>
Gibt den Modus der FTP-Dateiübertragung an. Die folgenden Werte sind gültig: both,
active, passive. Der Standardwert ist both.
--esrs
Versucht einen ESRS-Upload.
--email
Versucht einen SMTP-Upload. Wenn diese Option angegeben wird, wird zuerst ein
SMTP-Upload versucht.
--noemail
Gibt keinen SMTP-Uploadversuch an. Dies ist der Standardwert.
--email-addresses
Gibt E-Mail-Adressen als kommagetrennte Zeichenfolgen an.
--email-subject
Gibt einen alternativen E-Mail-Betreff an.
--email-body
Gibt einen alternativen E-Mail-Text an, der in der Kopfzeile des Textteils angezeigt
wird.
--skip-size-check
isi_gather_info
157
Führt keine Prüfung der Größe der erfassten Datei durch.
Ereignisbefehle
Sie können die Einstellungen für OneFS-Ereignis- und Benachrichtigungsregeln mithilfe
der Ereignisbefehle konfigurieren und darauf zugreifen. Die Ausführung von isi
events ohne Unterbefehle entspricht der Ausführung von isi events list.
isi events cancel
Bricht Ereignisse ab.
Syntax
isi events cancel --instanceids <id>
Optionen
{--instanceids | -i} {<id> | <id,id,id...>}
Gibt die Instanz-ID des Ereignisses an, das abgebrochen werden soll.
Gibt mehrere Ereignisinstanzen in einer kommagetrennten Liste an.
Mit all können Sie alle Ereignisinstanzen angeben.
isi events list
Zeigt eine Liste der Systemereignisse an.
Syntax
isi events list
[--oldest {-<rel-time> | <spec-time>}]
[--newest {-<rel-time> | <spec-time>}]
[--history]
[--coalesced]
[--severity <value>]
[--limit <integer>]
[--localdb]
[--nodes <node>]
[--types <integer>]
[--columns <column>]
[--sort-by <column>]
[--csv]
[--wide]
Optionen
{--oldest | -o} {-<rel-time> | <spec-time>}
Zeigt nur Ereignisse an, deren Startzeit nach einem bestimmten Datum und einer
bestimmten Uhrzeit liegt.
Geben Sie -<rel-time> im folgenden Format an, wobei „d“, „h“ und „m“ für Tage,
Stunden und Minuten stehen:
<integer>{d | h | m}
158
Geben Sie <spec-time> im folgenden Format an, wobei „<mm>/<dd>/]YYYY <HH>:<MM>“
die numerischen Werte für Monat, Tag, Jahr, Stunde und Minute sind:
<mm>/<dd>/]YYYY <HH>:<MM>
{--newest | -n} {-<rel-time> | <spec-time>
Zeigt nur Ereignisse an, deren Startzeit nach einem bestimmten Datum und einer
bestimmten Uhrzeit liegt.
Geben Sie -<rel-time> im folgenden Format an, wobei „d“, „h“ und „m“ für Tage,
Stunden und Minuten stehen:
<integer>{d | h | m}
Geben Sie <spec-time> im folgenden Format an, wobei „<MM>/<DD>/]YYYY <hh>:<mm>“
die numerischen Werte für Monat, Tag, Jahr, Stunde und Minute sind:
<MM>/<DD>/]YYYY <hh>:<mm>
{--history | -s}
Ruft nur historische Ereignisse ab, also Ereignisse, die ein Enddatum haben oder sich
im Ruhemodus befinden.
{--coalesced | -C}
Schließt zusammengeführte Ereignisse in die Ergebnissen ein.
{--severity} | -v}<value>
Ruft Ereignisse für eines oder mehrere angegebene Level ab. Mehrere Level können in
einer kommagetrennten Liste angegeben werden. Die folgenden Werte sind gültig:
info
warn
critical
emergency
{--limit | -L} <integer>
Beschränkt die Ergebnisse auf die angegebene Anzahl von Ereignissen.
{--localdb | -l}
Verwendet die lokale Datenbank, nicht die Masterdatenbank.
--nodes<node>
Gibt an, für welche Nodes Statistiken gemeldet werden sollen. Der Standardwert
lautet all. Die folgenden Werte sind gültig:
l
all
l
<int>
l
<int>-<int>
{--types | -i} <integer>
Ruft alle Instanzen der aufgelisteten Ereignistypen ab. Mehrere Typen können in einer
{--columns| -c}<column>
Gibt Ereignislistenspalten in einer kommagetrennten Liste an. Die folgenden Werte
sind gültig:
type
isi events list
159
id
coalesce_id
start_time
end_time
lnn
severity
value
quiet
message
{--sort-by | -b} <column>
Gibt an, nach welcher Spalte die Zeilen sortiert werden sollen. Die Standardspalte für
die Sortierung ist „start_time“.
--csv
Zeigt Zeilen im CSV-Format an und unterdrückt Kopfzeilen.
{--wide | -w}
Zeigt die Tabelle im Breitformat ohne Kürzungen an.
isi events notifications create
Erstellt eine neue Ereignisbenachrichtigungsregel. Die Parameter für
Benachrichtigungsregeln müssen der Reihe nach erstellt werden. Beispiel: Die Angabe
des Parameters --exclude nach Angabe des Parameters --include ist nicht das
Gleiche wie die Angabe von --include vor --exclude.
Syntax
isi events notifications create --name <name>
[--email <email-address>]
[--snmp
<SNMP-community>@<<SNMP host>]
[--include-all <id>[,<id>]]
[--include-info <id>[,<id>]]
[--include-warn <id>[,<id>]]
[--include-critical <id>[,<id>]]
[--include-emergency <id>[,<id>]]
[--exclude-all <id>[,<id>]]
[--exclude-info <id>[,<id>]]
[--exclude-warn <id>[,<id>]]
[--exclude-critical <id>[,<id>]]
[--exclude-emergency <id>[,<id>]]
Optionen
--name<name>
Gibt den Namen der zu erstellenden Benachrichtigungsregel an.
--email<email-address>
Gibt die E-Mail-Adresse an, an die SNMP-Ereignisse gesendet werden. Mehrere EMail-Adressen können durch Kommas getrennt werden.
--snmp <SNMP-community>@<SNMP host>
Gibt die SNMP-Community und den SNMP-Hostnamen an, an die SNMP-Ereignisse
gesendet werden. Community und Hostname werden durch das Symbol @
160
verbunden. Mehrere Einträge können in einer kommagetrennten Liste angegeben
werden.
--include-all<id>[,<id>]
Konfiguriert die angegebenen Ereignisse für alle Schweregrade (info, warn, critical,
emergency).Mit --include=all konfigurieren Sie alle Ereignisse für alle
Schweregrade.
--include-info<id>[,<id>]
Konfiguriert die angegebenen Ereignisse für den Schweregrad „info“.Mit -include-info=all konfigurieren Sie alle Ereignisse für den Schweregrad „info“.
--include-warn<id>[,<id>]
Konfiguriert die angegebenen Ereignisse für den Schweregrad „warn“.Mit -include-warn=all konfigurieren Sie alle Ereignisse für den Schweregrad „warn“.
--include-critical<id>[,<id>]
Konfiguriert die angegebenen Ereignisse für den Schweregrad „critical“.Mit -include-critical=all konfigurieren Sie alle Ereignisse für den Schweregrad
„critical“.
--include-emergency<id>[,<id>]
Konfiguriert die angegebenen Ereignisse für den Schweregrad „emergency“.Mit -include-critical=all konfigurieren Sie alle Ereignisse für den Schweregrad
„emergency“.
--exclude-all<id>[,<id>]
Schließt die angegebenen Ereignisse für alle Schweregrade aus (info, warn, critical,
emergency).Mit --exclude-all=all werden alle konfigurierten Ereignisse
ausgeschlossen.
--exclude-info<id>[,<id>]
Schließt die angegebenen Ereignisse für den Schweregrad „info“ aus.Mit -exclude-info=all werden alle Ereignisse des Schweregrads „info“
ausgeschlossen.
--exclude-warn<id>[,<id>]
Schließt die angegebenen Ereignisse für den Schweregrad „warn“ aus.Mit -exclude-warn=all werden alle Ereignisse des Schweregrads „warn“
ausgeschlossen.
--exclude-critical<id>[,<id>]
Schließt die angegebenen Ereignisse für den Schweregrad „critical“ aus.Mit -exclude-critical=all werden alle Ereignisse des Schweregrads „critical“
ausgeschlossen.
--exclude-emergency<id>[,<id>]
Schließt die angegebenen Ereignisse für den Schweregrad „emergency“ aus.Mit -exclude-emergency=all werden alle Ereignisse des Schweregrads „emergency“
ausgeschlossen.
isi events notifications modify
Ändert eine Ereignisbenachrichtigungsregel. Die Parameter für Benachrichtigungsregeln
müssen der Reihe nach erstellt werden.
isi events notifications modify
161
Syntax
isi events notifications modify <name>
[--email <email-address>]
[--snmp
<SNMP-community>@<<SNMP host>]
[--add-all <id>[,<id>]]
[--add-info <id>[,<id>]]
[--add-warn <id>[,<id>]]
[--add-critical <id>[,<id>]]
[--add-emergency <id>[,<id>]]
[--delete-all <id>[,<id>]]
[--delete-info <id>[,<id>]]
[--delete-warn <id>[,<id>]]
[--delete-critical <id>[,<id>]]
[--delete-emergency <id>[,<id>]]
Optionen
<name>
Gibt den Namen der zu ändernden Benachrichtigungsregel an.
--target-name<name>
Gibt einen neuen Namen für die Benachrichtigungsregel an.
--email<email-address>
Gibt die E-Mail-Adresse an, an die SNMP-Ereignisse gesendet werden. Mehrere EMail-Adressen können durch Kommas getrennt werden.
--snmp <SNMP-community>@<SNMP host>
Gibt die SNMP-Community und den SNMP-Hostnamen an, an die SNMP-Ereignisse
gesendet werden. Community und Hostname werden durch das Symbol @
verbunden. Mehrere Einträge können in einer kommagetrennten Liste angegeben
werden.
--add-all<id>[,<id>]
Konfiguriert die angegebenen Ereignisse für alle Schweregrade (info, warn, critical,
emergency).Mit --add=all konfigurieren Sie alle Ereignisse für alle Schweregrade.
--add-info<id>[,<id>]
Konfiguriert die angegebenen Ereignisse für den Schweregrad „info“.Mit --addinfo=all konfigurieren Sie alle Ereignisse für den Schweregrad „info“.
--add-warn<id>[,<id>]
Konfiguriert die angegebenen Ereignisse für den Schweregrad „warn“.Mit --addwarn=all konfigurieren Sie alle Ereignisse für den Schweregrad „warn“.
--add-critical<id>[,<id>]
Konfiguriert die angegebenen Ereignisse für den Schweregrad „critical“.Mit --addcritical=all konfigurieren Sie alle Ereignisse für den Schweregrad „critical“.
--add-emergency<id>[,<id>]
Konfiguriert die angegebenen Ereignisse für den Schweregrad „emergency“.Mit -add-critical=all konfigurieren Sie alle Ereignisse für den Schweregrad
„emergency“.
--delete-all<id>[,<id>]
Schließt die angegebenen Ereignisse für alle Schweregrade aus (info, warn, critical,
emergency).Mit --deletes-all=all werden alle konfigurierten Ereignisse
ausgeschlossen.
162
--delete-info<id>[,<id>]
Schließt die angegebenen Ereignisse für den Schweregrad „info“ aus. --deletesinfo=all löscht alle Ereignisse für den Schweregrad „info“.
--delete-warn<id>[,<id>]
Schließt die angegebenen Ereignisse für den Schweregrad „warn“ aus. --deleteswarn=all löscht alle Ereignisse für den Schweregrad „warn“.
--delete-critical<id>[,<id>]
Schließt die angegebenen Ereignisse für den Schweregrad „critical“ aus. -deletes-critical=all löscht alle Ereignisse für den Schweregrad „critical“.
--delete-emergency<id>[,<id>]
Schließt die angegebenen Ereignisse für den Schweregrad „emergency“ aus. -deletes-emergency=all löscht alle Ereignisse für den Schweregrad
„emergency“ .
isi events notifications delete
Löscht eine Benachrichtigungsregel.
Syntax
isi events notifications delete --name <name>
Optionen
{--name | -n} <name>
Gibt den Namen der zu löschenden Benachrichtigungsregel an.
Zeigt eine Liste der Einstellungen für Benachrichtigungsregeln an.
Syntax
[--name <name>]
Optionen
Gibt den Namen der Ereignisbenachrichtigungsregel an.
isi events quiet
Mit diesem Befehl wird ein Ereignis markiert und in den Ruhemodus versetzt. Ein
Ereignis, das sich im Ruhemodus befindet, wird bestätigt, wenn es markiert wird. Das
Ereignis wird nicht entfernt oder abgebrochen.
Syntax
isi events quiet --instanceids <id>
isi events notifications delete
163
Optionen
{--instanceids | -i} [<id> | <id,id,id...>]
Gibt die Instanz-ID des Ereignisses an, das in den Ruhemodus versetzt werden soll.
Gibt mehrere Ereignisinstanzen in einer kommagetrennten Liste an.
Mit all können Sie alle Ereignisinstanzen angeben.
isi events sendtest
Sendet eine Testereignisbenachrichtigung, um die Einstellungen für
Ereignisbenachrichtigungen zu überprüfen.
Syntax
isi events sendtest
--wait
Optionen
{--wait | -w}
Gibt eine Wartezeit für das Vorhandensein eines Ereignisses in der Masterdatenbank
an.
isi events settings list
Zeigt eine Liste der globalen Einstellungen und Werte an.
Syntax
isi events settings list --name <name>
Optionen
Gibt den Namen der anzuzeigenden Einstellung an.
isi events settings set
Ändert die Werte der globalen Einstellungen.
Syntax
isi events settings set --name <name> --value <value>
Optionen
Gibt den Namen der zu ändernden Einstellung an.
{--value | -v} <value>
Gibt den neuen Wert für die angegebene Einstellung an.
isi events show
Zeigt Informationen für ein Ereignis an.
164
Syntax
isi events show --instanceid <id>
[--wide]
[--localdb]
Optionen
{--instanceid | -i} <id>
Gibt die ID des anzuzeigenden Ereignisses an.
{--wide | -w}
Zeigt die Ereignisinformationen im Breitformat an.
{--localdb | -l}
Verwendet „localdb“ anstelle von „master“.
isi events unquiet
Setzt ein in den Ruhemodus versetztes Ereignis in einen unbestätigten Status zurück.
Syntax
isi events unquiet --instanceid <id>
Optionen
{--instanceid | -i} {<id> | <id,id,id...>}
Instanz-ID des Ereignisses, für das Sie den Ruhemodus aufheben möchten.
Mehrere Ereignisinstanzen können in einer kommagetrennten Liste angegeben
werden.
Mit der Option all werden alle Ereignisinstanzen angegeben.
Hardwarebefehle
Über die Hardwarebefehle können Sie den Status der Clusterhardware, einschließlich
spezieller Node-Komponenten, überprüfen.
isi batterystatus
Zeigt den aktuellen Status der NVRAM-Akkus und Ladesysteme auf der Node-Hardware
an, die diese Funktion unterstützt.
Syntax
isi batterystatus
Optionen
Für diesen Befehl stehen keine Optionen zur Verfügung.
isi events unquiet
165
Beispiele
Um den aktuellen Status von NVRAM-Akkus und Ladesystemen anzuzeigen, führen Sie
den folgenden Befehl aus:
isi batterystatus
battery 1 : Good (10)
battery 2 : Good (10)
Wenn die Node-Hardware nicht kompatibel ist, ähnelt die Systemausgabe dem folgenden
Beispiel:
Battery status not supported on this hardware.
isi devices
Zeigt Informationen zu Geräten im Cluster an und ändert ihren Status.
Syntax
isi devices
[--action <action>]
[--device {<LNN>:<drive> | <node-serial>}]
[--grid]
[--log <syslog-tag>]
[--timeout <timeout>]
Optionen
Wenn für diesen Befehl keine Optionen angegeben werden, wird der aktuelle Status des
lokalen Node angezeigt.
--action<action>
Gibt die auf einem Zielgerät auszuführende Aktion an.
Die folgenden Aktionen sind verfügbar:
status
Zeigt den Status des angegebenen Geräts an.
smartfail
Führt einen SmartFail-Prozess für den angegebenen Node oder das angegebene
Laufwerk durch.
stopfail
Beendet den SmartFail-Prozess auf dem angegebenen Node. Wenn der Node
nach wie vor mit dem Cluster verbunden ist, wird er in einen fehlerfreien Zustand
zurückversetzt. Wenn der Node aus dem Cluster entfernt wurde, wird er in einen
unterbrochenen Status versetzt.
add
Fügt dem Cluster den angegebenen Node oder das angegebene Laufwerk hinzu.
format
Formatiert das angegebene Laufwerk.
fwstatus
Zeigt den Firmwarestatus der Laufwerke an.
fwupdate
Aktualisiert die Firmware der Laufwerke.
166
discover
Überprüft das interne Clusternetzwerk auf Nodes, die dem Cluster nicht
hinzugefügt wurden.
confirm
Zeigt den Verbindungsstatus des Node an.
queue
Reiht den angegebenen Node in eine Warteschlange ein, damit er dem Cluster
hinzugefügt wird. Sobald der Node mit dem internen Clusternetzwerk verbunden
ist, wird er dem Cluster automatisch hinzugefügt. Geben Sie --device als
Seriennummer des Node an.
unqueue
Entfernt den angegebenen Node aus der Warteschlange der Nodes, die dem
Cluster hinzugefügt werden sollen. Wenn der Node mit dem internen
Clusternetzwerk verbunden ist, wird er dem Cluster nicht automatisch
hinzugefügt. Geben Sie --device als Seriennummer des Node an.
queuelist
Zeigt die Liste der Nodes an, die sich in der Warteschlange befinden und dem
Cluster hinzugefügt werden sollen.
{--device | -d} {<LNN>:<drive> | <node-serial>}
Legt das Zielgerät fest, auf dem eine Aktion durchgeführt werden soll. Wenn nur
<LNN>: angegeben wird, wird die Aktion für den gesamten Node durchgeführt. Wenn
nur <drive> angegeben wird, wird die Aktion für das angegebene Laufwerk im lokalen
Node durchgeführt.
Für <drive> sind die folgenden Werte gültig:
<N>
In diesem Fall ist <N> eine gültige Bay-Nummer.
bay<N>
In diesem Fall ist <N> eine gültige Bay-Nummer.
lnum<N> In diesem Fall ist <N> eine gültige lnum-Nummer.
Geben Sie <node-serial> als Seriennummer des Node an.
{--grid | -g}
Formatiert die angeforderte Systemausgabe und zeigt diese in einem Raster an, um
das physische Layout der Laufwerksschächte im Node-Gehäuse darzustellen.
{--log | -L} <syslog-tag>
Wenn der Befehl erfolgreich ausgeführt wird, wird die Befehlsausgabe mit dem
angegebenen Tag markiert und unter /var/log/messages protokolliert. Diese
Option ist nur gültig, wenn eine der folgenden Aktionen durchgeführt wird:
smartfail, stopfail, add, format, purpose, fwupdate, queue, unqueue,
queuelist.
{--timeout | -t} <timeout>
Legt eine Timeout-Begrenzung für den Erfassungszeitraum der Clusterinformationen
fest.
isi servicelight status
Gibt an, ob die LED-Betriebsanzeige auf der Rückseite eines Node ein- oder ausgeschaltet
ist.
167
Syntax
Optionen
Beispiele
Um den Status der Betriebsanzeige anzuzeigen, führen Sie den folgenden Befehl aus:
The service LED is off
isi servicelight off
Schaltet die LED-Betriebsanzeige auf der Rückseite eines Node aus.
Syntax
Optionen
Beispiele
Um die LED-Betriebsanzeige auf der Rückseite eines Node auszuschalten, führen Sie den
folgenden Befehl aus:
isi servicelight on
Schaltet die LED-Betriebsanzeige auf der Rückseite eines Node ein.
Syntax
isi servicelight on
Optionen
Beispiele
Um die LED-Betriebsanzeige auf der Rückseite eines Node einzuschalten, führen Sie den
isi servicelight on
Zeigt den Status der Laufwerksfirmware auf dem Cluster an.
168
Syntax
[--action <action>]
[--device <node>:<drive>]
[--grid]
[--log <syslog-tag>]
[--timeout <timeout>]
Optionen
Wenn für diesen Befehl keine Optionen angegeben werden, wird der aktuelle Status der
Laufwerksfirmware des lokalen Node angezeigt.
{--local | -L}
Zeigt nur Informationen zum lokalen Node an.
{--diskless | -D}
Zeigt nur Informationen zu Nodes ohne Laufwerke an, z. B. Accelerators.
{--storage | -S}
Zeigt nur Informationen zu Speicher-Nodes an.
{--include-nodes | -n} <nodes>
Zeigt nur Informationen zu den angegebenen Nodes an.
Zeigt Informationen zu allen Nodes mit Ausnahme der angegebenen an.
--verbose
isi firmware package
Zeigt Informationen zum installierten Firmwarepaket an.
Syntax
[--local]
[--diskless]
[--storage]
[--include-nodes <nodes>]
Optionen
{--local | -L}
{--diskless | -D}
{--storage | -S}
169
Beispiele
Um den Status der gesamten Firmware anzuzeigen, führen Sie den folgenden Befehl aus:
isi firmware status
Um Informationen zu den Firmwarepaketen aus allen Speicher-Nodes im Cluster
anzuzeigen, führen Sie den folgenden Befehl aus:
isi firmware package --storage
isi firmware status
Zeigt Informationen zu Firmwaretypen und -versionen an.
Syntax
isi firmware status
[--local]
[--diskless]
[--storage]
[--include-device <device>]
[--exclude-device <device>]
[--include-type <device-type>]
[--exclude-type <device-type>]
[--save]
[--verbose]
Optionen
{--local | -L}
{--diskless | -D}
{--storage | -S}
{--include-device | -d} <device>
Zeigt nur Informationen zum angegebenen Gerät an.
--exclude-device<device>
Zeigt Informationen zu allen Geräten mit Ausnahme der angegebenen an.
{--include-type | -t} <device-type>
Zeigt nur Informationen zum angegebenen Gerätetyp an.
--exclude-type<device-type>
Zeigt Informationen zu allen Gerätetypen mit Ausnahme der angegebenen an.
--save
Speichert die Ausgabe des Status unter /etc/ifs/firmware_versions.
170
{--verbose | -v}
Beispiele
Um Informationen zum Firmwarepaket der Nodes 2 und 3 anzuzeigen, führen Sie den
isi firmware status --include-nodes 2,3
Device
-- -----------IsilonIB
Lsi
Type
--------Network
DiskCtrl
Firmware
--------------------------------4.8.930+205-0002-05_A
6.28.00.00+01.28.02.00+1.17+0.99c
Nodes
----2-3
2-3
Um Informationen zum Firmwarepaket für den Netzwerkgerätetyp anzuzeigen, führen Sie
isi firmware status --include-type network
Device
-- -----------IsilonIB
Type
--------Network
Firmware
Nodes
------------------------- ------------4.8.930+205-0002-05_A
1-6
isi firmware update
Aktualisiert Firmware auf Geräten im Cluster, sodass sie der Firmware im installierten
Firmwarepaket entspricht.
Jeder Node wird einzeln aktualisiert. Jeder Node wird bei der Aktualisierung neu gestartet.
Das System startet die Aktualisierung für den nächsten Node erst dann, wenn der
vorherige Node dem Cluster erneut hinzugefügt wurde.
Syntax
isi firmware update
[--local]
[--diskless]
[--storage]
[--include-device <device>]
[--exclude-device <device>]
[--include-type <device-type>]
[--exclude-type <device-type>]
[--force]
[--verbose]
Optionen
{--local | -L}
Aktualisiert nur den lokalen Node.
{--diskless | -D}
Aktualisiert nur Nodes ohne Laufwerke, z. B. Accelerators.
{--storage | -S}
isi firmware update
171
Aktualisiert nur Speicher-Nodes.
Aktualisiert nur die angegebenen Nodes.
Aktualisiert alle Nodes mit Ausnahme der angegebenen.
{--include-device | -d} <device>
Aktualisiert nur das angegebene Gerät.
--exclude-device<device>
Aktualisiert alle Geräte mit Ausnahme der angegebenen.
{--include-type | -t} <device-type>
Aktualisiert nur den angegebenen Gerätetyp.
--exclude-type<device-type>
Aktualisiert alle Gerätetypen mit Ausnahme der angegebenen.
--force
Erzwingt die Aktualisierung.
{--verbose | -v}
Beispiele
Um die Firmware auf Nodes 2 und 3 zu aktualisieren, führen Sie den folgenden Befehl
aus:
isi firmware update --include-nodes 2,3
Um nur die Firmware für den Netzwerkgerätetyp zu aktualisieren, führen Sie den
isi firmware update --include-type network
isi readonly off
Legt den Lese-/Schreibmodus für Nodes fest.
Mit diesem Befehl werden nur benutzerdefinierte Anforderungen für den
schreibgeschützten Modus gelöscht. Wenn der Node vom System in den
schreibgeschützten Modus versetzt wurde, verbleibt er so lange in diesem Modus, bis die
Bedingungen, die den schreibgeschützten Modus ausgelöst haben, nicht mehr
vorhanden sind.
Syntax
isi readonly off
[--nodes <nodes>]
[--verbose]
Optionen
Wenn keine Optionen angegeben werden, wird für den lokalen Node der Lese-/
Schreibmodus festgelegt.
--nodes<nodes>
172
Gibt die Nodes an, auf die Lese-/Schreibeinstellungen angewendet werden sollen.
Für <nodes> sind die folgenden Werte gültig:
l
all
l
*
l
<int>
l
<int>-<int>
Mehrere Werte können in einer kommagetrennten Liste angegeben werden.
{--verbose | -v}
Beispiele
Um Lese-/Schreibeinstellungen auf jeden Node im Cluster anzuwenden, führen Sie den
isi readonly off --nodes all
Read-only changes committed successfully
Mit dem Befehl isi readonly show bestätigen Sie die Lese-/Schreibeinstellungen
des Clusters. Die Systemausgabe ähnelt dem folgenden Beispiel:
node
---1
2
3
4
5
6
mode
-----------read/write
read/write
read/write
read/write
read/write
read/write
status
----------------------------------------------
isi readonly on
Legt den schreibgeschützten Modus für Nodes fest.
Wenn der schreibgeschützte Modus für diesen Node derzeit nicht zulässig ist, wird der
Lese-/Schreibmodus beibehalten, bis der schreibgeschützte Modus wieder zulässig ist.
Syntax
isi readonly on
[--nodes <nodes>]
[--verbose]
Optionen
Wenn keine Optionen angegeben werden, wird für den lokalen Node der
schreibgeschützte Modus festgelegt.
--nodes<nodes>
Gibt die Nodes an, auf die Schreibschutzeinstellungen angewendet werden sollen.
Für <nodes> sind die folgenden Werte gültig:
l
all
l
*
isi readonly on
173
l
<int>
l
<int>-<int>
Mehrere Werte können in einer kommagetrennten Liste angegeben werden.
{--verbose | -v}
Beispiele
Um die Schreibschutzeinstellungen auf jeden Node im Cluster anzuwenden, führen Sie
isi readonly on --nodes all
Read-only changes committed successfully
Mit dem Befehl isi readonly show bestätigen Sie die Schreibschutzeinstellungen
des Clusters. Die Systemausgabe ähnelt dem folgenden Beispiel:
node
---1
2
3
4
5
6
mode
-----------read-only
read-only
read-only
read-only
read-only
read-only
status
---------------------------------------------user-ui
user-ui
user-ui
user-ui
user-ui
user-ui
isi readonly show
Zeigt eine Liste mit Schreibschutzeinstellungen für das Cluster an.
Syntax
isi readonly show
Optionen
Beispiele
Um die Schreibschutzeinstellungen für das Cluster anzuzeigen, führen Sie den folgenden
Befehl aus:
isi readonly show
node
---1
2
3
4
5
6
174
mode
-----------read/write
read/write
read/write
read/write
read/write
read/write
status
----------------------------------------------
KAPITEL 5
Zugriffszonen
l
l
l
l
l
l
l
Zugriffszonen – Überblick ...................................................................................176
Basisverzeichnisregeln für Zugriffszonen............................................................ 176
Best Practices für Zugriffszonen.......................................................................... 177
Grenzwerte für Zugriffszonen...............................................................................178
Quality of Service................................................................................................ 178
Managen von Zugriffszonen................................................................................ 179
Zugriffszonenbefehle.......................................................................................... 181
Zugriffszonen
175
Zugriffszonen
Zugriffszonen – Überblick
Obwohl die Standardansicht eines EMC Isilon-Clusters eine physische Maschine anzeigt,
haben Sie die Möglichkeit, ein Cluster in mehrere virtuelle Container zu partitionieren, die
als Zugriffszonen bezeichnet werden. Zugriffszonen ermöglicht es Ihnen, Daten zu
isolieren und zu steuern, wer Zugriff auf Daten in jeder Zone hat.
Zugriffszonen unterstützen alle Konfigurationseinstellungen für die Authentifizierung
sowie Identitätsmanagementservices auf einem Cluster, sodass Sie auf Zonenbasis
Authentifizierungsanbieter konfigurieren und SMB-Shares und NFS-Exporte bereitstellen
können. Wenn Sie eine Zugriffszone erstellen, wird automatisch ein lokaler Anbieter
erstellt, der es Ihnen ermöglicht, jede Zugriffszone mit einer Liste lokaler Benutzer und
Gruppen zu konfigurieren. Des Weiteren können Sie für die Authentifizierung in jeder
Zugriffszone einen anderen Authentifizierungsanbieter verwenden.
Um den Datenzugriff zu steuern, können Sie eingehende Verbindungen durch einen
bestimmten IP-Adressenpool zur Zugriffszone leiten. Durch die Verknüpfung einer
Zugriffszone mit einem IP-Adressenpool wird die Authentifizierung in der zugehörigen
Zugriffszone eingeschränkt und die Anzahl der verfügbaren und zugänglichen SMBShares und NFS-Exporte wird verringert. Ein weiterer Vorteil von mehreren Zugriffszonen
ist die Möglichkeit, Auditprotokolldateizugriff für einzelne Zugriffszonen zu konfigurieren.
Sie können die Standardliste erfolgreicher und fehlgeschlagener Protokollauditevents
ändern und dann für eine einzelne Zugriffszone Berichte über ein Drittanbietertool
erstellen.
Ein Cluster beinhaltet eine integrierte Zugriffszone mit Namen „System“, in der Sie alle
Aspekte eines Clusters und anderer Zugriffszonen managen. Standardmäßig verbinden
sich alle Cluster-IP-Adressen mit der Systemzone. Selbst wenn Sie zusätzliche
Zugriffszonen erstellen, konfigurieren Sie alle Zugriffszonen in der Systemzone.
Rollenbasierter Zugriff, der in erster Linie Konfigurationsaktionen ermöglicht, ist nur über
die Systemzone verfügbar. Alle Administratoren, einschließlich derjenigen mit
bestimmten Rollenberechtigungen, müssen eine Verbindung zur Systemzone herstellen,
um ein Cluster zu konfigurieren.
Konfigurationsmanagement über eine Zugriffszone, die nicht die Systemzugriffszone ist,
ist weder über SSH, noch die OneFS-Plattform-API oder die Webverwaltungsschnittstelle
zulässig. Sie können SMB-Shares in einer Zugriffszone jedoch über die Microsoft
Management Console (MMC) erstellen und löschen.
Basisverzeichnisregeln für Zugriffszonen
Sie müssen jeder Zugriffszone ein Basisverzeichnis zuweisen. Ein Basisverzeichnis
definiert die Dateisystemstruktur, die durch eine Zugriffszone zugänglich wird, und
isoliert Daten, die im Verzeichnis für die Zugriffszone enthalten sind.
Ein Basisverzeichnispfad ist für jede Zugriffszone eindeutig und kann sich nicht mit
Basisverzeichnissen anderer Zugriffszonen überschneiden oder in diese verschachtelt
sein.
Basisverzeichnisse schränken Konfigurationsoptionen für verschiedene Funktionen wie
SMB-Share-Pfade, NFS-Exporte, das HDFS-Stammverzeichnis und die
Stammverzeichnisvorlage für lokale Anbieter ein. Sie müssen die folgenden Regeln zu
beachten, wenn Sie ein Basisverzeichnis angeben:
l
176
Das Basisverzeichnis darf nicht identisch mit dem Basisverzeichnis einer anderen
Zugriffszone sein, mit Ausnahme der Systemzone. Sie können beispielsweise
nicht /ifs/data/hr für die Zugriffszonen zone2 und zone3 angeben.
Zugriffszonen
l
Es darf sich nicht mit der Dateisystemstruktur eines Basisverzeichnisses in anderen
Zugriffszonen überlappen, außer der Systemzone. Beispiel: Wenn /ifs/data/hr
zone2 zugewiesen ist, können Sie /ifs/data/hr/personnel nicht zone3
zuweisen.
l
Das standardmäßige Basisverzeichnis für die Systemzugriffszone ist /ifs . Es kann
nicht geändert werden.
Hinweis
Das Zuweisen eines Basisverzeichnisses, das identisch mit der Systemzone ist oder mit
ihr überlappt, ist zulässig, wird aber nur als temporäres Basisverzeichnis empfohlen,
wenn der Basisverzeichnispfad geändert wird und die Daten in das neue
Basisverzeichnis migriert werden.
Best Practices für Zugriffszonen
Sie können Konfigurationsprobleme auf dem EMC Isilon-Cluster vermeiden, wenn Sie
Zugriffszonen gemäß den folgenden Best Practices erstellen.
Best Practice
Details
Erstellen Sie eindeutige
Basisverzeichnisse.
Der Basisverzeichnispfad jeder Zugriffszone muss
eindeutig sein und darf nicht mit dem Basisverzeichnis
einer anderen Zugriffszone überlappen oder in ihr
verschachtelt sein.
Trennen Sie die Funktion der
Systemzone von anderen
Zugriffszonen.
Wenn Sie zusätzliche Zugriffszonen erstellen, gestatten
Sie keinen Datenzugriff in der Systemzone und den
erstellten Zonen. Reservieren Sie die Systemzone für
den Konfigurationszugriff und erstellen Sie zusätzliche
Zonen für den Datenzugriff. Verschieben Sie aktuelle
Daten aus der Systemzone und in eine neue
Zugriffszone.
Erstellen Sie Zugriffszonen, um den
Datenzugriff für mehrere Clients oder
Benutzer zu isolieren.
Erstellen Sie keine Zugriffszonen, wenn für einen
Workflow die Datenfreigabe zwischen unterschiedlichen
Client- oder Benutzerklassen erforderlich ist.
Weisen Sie jeder Zugriffszone nur
einen Authentifizierungsanbietertyp
zu.
Eine Zugriffszone ist auf einen einzigen Active DirectoryAnbieter begrenzt; OneFS lässt jedoch mehrere LDAP-,
NIS- und Dateiauthentifizierungsanbieter in jeder
Zugriffszone zu. Es wird empfohlen, dass Sie nur eine Art
jedes Anbieters pro Zugriffszone zuordnen, um die
Administration zu vereinfachen.
Vermeiden Sie überschneidende UIDoder GID-Bereiche für
Authentifizierungsanbieter in
derselben Zugriffszone.
Das Potenzial für Zonenzugriffskonflikte ist klein aber
vorhanden, wenn überschneidende UIDs/GIDs in
derselben Zugriffszone vorhanden sind.
Konfigurieren Sie einen einzigen DNSServer für alle Zugriffszonen.
OneFS unterstützt nicht einen DNS-Server pro
Zugriffszone. Es wird empfohlen, dass alle Zugriffszonen
auf einen einzigen DNS-Server verweisen.
Best Practices für Zugriffszonen
177
Zugriffszonen
Grenzwerte für Zugriffszonen
Sie können Richtlinien zu Grenzwerten für Zugriffszonen befolgen, um die Workloads des
OneFS-Systems zu optimieren.
Wenn Sie auf einem EMC Isilon-Cluster mehrere Zugriffszonen konfigurieren, werden für
eine optimale Systemperformance bestimmte Richtlinien zu Grenzwerten empfohlen. Die
in der folgenden Tabelle beschriebenen Grenzwerte werden für anspruchsvolle
Unternehmensworkflows empfohlen. Dabei wird jede Zugriffszone als separate physische
Maschine behandelt. Weitere Informationen über Grenzwerte für EMC Isilon-Cluster
finden Sie unter EMC Isilon Guidelines for Large Workloads.
Entity
Empfohlener Grenzwert pro Cluster
Zugriffszonen
20
Active Directory-Anbieter
20
LDAP-Anbieter
20
NIS-Anbieter
20
Lokale Anbieter
20
Dateianbieter
20
Kerberos-Anbieter
20
SMB-Freigaben pro Zugriffszone Ein Cluster darf 30000 SMB-Shares über alle Zugriffszonen
nicht überschreiten.
Hinweis
Der Zugriff wird verweigert, wenn versucht wird, eine Verbindung zu einer IP-Adresse
einer systemfremden Zugriffszone über eines der folgenden Konfigurationspfad- und
Datenpfadprotokolle herzustellen:
l
SSH
l
HTTP
l
FTP
l
WebHDFS
l
RAN API
Quality of Service
Sie können obere Grenzwerte für die Servicequalität festlegen, indem Sie jeder
Zugriffszone bestimmte physische Ressourcen zuweisen.
Servicequalität bezieht sich auf Performancemerkmale der physischen Hardware, die
gemessen, verbessert und manchmal garantiert werden kann. Die gemessenen Merkmale
für die Servicequalität umfassen u. a. Durchsatzraten, CPU-Auslastung und
Festplattenkapazität. Wenn Sie physische Hardware in einem EMC Isilon-Cluster über
mehrere virtuelle Instanzen hinweg gemeinsam nutzen, entsteht eine Konkurrenz
zwischen den folgenden Services:
178
Zugriffszonen
l
CPU
l
Arbeitsspeicher
l
Netzwerkbandbreite
l
Festplatten-I/O
l
Festplattenkapazität
Zugriffszonen bieten keine Servicequalitätsgarantie für logische Ressourcen. Sie können
diese Ressourcen jedoch zwischen Zugriffszonen in einem einzigen Cluster
partitionieren. In der folgenden Tabelle werden einige Möglichkeiten beschrieben, wie
Ressourcen zur Verbesserung der Servicequalität partitioniert werden können:
Verwenden
Sie
Anmerkungen
NICs
Sie können bestimmte NICs auf bestimmten Nodes einem IP-Adressenpool
zuweisen, der mit einer Zugriffszone verknüpft ist. Durch Zuweisen dieser NICs
können Sie die Nodes und Schnittstellen bestimmen, die mit einer Zugriffszone
verknüpft sind. Dies ermöglicht eine Trennung von CPU, Arbeitsspeicher und
Netzwerkbandbreite.
SmartPools
SmartPools werden in der Regel durch Äquivalenzklassen für die NodeHardware in mehrere Stufen von hoher, mittlerer bis niedriger Performance
unterteilt. Die Daten, die in einen SmartPool geschrieben werden, werden nur
auf die Festplatten der Nodes in diesem Pool geschrieben.
Die Verknüpfung eines IP-Adressenpools lediglich mit den Nodes eines
einzigen SmartPool ermöglicht die Partitionierung von Festplatten-I/ORessourcen.
SmartQuotas
Mit SmartQuotas können Sie die Festplattenkapazität nach Benutzer oder
Gruppe oder innerhalb eines Verzeichnisses begrenzen. Durch Anwendung
einer Quota auf das Basisverzeichnis einer Zugriffszone können Sie die in
dieser Zugriffszone verwendete Festplattenkapazität beschränken.
Managen von Zugriffszonen
Sie können in dem EMC Isilon-Cluster Zugriffszonen erstellen, Zugriffszoneneinstellungen
anzeigen und ändern sowie Zugriffszonen löschen.
Erstellen einer Zugriffszone
Sie können eine Zugriffszone erstellen, um Daten zu isolieren und zu beschränken,
welche Benutzer auf die Daten zugreifen können.
Vorgehensweise
1. Führen Sie den Befehl isi zone zones create aus.
Mit dem folgenden Befehl wird eine Zugriffszone namens zone3 erstellt und das
Basisverzeichnis auf /ifs/hr/data: festgelegt
isi zone zones create zone3 /ifs/hr/data
Managen von Zugriffszonen
179
Zugriffszonen
Mit dem folgenden Befehl wird eine Zugriffszone namens zone3 erstellt und das
Basisverzeichnis auf /ifs/hr/data festgelegt. Außerdem wird das Verzeichnis in
EMC Isilon-Cluster erstellt, falls es noch nicht vorhanden ist:
isi zone zones create zone3 /ifs/hr/data --create-path
Verknüpfen eines IP-Adressenpools mit einer Zugriffszone
Sie können einen IP-Adressenpool mit einer Zugriffszone verknüpfen, um sicherzustellen,
dass Clients nur über IP-Adressen im Pool eine Verbindung mit der Zugriffszone
herstellen können.
Vorgehensweise
1. Führen Sie den Befehl isi networks modify pool aus.
Sie müssen den Namen des IP-Adressenpools im folgenden Format angeben: <subnetname>:<pool-name>.
Mit dem folgenden Befehl wird „zone3“ mit „pool1“ in „subnet1“ verknüpft:
isi networks modify pool --name=subnet1:pool1 --access-zone=zone3
Ändern einer Zugriffszone
Sie können die Eigenschaften einer Zugriffszone außer den Namen der integrierten
Systemzone ändern.
Vorgehensweise
1. Führen Sie den Befehl isi zone zones modify aus.
Mit dem folgenden Befehl wird Zugriffszone zone3 in zone5 umbenannt und werden
alle aktuellen Authentifizierungsanbieter aus der Zugriffszone entfernt:
isi zone zones modify zone3 --name=zone5 --clear-auth-providers
Hinzufügen eines Authentifizierungsanbieters zu einer Zugriffszone
Sie können einer vorhandenen Zugriffszone einen Authentifizierungsanbieter hinzufügen.
Vorgehensweise
1. Führen Sie den Befehl isi zone zones modify mit der Option --add-authproviders aus.
Sie müssen den Namen des Authentifizierungsanbieters im folgenden Format
angeben: <provider-type>:<provider-name>.
Mit dem folgenden Befehl wird ein Dateiauthentifizierungsanbieter namens HR-Users
zur Zugriffszone zone3 hinzugefügt:
isi zone zones modify zone3 --add-auth-providers=file:hr-users
Entfernen eines Authentifizierungsanbieters aus einer Zugriffszone
Sie können einen Authentifizierungsanbieter aus einer Zugriffszone entfernen. Hierdurch
wird der Authentifizierungsanbieter nicht aus dem EMC Isilon-Cluster entfernt; er bleibt
für die zukünftige Verwendung verfügbar.
180
Zugriffszonen
Vorgehensweise
1. Führen Sie den Befehl isi zone zones modify mit der Option --removeauth-providers aus.
Sie müssen den Namen des Authentifizierungsanbieters im folgenden Format
angeben: <provider-type>:<provider-name>.
Mit dem folgenden Befehl wird der Dateiauthentifizierungsanbieter namens HR-Users
aus Zugriffszone zone3 entfernt:
isi zone zones modify zone3 --remove-auth-providers=file:hr-users
Mit dem folgenden Befehl werden alle Authentifizierungsanbieter aus Zugriffszone
zone3 entfernt:
isi zone zones modify zone3 --clear-auth-providers
Löschen einer Zugriffszone
Sie können jede Zugriffszone mit Ausnahme der integrierten Systemzone löschen. Wenn
Sie eine Zugriffszone löschen, bleiben alle verknüpften Authentifizierungsanbieter für
andere Zugriffzonen verfügbar, die IP-Adressen werden anderen Zugriffzonen jedoch
nicht neu zugewiesen. SMB-Shares, NFS-Exporte und HDFS-Datenpfade werden gelöscht,
wenn Sie eine Zugriffszone löschen; die Verzeichnisse und Daten sind noch vorhanden
und Sie können neue Shares, Exporte oder Pfade in einer anderen Zugriffszone zuordnen.
Vorgehensweise
1. Führen Sie den Befehl isi zone zones delete aus.
Mit dem folgenden Befehl wird die Zugriffszone zone3 gelöscht:
isi zone zones delete zone3
Zugriffszonenbefehle
Sie können Zugriffszonen mithilfe von Zugriffszonenbefehlen konfigurieren und
managen.
isi zone restrictions create
Verhindert den Benutzer- oder Gruppenzugriff auf das Verzeichnis /ifs. Bei Lese- oder
Schreibversuchen an Dateien durch eingeschränkte Benutzer oder Gruppen wird der
Fehler ACCESS DENIED zurückgegeben.
Syntax
isi zone restrictions create <zone> {<user> | --uid <integer>
| --group <string> | --gid <integer> | --sid <string>
| --wellknown <string>}
[--verbose]
Optionen
<zone>
Gibt eine Zugriffszone nach Namen an.
<user>
Gibt einen Benutzer nach Namen an.
Löschen einer Zugriffszone
181
Zugriffszonen
--uid<integer>
Gibt einen Benutzer nach UID an.
--group<string>
Gibt eine Gruppe nach Namen an.
--gid<integer>
Gibt eine Gruppe nach GID an.
--sid<string>
Gibt ein Objekt nach Benutzer- oder Gruppen-SID an.
--wellknown<name>
Gibt einen bekannten Benutzer-, Gruppen-, Maschinen- oder Kontonamen an.
{--verbose | -v}
Nach der Ausführung des Befehls wird eine Erfolgs- oder Fehlermeldung angezeigt.
isi zone restrictions delete
Löscht eine Einschränkung, die Benutzer- oder Gruppenzugriff auf das Verzeichnis /ifs
verhindert.
Syntax
isi zone restrictions delete <zone> {<user> | --uid <integer>
| --group <string> | --gid <integer> | --sid <string>
[--force]
[--verbose]
Optionen
<zone>
<user>
--uid<integer>
Gibt einen Benutzer nach UID an.
--group<string>
--gid<integer>
Gibt eine Gruppe nach GID an.
--sid<string>
Gibt ein Objekt nach Benutzer- oder Gruppen-SID an.
--wellknown<string>
Gibt ein Objekt nach einer bekannten SID an.
{--force | -f}
Unterdrückt Befehlszeileneingabeaufforderungen und Meldungen.
{--verbose | -v}
182
Zugriffszonen
isi zone restrictions list
Zeigt eine Liste der Benutzer oder Gruppen an, die nicht auf das Verzeichnis /ifs
zugreifen dürfen.
Syntax
isi zone restrictions list <zone>
[--limit <integer>]
[--format {table | json | csv | list}]
[--no-header]
[--no-footer]
[--verbose]
Optionen
<zone>
{--limit | -l} <integer>
Zeigt nicht mehr als die angegebene Anzahl von Elementen an.
--format {table | json | csv | list}
Zeigt die Ausgabe in einem der folgenden Formate an: Tabelle (Standard), JSON
(JavaScript Object Notation), CSV (Comma-Separated Value) oder Liste.
{--no-header | -a}
Zeigt die Tabellen- und CSV-Ausgabe ohne Kopfzeilen an.
{--no-footer | -z}
Zeigt die Tabellenausgabe ohne Fußzeilen an.
{--verbose | -v}
Beispiele
Um eine Liste der eingeschränkten Benutzer für die integrierte Systemzone anzuzeigen,
führen Sie den folgenden Befehl aus:
isi zone restrictions list system
isi zone zones create
Erstellt eine Zugriffszone.
Syntax
isi zone zones create <name> <path>
[--cache-size <size>]
[--map-untrusted <workgroup>]
[--auth-providers <provider-type>:<provider-name>]
[--netbios-name <string>]
[--all-auth-providers {yes | no}]
[--user-mapping-rules <string>]
[--home-directory-umask <integer>]
[--skeleton-directory <string>]
[--audit-success <operations>]
[--audit-failure <operations>]
[--hdfs-authentication {all | simple_only | kerberos_only}]
[--hdfs-root-directory <path>]
[--webhdfs-enabled {yes | no}]
isi zone restrictions list
183
Zugriffszonen
[--hdfs-ambari-server <string>]
[--hdfs-ambari-namenode <string>]
[--syslog-forwarding-enabled {yes | no}]
[--syslog-audit-events <operations>]
[--create-path]
[--verbose]
Optionen
<name>
Gibt den Namen der Zugriffszone an.
<path>
Gibt den Pfad des Basisverzeichnisses für die Zone an. Pfade für Zonen dürfen sich
nicht überschneiden. Sie können also keine verschachtelten Zonen erstellen.
--cache-size<size>
Gibt die maximale Größe des speicherinternen Identitäts-Cache der Zone in Byte an.
Gültige Werte sind Ganzzahlen im Bereich 1000000 bis 50000000. Der
--map-untrusted<workgroup>
Ordnet während der Authentifizierung nicht vertrauenswürdige Domains der
angegebenen NetBIOS-Arbeitsgruppe zu.
--auth-providers<provider-type>:<provider-name>
Gibt einen oder mehrere Authentifizierungsanbieter (durch Kommas getrennt) für die
Authentifizierung für die Zugriffszone an. Die Authentifizierungsanbieter werden in
der angegebenen Reihenfolge geprüft. Sie müssen den Namen des
Authentifizierungsanbieters im folgenden Format angeben: <provider-type>:<providername>.
--netbios-name<string>
Gibt den NetBIOS-Namen an.
--all-auth-providers {yes | no}
Gibt an, ob die Authentifizierung über alle verfügbaren Authentifizierungsanbieter
erfolgen soll. Wenn die Option no festgelegt wird, erfolgt die Authentifizierung über
die Liste der mit der Option --auth-providers festgelegten Anbieter.
--user-mapping-rules<string>
Gibt eine oder mehrere Benutzerzuordnungsregeln (durch Kommas getrennt) für die
Zugriffszone an.
--home-directory-umask<integer>
Gibt die Berechtigungen für automatisch erstellte Benutzerstammverzeichnisse an.
--skeleton-directory<string>
Legt das Hauptverzeichnis für Benutzerstammverzeichnisse fest.
--audit-success<operations>
Gibt einen oder mehrere Filter (durch Kommas getrennt) für erfolgreiche
Auditprotokollvorgänge an. Die folgenden Vorgänge sind gültig:
184
l
close
l
create
l
delete
Zugriffszonen
l
get_security
l
logoff
l
logon
l
read
l
rename
l
set_security
l
tree_connect
l
write
--audit-failure<operations>
Gibt einen oder mehrere Filter (durch Kommas getrennt) für fehlgeschlagene
l
close
l
create
l
delete
l
get_security
l
logoff
l
logon
l
read
l
rename
l
set_security
l
tree_connect
l
write
l
all
--hdfs-authentication<operations>
Gibt den zulässigen Authentifizierungstyp für das HDFS-Protokoll an. Gültige Werte
sind all, simple_only oder kerberos_only
--hdfs-root-directory<path>
Gibt das Stammverzeichnis für das HDFS-Protokoll an.
--webhdfs-enabled {yes | no}
Aktiviert oder deaktiviert WebHDFS in der Zone.
--hdfs-ambari-server<string>
Gibt den Ambari-Server an, der Datenverkehr von einem Ambari-Agent erhält. Der
Wert muss ein auflösbarer Hostname, ein FQDN oder eine IP-Adresse sein.
--hdfs-ambari-namenode<string>
Gibt einen Kontaktpunkt in einer Zugriffszone an, mit dem Hadoop-Services, die
durch die Ambari-Schnittstelle verwaltet werden, eine Verbindung herstellen sollten.
Der Wert muss eine auflösbare IP-Adresse oder ein auflösbarer SmartConnectZonenname sein.
--syslog-forwarding-enabled {yes | no}
Aktiviert oder deaktiviert die Syslog-Weiterleitung von Auditevents in der Zone.
--syslog-audit-events<operations>
isi zone zones create
185
Zugriffszonen
Legt den Filter für die Weiterleitung von Auditprotokollvorgängen an das Syslog fest.
Sie müssen für jeden weiteren Filter den Parameter --syslog-audit-events
angeben. Die folgenden Vorgänge sind gültig:
l
close
l
create
l
delete
l
get_security
l
logoff
l
logon
l
read
l
rename
l
set_security
l
tree_connect
l
write
l
all
Mit der Option all geben Sie alle gültigen Filtervorgänge an.
--create-path
Gibt an, dass der als Zonenpfad eingegebene Wert erstellt werden muss, wenn er
nicht bereits vorhanden ist.
{--verbose | -v}
Zeigt die Ergebnisse der Ausführung des Befehls an.
isi zone zones delete
Löscht eine Zugriffszone. Alle Authentifizierungsanbieter, die mit der Zugriffszone
verknüpft sind, bleiben für weitere Zonen verfügbar, die IP-Adressen werden jedoch nicht
neu zugewiesen. Die integrierte Systemzone kann nicht gelöscht werden.
Syntax
isi zone zones delete <zone>
[--force]
[--verbose]
Optionen
<zone>
Gibt den Namen der zu löschenden Zugriffszone an.
{--force | -f}
{--verbose | -v}
isi zone zones list
Zeigt eine Liste der Zugriffszonen im Cluster an.
186
Zugriffszonen
Syntax
isi zone zones list
[--limit <integer>]
[--no-header]
[--no-footer]
[--verbose]
Optionen
{--no-header | -a}
{--no-footer | -z}
{--verbose | -v}
Beispiele
Um eine Liste aller Zugriffszonen im Cluster anzuzeigen, führen Sie den folgenden Befehl
aus:
isi zone zones list
isi zone zones modify
Ändert eine Zugriffszone.
Syntax
isi zone zones modify <zone>
[--name <string>]
[--path <path>]
[--cache-size <size>]
[--map-untrusted <string>]
[--auth-providers <provider-type>:<provider-name>]
[--clear-auth-providers]
[--add-auth-providers <provider-type>:<provider-name>]
[--remove-auth-providers <provider-type>:<provider-name>]
[--netbios-name <string>]
[--all-auth-providers {yes | no}]
[--user-mapping-rules <string>]
[--clear-user-mapping-rules]
[--add-user-mapping-rules <string>]
[--remove-user-mapping-rules <string>]
[--home-directory-umask <integer>]
[--skeleton-directory <string>]
[--audit-success <operations>]
[--clear-audit-success]
[--add-audit-success <operations>]
[--remove-audit-success <operations>]
[--audit-failure <operations>]
[--clear-audit-failure]
[--add-audit-failure <operations>]
187
Zugriffszonen
[--remove-audit-failure <operations>]
[--hdfs-authentication {all | simple_only | kerberos_only}]
[--hdfs-root-directory <path>]
[--webhdfs-enabled {yes | no}]
[--hdfs-ambari-server <string>]
[--hdfs-ambari-namenode <string>]
[--syslog-forwarding-enabled {yes | no}]
[--syslog-audit-events <operations>]
[--clear-syslog-audit-events <operations>]
[--add-syslog-audit-events <operations>]
[--remove-syslog-audit-events <string>]
[--create-path]
[--verbose]
Optionen
<zone>
Gibt den Namen der zu ändernden Zugriffszone an.
--name<string>
Gibt einen neuen Namen für die Zugriffszone an. Der Name der integrierten
Systemzugriffszone kann nicht geändert werden.
--path<path>
Gibt den Pfad des Basisverzeichnisses für die Zone an. Pfade für Zonen dürfen sich
nicht überschneiden. Sie können also keine verschachtelten Zonen erstellen.
--cache-size<size>
Gibt die maximale Größe des speicherinternen Caches der Zone in Byte an. Gültige
Werte sind Ganzzahlen im Bereich 1000000 bis 50000000. Der Standardwert ist
50000000.
--map-untrusted<string>
Gibt die NetBIOS-Arbeitsgruppe an, mit der während der Authentifizierung nicht
vertrauenswürdige Domains zugeordnet werden.
--auth-providers<provider-type>:<provider-name>
Gibt einen oder mehrere Authentifizierungsanbieter (durch Kommas getrennt) für die
Authentifizierung für die Zugriffszone an. Mit dieser Option werden alle vorhandenen
Einträge in der Liste der Authentifizierungsanbieter überschrieben. Um Anbieter ohne
Auswirkung auf die aktuellen Einträge hinzuzufügen oder zu entfernen, konfigurieren
Sie die Einstellungen für --add-auth-providers oder --remove-authproviders.
--clear-auth-providers
Entfernt alle Authentifizierungsanbieter aus der Zugriffszone.
--add-auth-providers<provider-type>:<provider-name>
Fügt der Zugriffszone einen oder mehrere Authentifizierungsanbieter (durch Kommas
getrennt) hinzu.
--remove-auth-providers<provider-type>:<provider-name>
Entfernt einen oder mehrere Authentifizierungsanbieter (durch Kommas getrennt) aus
der Zugriffszone.
--netbios-name<string>
Gibt den NetBIOS-Namen an.
--all-auth-providers {yes | no}
188
Zugriffszonen
Gibt an, ob die Authentifizierung über alle verfügbaren Authentifizierungsanbieter
erfolgen soll. Wenn die Option no festgelegt wird, erfolgt die Authentifizierung über
die Liste der mit der Option --auth-providers festgelegten Anbieter.
--user-mapping-rules<string>
Gibt eine oder mehrere Benutzerzuordnungsregeln (durch Kommas getrennt) für die
Zugriffszone an. Diese Option überschreibt alle Einträge in der Liste der
Benutzerzuordnungsregeln. Um Zuordnungsregeln ohne Überschreiben der aktuellen
Einträge hinzuzufügen oder zu entfernen, konfigurieren Sie die Einstellungen mit -add-user-mapping-rules oder --remove-user-mapping-rules.
--clear-user-mapping-rules
Entfernt alle Benutzerzuordnungsregeln aus der Zugriffszone.
--add-user-mapping-rules<string>
Fügt der Zugriffszone eine oder mehrere Benutzerzuordnungsregeln (durch Kommas
getrennt) hinzu.
--remove-user-mapping-rules<string>
Entfernt eine oder mehrere Benutzerzuordnungsregeln (durch Kommas getrennt) aus
der Zugriffszone.
--home-directory-umask<integer>
Gibt die Berechtigungen für automatisch erstellte Benutzerstammverzeichnisse an.
--skeleton-directory<string>
Legt das Hauptverzeichnis für Benutzerstammverzeichnisse fest.
--audit-success<operations>
Gibt einen oder mehrere Filter (durch Kommas getrennt) für erfolgreiche
Auditprotokollvorgänge an. Mit dieser Option wird die aktuelle Liste der
Filtervorgänge überschrieben. Die folgenden Vorgänge sind gültig:
l
close
l
create
l
delete
l
get_security
l
logoff
l
logon
l
read
l
rename
l
set_security
l
tree_connect
l
write
l
all
Um Filter ohne Auswirkungen auf die aktuelle Liste hinzuzufügen oder zu entfernen,
konfigurieren Sie die Einstellungen mit --add-audit-success oder --removeaudit-success.
--clear-audit-success
Löscht alle Filter für erfolgreiche Auditprotokollvorgänge.
--add-audit-success<operations>
189
Zugriffszonen
Fügt einen oder mehrere Filter (durch Kommas getrennt) für erfolgreiche
Auditprotokollvorgänge hinzu. Die folgenden Vorgänge sind gültig:
l
close
l
create
l
delete
l
get_security
l
logoff
l
logon
l
read
l
rename
l
set_security
l
tree_connect
l
write
l
all
--remove-audit-success<operations>
Entfernt einen oder mehrere Filter (durch Kommas getrennt) für erfolgreiche
Auditprotokollvorgänge. Die folgenden Vorgänge sind gültig:
l
close
l
create
l
delete
l
get_security
l
logoff
l
logon
l
read
l
rename
l
set_security
l
tree_connect
l
write
l
all
--audit-failure<operations>
Gibt einen oder mehrere Filter (durch Kommas getrennt) für fehlgeschlagene
190
l
close
l
create
l
delete
l
get_security
l
logoff
l
logon
l
read
l
rename
Zugriffszonen
l
set_security
l
tree_connect
l
write
l
all
Mit dieser Option wird die aktuelle Liste der Filtervorgänge überschrieben. Um Filter
ohne Auswirkungen auf die aktuelle Liste hinzuzufügen oder zu entfernen,
konfigurieren Sie die Einstellungen mit --add-audit-failure oder --removeaudit-failure.
--clear-audit-failure
Löscht alle Filter für fehlgeschlagene Auditprotokollvorgänge.
--add-audit-failure<operations>
Fügt einen oder mehrere Filter (durch Kommas getrennt) für fehlgeschlagene
Auditprotokollvorgänge hinzu. Die folgenden Vorgänge sind gültig:
l
close
l
create
l
delete
l
get_security
l
logoff
l
logon
l
read
l
rename
l
set_security
l
tree_connect
l
write
l
all
--remove-audit-failure<operations>
Entfernt einen oder mehrere Filter (durch Kommas getrennt) für fehlgeschlagene
Auditprotokollvorgänge. Die folgenden Vorgänge sind gültig:
l
close
l
create
l
delete
l
get_security
l
logoff
l
logon
l
read
l
rename
l
set_security
l
tree_connect
l
write
l
all
--hdfs-authentication<operations>
191
Zugriffszonen
Gibt den zulässigen Authentifizierungstyp für das HDFS-Protokoll an. Gültige Werte
sind all, simple_only oder kerberos_only.
--hdfs-root-directory<path>
Gibt das Stammverzeichnis für das HDFS-Protokoll an.
--webhdfs-enabled {yes | no}
Aktiviert oder deaktiviert WebHDFS in der Zone.
--hdfs-ambari-server<string>
Gibt den Ambari-Server an, der Datenverkehr von einem Ambari-Agent erhält. Der
Wert muss ein auflösbarer Hostname, ein FQDN oder eine IP-Adresse sein.
--hdfs-ambari-namenode<string>
Gibt einen Kontaktpunkt in einer Zugriffszone an, mit dem Hadoop-Services, die
durch die Ambari-Schnittstelle verwaltet werden, eine Verbindung herstellen sollten.
Der Wert muss eine auflösbare IP-Adresse oder ein auflösbarer SmartConnectZonenname sein.
--syslog-forwarding-enabled {yes | no}
Aktiviert oder deaktiviert die Syslog-Weiterleitung von Auditevents in der Zone.
--syslog-audit-events<operations>
Legt den Filter für die Weiterleitung von Auditprotokollvorgängen an das Syslog fest.
Sie müssen für jeden weiteren Filter den Parameter --syslog-audit-events
angeben. Die folgenden Vorgänge sind gültig:
l
close
l
create
l
delete
l
get_security
l
logoff
l
logon
l
read
l
rename
l
set_security
l
tree_connect
l
write
l
all
Mit der Option all geben Sie alle gültigen Filtervorgänge an.
--clear-syslog-audit-events<operations>
Löscht die Filtereinstellung für die Auditprotokollvorgänge, die an Syslog
weitergeleitet werden. Mit all können Sie alle gültigen Filtervorgänge löschen.
--add-syslog-audit-events<operations>
Fügt einen Filter für die Auditprotokollvorgänge hinzu, die an Syslog weitergeleitet
werden. Sie müssen für jeden weiteren Filter den Parameter --syslog-auditevents angeben. Die folgenden Vorgänge sind gültig:
192
l
close
l
create
Zugriffszonen
l
delete
l
get_security
l
logoff
l
logon
l
read
l
rename
l
set_security
l
tree_connect
l
write
l
all
--remove-syslog-audit-events<string>
Löscht einen Filter für die Auditprotokollvorgänge, die an Syslog weitergeleitet
werden. Sie müssen für jeden weiteren Filter den Parameter --syslog-auditevents angeben. Mit der Option all geben Sie alle gültigen Filtervorgänge an.
Geben Sie --remove-syslog-audit-events für jede Filtereinstellung an, die
Sie hinzufügen möchten.
--create-path
Gibt an, dass der Zonenpfad erstellt wird, wenn er nicht bereits vorhanden ist.
{--verbose | -v}
isi zone zones view
Zeigt die Eigenschaften einer Zugriffszone an.
Syntax
isi zone zones view <zone>
Optionen
<zone>
Gibt den Namen der anzuzeigenden Zugriffszone an.
isi zone zones view
193
Zugriffszonen
194
KAPITEL 6
l
l
l
l
l
l
l
l
l
Authentifizierungs- und Zugriffskontrolle – Überblick.......................................... 196
Rollenbasierter Zugriff......................................................................................... 196
Authentifizierung................................................................................................ 209
Datenzugriffskontrolle.........................................................................................213
Autorisierung...................................................................................................... 213
Managen von Rollen............................................................................................216
Managen von Authentifizierungsanbietern.......................................................... 218
Managen von Zugriffsberechtigungen..................................................................239
Befehle für Authentifizierung und Zugriffskontrolle..............................................241
195
Authentifizierungs- und Zugriffskontrolle – Überblick
OneFS unterstützt verschiedene Methoden für die Sicherstellung, dass Ihr Cluster sicher
bleibt, einschließlich Berechtigungen nach UNIX- und Windows-Stil für Zugriffskontrolle
auf Datenebene, Zugriffszonen für Datenisolierung und rollenbasierten
Administrationssteuerzugriffs auf Systemkonfigurationseinstellungen.
OneFS ist auf eine gemischte Umgebung ausgerichtet, die es Ihnen ermöglicht, ACLs
(Zugriffskontrolllisten) und UNIX-Standardberechtigungen auf dem Clusterdateisystem zu
konfigurieren.
Hinweis
In den meisten Fällen sind die Standardeinstellungen ausreichend. Sie können
zusätzliche Zugriffszonen, benutzerdefinierte Rollen und Berechtigungs-Policies für Ihre
spezielle Umgebung nach Bedarf konfigurieren.
Rollenbasierter Zugriff
Sie können ausgewählten Benutzern rollenbasierten Zugriff auf delegierte
Administrationsaufgaben zuweisen.
Mit RBAC (rollenbasierte Zugriffskontrolle) kann jedem Benutzer, der sich auf einem
Cluster authentifizieren kann, das Recht zur Ausführung bestimmter
Administrationsaufgaben eingeräumt werden. Rollen werden von einem
Sicherheitsadministrator erstellt; diesen Rollen werden Berechtigungen und
anschließend Mitglieder zugewiesen. Alle Administratoren, einschließlich derjenigen mit
bestimmten Rollenberechtigungen, müssen eine Verbindung zur Systemzone herstellen,
um ein Cluster zu konfigurieren. Wenn sich diese Mitglieder über eine
Konfigurationsschnittstelle am Cluster anmelden, verfügen sie über diese
Berechtigungen. Alle Administratoren können Einstellungen für Zugriffszonen
konfigurieren und haben immer Kontrolle über alle Zugriffszonen auf dem Cluster.
Rollen bieten Ihnen außerdem die Möglichkeit, Benutzern und Gruppen Berechtigungen
zuzuweisen. Standardmäßig können sich nur der Stammbenutzer und der AdminBenutzer über HTTP oder die Befehlszeilenoberfläche über SSH an der
Webverwaltungsschnittstelle anmelden. Mithilfe von Rollen kann der Stamm- oder der
Admin-Benutzer anderen Benutzern systemeigene Rollen zuweisen, denen Anmelde- und
Administratorrechte zur Ausführung bestimmter administrativer Aufgaben zugewiesen
sind.
Hinweis
Es hat sich als Best Practice bewährt, Benutzern Rollen zuzuweisen, die die mindestens
erforderlichen Berechtigungen enthalten. Für die meisten Zwecke sind die
standardmäßigen Berechtigungs-Policy-Einstellungen, die Systemzugriffszone und die
integrierten Rollen ausreichend. Sie können rollenbasierte Zugriffsmanagement-Policies
für Ihre spezifische Umgebung nach Bedarf erstellen.
Rollen und Berechtigungen
Zusätzlich zur Steuerung des Zugriffs auf Dateien und Verzeichnisse über ACLs und
POSIX-Modusbits steuert OneFS den Zugriff auf Konfigurationslevel mithilfe von
Administratorrollen. Eine Rolle ist eine Sammlung von OneFS-Berechtigungen, die in der
Regel mit einem Konfigurationssubsystem verknüpft sind. Diese Berechtigungen werden
196
Mitgliedern dieser Rolle gewährt, wenn sie sich über die Plattform-APIBefehlszeilenoberfläche oder über die Webverwaltungsschnittstelle am Cluster
anmelden.
Rollen
Mithilfe von Rollen können Sie den Zugriff auf Verwaltungsbereiche Ihres EMC IsilonClusters pro Benutzer bewilligen und einschränken.
OneFS bietet integrierte Administratorrollen mit vordefinierten Berechtigungen, die nicht
geändert werden können. Die folgende Liste beschreibt, was Sie mit Rollen tun können
und was nicht:
l
Sie können Berechtigungen durch Rollenmitgliedschaften zuweisen.
l
Sie können einer Rolle einen beliebigen Benutzer hinzufügen, solange der Benutzer
sich beim Cluster authentifizieren kann.
l
Sie können benutzerdefinierte Rollen erstellen und diesen Rollen Berechtigungen
zuweisen.
l
Sie können Benutzer einzeln oder als Gruppen hinzufügen, einschließlich bekannter
Gruppen.
l
Ein Benutzer kann Mitglied mehrerer Rollen sein.
l
Sie können einer Rolle eine Gruppe hinzufügen, die allen Benutzern, die Mitglieder
der Gruppe sind, alle mit der Rolle verknüpften Berechtigungen erteilt.
l
Sie können Berechtigungen nicht direkt Benutzern oder Gruppen zuweisen.
Hinweis
Bei der Erstinstallation von OneFS können sich nur Stamm- oder Adminbenutzer
anmelden und Benutzern Rollen zuweisen.
Integrierte Rollen
Integrierte Rollen umfassen Berechtigungen zur Ausführung verschiedener
administrativer Funktionen.
In den folgenden Tabellen werden die einzelnen integrierten Rollen von der
leistungsstärksten Rolle bis zur am wenigsten leistungsstarken Rolle beschrieben. Die
Tabellen enthalten die Berechtigungen und, sofern zutreffend, das Lese-/
Schreibzugriffslevel, das den einzelnen Rollen zugewiesen ist. Sie können Benutzer und
Gruppen integrierten Rollen und von Ihnen erstellten Rollen zuweisen.
Tabelle 3 SecurityAdmin-Rolle
Beschreibung
Rechte
Lese-/
Schreibzugriff
Verwaltung der Sicherheitskonfiguration auf
ISI_PRIV_LOGIN_CONSOLE dem Cluster, einschließlich
ISI_PRIV_LOGIN_PAPI
Authentifizierungsanbieter, lokale Benutzer und
Gruppen sowie Rollenmitgliedschaft
ISI_PRIV_LOGIN_SSH
ISI_PRIV_AUTH
Lesen/Schreiben
ISI_PRIV_ROLE
Lesen/Schreiben
197
Tabelle 4 SystemAdmin-Rolle
Beschreibung
Rechte
Lese-/
Schreibzugriff
Verwaltung aller Aspekte der
Clusterkonfiguration, die nicht ausdrücklich
von der SecurityAdmin-Rolle durchgeführt
werden.
ISI_PRIV_LOGIN_CONSOLE
-
ISI_PRIV_LOGIN_PAPI
-
ISI_PRIV_LOGIN_SSH
-
ISI_PRIV_SYS_SHUTDOWN
-
ISI_PRIV_SYS_SUPPORT
-
ISI_PRIV_SYS_TIME
-
ISI_PRIV_ANTIVIRUS
Lesen/Schreiben
ISI_PRIV_AUDIT
Lesen/Schreiben
ISI_PRIV_CLUSTER
Lesen/Schreiben
ISI_PRIV_DEVICES
Lesen/Schreiben
ISI_PRIV_EVENT
Lesen/Schreiben
ISI_PRIV_FTP
Lesen/Schreiben
ISI_PRIV_HDFS
Lesen/Schreiben
ISI_PRIV_HTTP
Lesen/Schreiben
ISI_PRIV_ISCSI
Lesen/Schreiben
ISI_PRIV_JOB_ENGINE
Lesen/Schreiben
ISI_PRIV_LICENSE
Lesen/Schreiben
ISI_PRIV_NDMP
Lesen/Schreiben
ISI_PRIV_NETWORK
Lesen/Schreiben
ISI_PRIV_NFS
Lesen/Schreiben
ISI_PRIV_NTP
Lesen/Schreiben
ISI_PRIV_QUOTA
Lesen/Schreiben
ISI_PRIV_REMOTE_SUPPORT Lesen/Schreiben
198
ISI_PRIV_SMARTPOOLS
Lesen/Schreiben
ISI_PRIV_SMB
Lesen/Schreiben
ISI_PRIV_SNAPSHOT
Lesen/Schreiben
ISI_PRIV_STATISTICS
Lesen/Schreiben
ISI_PRIV_SYNCIQ
Lesen/Schreiben
ISI_PRIV_VCENTER
Lesen/Schreiben
ISI_PRIV_WORM
Lesen/Schreiben
ISI_PRIV_NS_TRAVERSE
-
ISI_PRIV_NS_IFS_ACCESS
-
Tabelle 5 AuditAdmin-Rolle
Beschreibung
Rechte
Lese-/
Schreibzugriff
Anzeigen aller
Systemkonfigurationseinstellungen
ISI_PRIV_LOGIN_CONSOLE
-
ISI_PRIV_LOGIN_PAPI
-
ISI_PRIV_LOGIN_SSH
-
ISI_PRIV_ANTIVIRUS
Schreibgeschützt
ISI_PRIV_AUDIT
Schreibgeschützt
ISI_PRIV_CLUSTER
Schreibgeschützt
ISI_PRIV_DEVICES
Schreibgeschützt
ISI_PRIV_EVENT
Schreibgeschützt
ISI_PRIV_FTP
Schreibgeschützt
ISI_PRIV_HDFS
Schreibgeschützt
ISI_PRIV_HTTP
Schreibgeschützt
ISI_PRIV_ISCSI
Schreibgeschützt
ISI_PRIV_JOB_ENGINE
Schreibgeschützt
ISI_PRIV_LICENSE
Schreibgeschützt
SI_PRIV_NDMP
Schreibgeschützt
ISI_PRIV_NETWORK
Schreibgeschützt
ISI_PRIV_NFS
Schreibgeschützt
ISI_PRIV_NTP
Schreibgeschützt
ISI_PRIV_QUOTA
Schreibgeschützt
ISI_PRIV_REMOTE_SUPPORT Schreibgeschützt
ISI_PRIV_SMARTPOOLS
Schreibgeschützt
ISI_PRIV_SMB
Schreibgeschützt
ISI_PRIV_SNAPSHOT
Schreibgeschützt
ISI_PRIV_STATISTICS
Schreibgeschützt
ISI_PRIV_SYNCIQ
Schreibgeschützt
ISI_PRIV_VCENTER
Schreibgeschützt
ISI_PRIV_WORM
Schreibgeschützt
Tabelle 6 VMwareAdmin-Rolle
Beschreibung
Rechte
Lese-/
Schreibzugriff
Remoteverwaltung aller Aspekte des für
VMware vCenter erforderlichen Speichers
ISI_PRIV_LOGIN_PAPI
-
ISI_PRIV_ISCSI
Lesen/Schreiben
199
Tabelle 6 VMwareAdmin-Rolle (Fortsetzung)
Beschreibung
Rechte
Lese-/
Schreibzugriff
ISI_PRIV_NETWORK
Lesen/Schreiben
ISI_PRIV_SMARTPOOLS
Lesen/Schreiben
ISI_PRIV_SNAPSHOT
Lesen/Schreiben
ISI_PRIV_SYNCIQ
Lesen/Schreiben
ISI_PRIV_VCENTER
Lesen/Schreiben
ISI_PRIV_NS_TRAVERSE
-
ISI_PRIV_NS_IFS_ACCESS Tabelle 7 BackupAdmin-Rolle
Beschreibung
Rechte
Lese-/Schreibzugriff
Ermöglicht Backup und Wiederherstellung von
Dateien aus /ifs
ISI_PRIV_IFS_BACKUP
Schreibgeschützt
ISI_PRIV_IFS_RESTORE Schreibgeschützt
Benutzerdefinierte Rollen
Benutzerdefinierte Rollen ergänzen vordefinierte Rollen.
Sie können benutzerdefinierte Rollen erstellen und die Berechtigungen zuweisen, die
Administrationsbereichen in Ihrer EMC Isilon-Clusterumgebung zugeordnet sind. Sie
können beispielsweise separate Administratorrollen für Sicherheit, Auditing, SpeicherProvisioning und Backup erstellen.
Sie können bestimmte Zugriffsrechte als schreibgeschützt oder mit Lese-/
Schreibberechtigung festlegen, wenn Sie die Berechtigung einer Rolle hinzufügen. Sie
können diese Option jederzeit ändern.
Sie können Berechtigungen hinzufügen oder entfernen und diese so an die sich
verändernden Verantwortlichkeiten von Benutzern anpassen.
Berechtigungen
Berechtigungen ermöglichen Benutzern die Ausführung von Aufgaben auf einem EMC
Isilon-Cluster.
Berechtigungen sind mit einem Bereich der Clusteradministration wie Job-Engine, SMB
oder Statistiken verknüpft.
Berechtigungen weisen eine der folgenden zwei Formen auf:
Aktion
Ermöglicht es dem Benutzer, eine bestimmte Aktion auf einem Cluster
durchzuführen. So können sich beispielsweise Benutzer mit der Berechtigung
ISI_PRIV_LOGIN_SSH über einen SSH-Client an einem Cluster anmelden.
200
Lesen/Schreiben
Ermöglicht dem Benutzer, ein Konfigurationssubsystem wie Statistiken, Snapshots
oder Quotas anzuzeigen oder zu ändern. Beispielsweise kann eine Administrator mit
der Berechtigung ISI_PRIV_SNAPSHOT Snapshots und Snapshot-Planungen erstellen
und löschen. Mit einer Lese-/Schreibberechtigung kann Lesezugriff oder Lese-/
Schreibzugriff gewährt werden. Lesezugriff ermöglicht dem Benutzer die Anzeige von
Konfigurationseinstellungen; Lese-/Schreibzugriff ermöglicht es dem Benutzer,
Konfigurationseinstellungen anzuzeigen und zu ändern.
Berechtigungen werden dem Benutzer bei Anmeldung an einem Cluster über die OneFSAPI, die Webverwaltungsschnittstelle, SSH oder eine Konsolensitzung gewährt. Ein Token
wird für den Benutzer erzeugt, in dem eine Liste aller Berechtigungen des Benutzers
enthalten sind. Für jeden URI, jede Seite der Webverwaltungsschnittstelle und für jeden
Befehl sind spezielle Berechtigungen erforderlich, um die über die jeweiligen
Schnittstellen verfügbaren Informationen anzuzeigen oder ändern zu können.
Hinweis
Berechtigungen werden Benutzern nicht erteilt, die bei der Anmeldung keine Verbindung
mit der Systemzone herstellen, bzw. Benutzern, die eine Verbindung über einen
veralteten Telnet-Service herstellen, auch wenn sie Mitglieder einer Rolle sind.
OneFS-Berechtigungen
Berechtigungen in OneFS werden durch Rollenmitgliedschaft zugewiesen.
Berechtigungen können Benutzern und Gruppen nicht direkt zugewiesen werden.
Tabelle 8 Anmeldeberechtigungen
OneFS-Berechtigung
Benutzerrecht
ISI_PRIV_LOGIN_CONSOLE Anmeldung über die
Konsole
Berechtigungstyp
Aktion
ISI_PRIV_LOGIN_PAPI
Anmeldung über die
Aktion
Plattform-API und die
Webverwaltungsschnittste
lle
ISI_PRIV_LOGIN_SSH
Anmeldung über SSH
Aktion
Tabelle 9 Systemberechtigungen
OneFS-Berechtigung
Benutzerrecht
Berechtigungstyp
ISI_PRIV_SYS_SHUTDOWN Herunterfahren des
Systems
Aktion
ISI_PRIV_SYS_SUPPORT
Ausführung von
Clusterdiagnosetools
Aktion
ISI_PRIV_SYS_TIME
Ändern der Systemzeit
Aktion
201
Tabelle 10 Sicherheitsberechtigungen
OneFS-Berechtigung
Benutzerrecht
Berechtigungstyp
ISI_PRIV_AUTH
Konfigurieren externer
Authentifizierungsanbiete
r
Lesen/Schreiben
ISI_PRIV_ROLE
Erstellen neuer Rollen und Lesen/Schreiben
Zuweisen von
Berechtigungen
Tabelle 11 Konfigurationsberechtigungen
202
OneFS-Berechtigung
Benutzerrecht
Berechtigungstyp
ISI_PRIV_ANTIVIRUS
Konfigurieren von
Virenüberprüfungen
Lesen/Schreiben
IS_PRIV_AUDIT
Konfigurieren von
Auditfunktionen
Lesen/Schreiben
ISI_PRIV_CLUSTER
Konfigurieren von
Lesen/Schreiben
Clusteridentitäts- und
allgemeinen Einstellungen
ISI_PRIV_DEVICES
Erstellen neuer Rollen und Lesen/Schreiben
Zuweisen von
Berechtigungen
ISI_PRIV_EVENT
Anzeigen und Ändern von
Systemevents
Lesen/Schreiben
ISI_PRIV_FTP
FTP-Serverkonfiguration
Lesen/Schreiben
ISI_PRIV_HDFS
HDFS-Serverkonfiguration
Lesen/Schreiben
ISI_PRIV_HTTP
HTTP-Serverkonfiguration
Lesen/Schreiben
ISI_PRIV_ISCSI
iSCSI-Serverkonfiguration
Lesen/Schreiben
ISI_PRIV_JOB_ENGINE
Planen von Jobs auf
Clusterebene
Lesen/Schreiben
ISI_PRIV_LICENSE
Aktivieren von OneFSSoftwarelizenzen
Lesen/Schreiben
ISI_PRIV_NDMP
NDMP-Serverkonfiguration Lesen/Schreiben
ISI_PRIV_NETWORK
Konfigurieren von
Netzwerkschnittstellen
Lesen/Schreiben
ISI_PRIV_NFS
NTP-Serverkonfiguration
Lesen/Schreiben
ISI_PRIV_NTP
Konfigurieren von NTP
Lesen/Schreiben
ISI_PRIV_QUOTA
Konfigurieren von
Dateisystem-Quotas
Lesen/Schreiben
ISI_PRIV_REMOTE_SUPPO
RT
Konfigurieren von
Remotesupport
Lesen/Schreiben
Tabelle 11 Konfigurationsberechtigungen (Fortsetzung)
OneFS-Berechtigung
Benutzerrecht
Berechtigungstyp
ISI_PRIV_SMARTPOOLS
Konfigurieren von
Speicherpools
Lesen/Schreiben
ISI_PRIV_SMB
NTP-Serverkonfiguration
Lesen/Schreiben
ISI_PRIV_SNAPSHOT
Planen, Erstellen und
Anzeigen von Snapshots
Lesen/Schreiben
ISI_PRIV_SNMP
SNMP-Serverkonfiguration Lesen/Schreiben
ISI_PRIV_STATISTICS
Anzeigen von
Lesen/Schreiben
Performancestatistiken für
das Dateisystem
ISI_PRIV_SYNCIQ
Konfiguration von SyncIQ
ISI_PRIV_VCENTER
Konfigurieren von VMware Lesen/Schreiben
für vCenter
ISI_PRIV_WORM
Konfigurieren von
Lesen/Schreiben
SmartLock-Verzeichnissen
Lesen/Schreiben
Tabelle 12 Auf die API-Plattform beschränkte Berechtigungen
OneFS-Berechtigung
Benutzerrecht
Berechtigungstyp
ISI_PRIV_EVENT
Anzeigen und Ändern von
Systemevents
Lesen/Schreiben
ISI_PRIV_LICENSE
Aktivieren von OneFSSoftwarelizenzen
Lesen/Schreiben
ISI_PRIV_STATISTICS
Anzeigen von
Lesen/Schreiben
Performancestatistiken für
das Dateisystem
Tabelle 13 Dateizugriffsberechtigungen
OneFS-Berechtigung
Benutzerrecht
Berechtigungstyp
ISI_PRIV_IFS_BACKUP
Backup von Dateien aus / Aktion
ifs.
Hinweis
Diese Berechtigung
umgeht herkömmliche
Dateizugriffsprüfungen wie
Modusbits oder NTFS-ACLs.
ISI_PRIV_IFS_RESTORE
Wiederherstellen von
Dateien aus /ifs.
Aktion
203
Tabelle 13 Dateizugriffsberechtigungen (Fortsetzung)
OneFS-Berechtigung
Benutzerrecht
Berechtigungstyp
Hinweis
Diese Berechtigung
umgeht herkömmliche
Dateizugriffsprüfungen wie
Modusbits oder NTFS-ACLs.
Sie können die meisten Aufgaben, denen eine Berechtigung zugrunde liegt, über die
Befehlszeilenoberfläche ausführen.
Für bestimmte OneFS-Befehle ist Stammzugriff erforderlich. Wenn Sie jedoch keinen
Stammzugriff haben, können Sie die meisten mit einer Berechtigung verknüpften Befehle
mithilfe des Programms sudo ausführen. Das System erzeugt automatisch eine sudoersDatei von Benutzern auf Grundlage der vorhandenen Rollen.
Mit dem Befehlspräfix „sudo“ können Sie Befehle ausführen, für die Stammzugriff
erforderlich ist. Wenn Sie beispielsweise keinen Stammzugriff haben, schlägt der
folgende Befehl fehl:
isi alert list
Wenn Sie jedoch in der Sudoers-Liste aufgeführt sind, weil Sie Mitglied einer Rolle sind,
die über die Berechtigung ISI_PRIV_EVENT verfügt, wird der folgende Befehl erfolgreich
ausgeführt:
sudo isi alert list
In der folgenden Tabelle sind alle verfügbaren OneFS-Befehle sowie die entsprechende
Berechtigung oder die Stammzugriffsanforderung sowie Informationen dazu aufgeführt,
ob sudo für die Ausführung des Befehls erforderlich ist.
Hinweis
Wenn Sie im Compliancemodus arbeiten, sind weitere sudo-Befehle verfügbar.
Tabelle 14 Berechtigungen, sortiert nach CLI-Befehl
204
isi-Befehl
Berechtigung
sudo erforderlich
isi alerts
ISI_PRIV_EVENT
x
isi audit
ISI_PRIV_AUDIT
isi auth - excluding isi auth
role
ISI_PRIV_AUTH
isi auth role
ISI_PRIV_ROLE
isi avscan
ISI_PRIV_ANTIVIRUS
x
isi batterystatus
ISI_PRIV_STATISTICS
x
isi config
root
isi-Befehl
Berechtigung
sudo erforderlich
isi dedupe - excluding isi
dedupe stats
ISI_PRIV_JOB_ENGINE
isi dedupe stats
ISI_PRIV_STATISTICS
isi devices
ISI_PRIV_DEVICES
isi drivefirmware
root
isi domain
root
isi email
ISI_PRIV_CLUSTER
x
isi events
ISI_PRIV_EVENT
x
isi exttools
root
isi fc
root
isi filepool
ISI_PRIV_SMARTPOOLS
isi firmware
root
isi ftp
ISI_PRIV_FTP
isi get
root
isi hdfs
ISI_PRIV_HDFS
isi iscsi
ISI_PRIV_ISCSI
isi job
ISI_PRIV_JOB_ENGINE
isi license
ISI_PRIV_LICENSE
x
isi lun
ISI_PRIV_ISCSI
x
isi ndmp
ISI_PRIV_NDMP
x
isi networks
ISI_PRIV_NETWORK
x
isi nfs
ISI_PRIV_NFS
isi perfstat
ISI_PRIV_STATISTICS
isi pkg
root
isi quota
ISI_PRIV_QUOTA
isi readonly
root
isi remotesupport
isi servicelight
ISI_PRIV_DEVICES
isi services
root
isi set
root
isi smb
ISI_PRIV_SMB
isi snapshot
ISI_PRIV_SNAPSHOT
isi snmp
ISI_PRIV_SNMP
x
x
x
x
x
x
205
isi-Befehl
Berechtigung
sudo erforderlich
isi stat
ISI_PRIV_STATISTICS
x
isi statistics
ISI_PRIV_STATISTICS
x
isi status
ISI_PRIV_STATISTICS
x
isi storagepool
ISI_PRIV_SMARTPOOLS
isi sync
ISI_PRIV_SYNCIQ
isi tape
ISI_PRIV_NDMP
x
isi target
ISI_PRIV_ISCSI
x
isi update
root
isi version
ISI_PRIV_CLUSTER
isi worm
ISI_PRIV_WORM
isi zone
ISI_PRIV_AUTH
x
Tabelle 15 CLI-Befehle, sortiert nach Berechtigung
Berechtigung
isi-Befehle
ISI_PRIV_ANTIVIRUS
l
isi avscan
ISI_PRIV_AUDIT
l
isi audit
ISI_PRIV_AUTH
l
isi auth - excluding isi auth
role
l
isi zone
ISI_PRIV_IFS_BACKUP
-
ISI_PRIV_CLUSTER
l
isi email
l
isi version
l
isi devices
l
isi servicelight
l
isi alerts
l
isi events
ISI_PRIV_FTP
l
isi ftp
ISI_PRIV_HDFS
l
isi hdfs
ISI_PRIV_ISCSI
l
isi iscsi
l
isi lun
l
isi target
ISI_PRIV_DEVICES
ISI_PRIV_EVENT
206
sudo erforderlich
x
-
x
x
x
x
x
Berechtigung
isi-Befehle
sudo erforderlich
ISI_PRIV_JOB_ENGINE
l
isi job
l
isi dedupe - excluding isi
dedupe stats
ISI_PRIV_LICENSE
l
isi license
x
ISI_PRIV_NDMP
l
isi ndmp
x
l
isi tape
ISI_PRIV_NETWORK
l
isi networks
ISI_PRIV_NFS
l
isi nfs
ISI_PRIV_QUOTA
l
isi quota
ISI_PRIV_ROLE
l
isi auth role
l
isi remotesupport
ISI_PRIV_IFS_RESTORE
-
ISI_PRIV_SMARTPOOLS
l
isi filepool
l
isi storagepool
ISI_PRIV_SMB
l
isi smb
ISI_PRIV_SNAPSHOT
l
isi snapshot
ISI_PRIV_SNMP
l
isi snmp
x
ISI_PRIV_STATISTICS
l
isi batterystatus
x
l
isi dedupe stats
l
isi perfstat
l
isi stat
l
isi statistics
l
isi status
ISI_PRIV_SYNCIQ
l
isi sync
ISI_PRIV_WORM
l
isi worm
root
l
isi config
l
isi domain
l
isi drivefirmware
l
isi exttools
l
isi fc
l
isi firmware
x
-
207
Berechtigung
isi-Befehle
l
isi get
l
isi pkg
l
isi readonly
l
isi services
l
isi set
l
isi update
sudo erforderlich
Datenbackup- und Wiederherstellungsberechtigungen
Sie können einem Benutzer Berechtigungen zuweisen, die sich speziell auf
Clusterdatenbackup und Wiederherstellung beziehen.
Die folgenden zwei Berechtigungen ermöglichen einem Benutzer das Backup und die
Wiederherstellung von Clusterdaten über unterstützte clientseitige Protokolle:
ISI_PRIV_IFS_BACKUP und ISI_PRIV_IFS_RESTORE.
ACHTUNG
Diese Berechtigungen umgehen herkömmliche Dateizugriffsprüfungen wie Modusbits
oder NTFS-ACLs.
Die meisten Clusterberechtigungen erlauben auf irgendeine Art und Weise die
Durchführung von Änderungen an der Clusterkonfiguration. Die Backup- und
Wiederherstellungsberechtigungen ermöglichen den Zugriff auf Clusterdaten über die
Systemzone, die Übertragung aller Verzeichnisse und Lesevorgänge aller File-basierten
Daten und Metadaten unabhängig von den Dateiberechtigungen.
Benutzer mit diesen Berechtigungen nutzen das Protokoll als Backupprotokoll auf andere
Maschinen, ohne dass Zugriffsverweigerungsfehler erzeugt werden, und ohne sich als
Stammbenutzer anmelden zu müssen. Diese beiden Berechtigungen werden über die
folgenden clientseitigen Protokolle unterstützt:
l
SMB
l
RAN API
l
FTP
l
SSH
Über SMB emulieren die Berechtigungen ISI_PRIV_IFS_BACKUP und
ISI_PRIV_IFS_RESTORE die Windows-Berechtigungen SE_BACKUP_NAME und
SE_BACKUP_NAME. Emulation bedeutet, dass normale Dateiöffnungsverfahren durch
Dateisystemberechtigungen geschützt sind. Um die Backup- und
Wiederherstellungsberechtigungen über das SMB-Protokoll zu aktivieren, müssen Sie
Dateien mit der Option FILE_OPEN_FOR_BACKUP_INTENT öffnen, die automatisch durch
Windows-Backupsoftware wie Robocopy auftritt. Die Anwendung der Option erfolgt nicht
automatisch, wenn Dateien mit allgemeiner Dateibrowsersoftware wie Windows-DateiExplorer geöffnet wird.
Die Berechtigungen ISI_PRIV_IFS_BACKUP und ISI_PRIV_IFS_RESTORE unterstützen
hauptsächlich Windows-Backuptools wie Robocopy. Ein Benutzer muss Mitglied der
208
integrierten BackupAdmin-Rolle sein, um Zugriff auf alle Robocopy-Funktionen zu
erhalten, darunter das Kopieren von Datei-DACL und SACL-Metadaten.
Dienstprogramm für Benutzerberechtigungen
Sie können die erwarteten Benutzer- oder Gruppenberechtigungen für eine bestimmte
Datei oder ein bestimmtes Verzeichnis mit dem Dienstprogramm für erwartete
Benutzerberechtigungen anzeigen.
Das über die Befehlszeilenoberfläche zugängliche Dienstprogramm für erwartete
Benutzerberechtigungen bietet eine schnelle Erkennung von Benutzer- und
Gruppenberechtigungen und zeigt die ACL- oder Modusbitberechtigungen an. Das
Dienstprogramm zeigt jedoch keine Berechtigungen oder SMB-Freigabeberechtigungen
an.
Hinweis
Sie müssen Mitglied einer Rolle sein, die über die Berechtigungen ISI_PRIV_LOGIN_SSH
und ISI_PRIV_AUTH verfügt, um dieses Dienstprogramm auszuführen.
Informationen zur Anzeige von Gruppen- oder Benutzerberechtigungen finden Sie unter
dem Thema „Anzeigen erwarteter Benutzerberechtigungen“.
Authentifizierung
OneFS unterstützt lokale und Remoteauthentifizierungsanbieter, die die Identität von
Benutzern beim Zugriff auf ein EMC Isilon-Cluster überprüfen. Anonymer Zugriff, der keine
Authentifizierung erfordert, wird für Protokolle unterstützt, die dies gestatten.
OneFS unterstützt gleichzeitig mehrere Arten von Authentifizierungsanbietern, die analog
zu Verzeichnisservices sind. Beispielsweise wird OneFS oft so konfiguriert, dass
Windows-Clients mit Active Directory und UNIX-Clients mit LDAP authentifiziert werden.
Sie können auch NIS von Sun Microsystems konfigurieren, um Benutzer und Gruppen
beim Zugriff auf ein Cluster zu authentifizieren.
Hinweis
OneFS ist RFC 2307-vorgabenkonform.
Unterstützte Authentifizierungsanbieter
Sie können lokale und Remoteauthentifizierungsanbieter konfigurieren, um den
Benutzerzugriff auf ein EMC Isilon-Cluster zu authentifizieren oder zu verweigern.
In der folgenden Tabelle werden die Funktionen verglichen, die mit jedem der von OneFS
unterstützen Authentifizierungsanbieter verfügbar sind. In der folgenden Tabelle zeigt ein
x an, dass eine Funktion von einem Anbieter vollständig unterstützt wird. Ein Sternchen
(*) zeigt an, dass eine zusätzliche Konfiguration oder Support von einem anderen
Anbieter erforderlich ist.
Authentifizierungsanbieter NTLM Kerberos Benutzer-/
Netzwerkgruppen UNIXWindowsGruppenmanagement
Eigenschaften Eigenschaften
(RFC 2307)
Active Directory
x
x
LDAP
*
x
NIS
*
x
x
x
*
x
x
Dienstprogramm für Benutzerberechtigungen
209
Authentifizierungsanbieter NTLM Kerberos Benutzer-/
Netzwerkgruppen UNIXWindowsGruppenmanagement
Eigenschaften Eigenschaften
(RFC 2307)
Lokal
x
Datei
x
MIT Kerberos
x
x
x
x
x
*
*
x
*
Authentifizierungsanbieterfunktionen
Sie können Authentifizierungsanbieter für Ihre Umgebung konfigurieren.
Authentifizierungsanbieter unterstützen eine Mischung von Funktionen, die in der
folgenden Tabelle beschrieben sind.
Feature
Beschreibung
Authentifizierung
Alle Authentifizierungsanbieter unterstützen die
Klartextauthentifizierung. Sie können bestimmte Anbieter so
konfigurieren, dass sie auch die NTLM- oder KerberosAuthentifizierung unterstützen.
Benutzer und Gruppen
OneFS bietet die Möglichkeit, Benutzer und Gruppen direkt auf
dem Cluster zu managen.
Netzwerkgruppen
Netzwerkgruppen schränken spezifisch für NFS den Zugriff auf
NFS-Exporte ein.
UNIX-zentrische Benutzer- und
Gruppeneigenschaften
Anmelde-Shell, Stammverzeichnis, UID und GID. Fehlende
Informationen werden durch Konfigurationsvorlagen oder
zusätzliche Authentifizierungsanbieter ergänzt.
Windows-zentrische Benutzerund Gruppeneigenschaften
NetBIOS-Domain und SID. Fehlende Informationen werden
durch Konfigurationsvorlagen ergänzt.
Kerberos-Authentifizierung
Kerberos ist ein Netzwerkauthentifizierungsanbieter, der Verschlüsselungstickets für die
Sicherung einer Verbindung verhandelt. OneFS unterstützt die Authentifizierungsanbieter
Active Directory Kerberos und MIT Kerberos in einem EMC Isilon-Cluster. Wenn Sie einen
Active Directory-Anbieter konfigurieren, wird die Kerberos-Authentifizierung automatisch
bereitgestellt. MIT Kerberos arbeitet unabhängig von Active Directory.
Für die MIT Kerberos-Authentifizierung definieren Sie eine Administrationsdomain, die als
„Bereich " bezeichnet wird. In diesem Bereich ist ein Authentifizierungsserver dazu
berechtigt, einen Benutzer, Host oder Service zu authentifizieren. Sie können optional
eine Kerberos-Domain definieren, damit weitere Domainerweiterungen mit einem Bereich
verknüpft werden.
Der Authentifizierungsserver in einer Kerberos-Umgebung wird als Key Distribution Center
(KDC) bezeichnet und verteilt verschlüsselte Tickets. Wenn sich ein Benutzer mit einem
MIT Kerberos-Anbieter innerhalb eines Bereichs authentifiziert, wird ein verschlüsseltes
Ticket mit dem Serviceprinzipalnamen (SPN) des Benutzers erstellt und validiert, um die
Benutzer-ID für den angeforderten Service sicher zu übergeben.
Sie können einen MIT Kerberos-Anbieter für die Authentifizierung in bestimmte
Zugriffszonen aufnehmen. Jede Zugriffszone kann höchstens einen MIT Kerberos-Anbieter
210
enthalten. Sie können die Authentifizierung durch einen MIT Kerberos-Anbieter beenden,
indem Sie den Anbieter aus allen referenzierten Zugriffszonen löschen.
Übersicht über Keytabs und SPNs
Ein Key Distribution Center (KDC) ist ein Authentifizierungsserver, der Konten und Keytabs
für Benutzer speichert, die eine Verbindung mit einem Netzwerkservice innerhalb eines
EMC Isilon-Clusters herstellen. Ein Keytab ist eine Schlüsseltabelle, die die Schlüssel
speichert, um Kerberos-Tickets zu validieren und zu verschlüsseln.
Eines der Felder in einem Keytab-Eintrag ist ein Serviceprinzipalname (SPN). Ein SPN
identifiziert eine einzigartige Serviceinstanz innerhalb eines Clusters. Jeder SPN ist mit
einem bestimmten Schlüssel im KDC verknüpft. Benutzer können den SPN und die
zugehörigen Schlüssel dazu verwenden, Kerberos-Tickets zu erwerben, die den Zugriff
auf verschiedene Services im Cluster ermöglichen. Ein Mitglied der SecurityAdmin-Rolle
kann neue Schlüssel für die SPNs erstellen und sie bei Bedarf später ändern. Ein SPN für
einen Service wird in der Regel als<service>/<fqdn>@<realm> angezeigt.
Hinweis
SPNs müssen mit dem SmartConnect-Zonennamen und dem FQDN-Hostnamen des
Clusters übereinstimmen. Wenn die SmartConnect-Zoneneinstellungen geändert werden,
müssen Sie die SPNs im Cluster aktualisieren, um die Änderungen wiederzugeben.
Support für das MIT Kerberos-Protokoll
MIT Kerberos unterstützt bestimmte Standardnetzwerk-Kommunikationsprotokolle wie
HTTP, HDFS und NFS. MIT Kerberos unterstützt nicht die Protokolle SMB, SSH und FTP.
Für den Support des NFS-Protokolls muss MIT Kerberos für einen Export aktiviert sein und
ein Kerberos-Anbieter muss innerhalb der Zugriffszone enthalten sein.
LDAP
Das LDAP (Lightweight Directory Access Protocol) ist ein Netzwerkprotokoll, mit dem Sie
Verzeichnisservices und -ressourcen definieren, abfragen und ändern können.
OneFS kann Benutzer und Gruppen gegen ein LDAP-Repository authentifizieren, um
diesen Zugriff auf das Cluster zu gewähren. OneFS unterstützt die KerberosAuthentifizierung für einen LDAP-Anbieter.
Der LDAP-Service unterstützt die folgenden Funktionen:
l
Benutzer, Gruppen und Netzwerkgruppen
l
Konfigurierbare LDAP-Schemata. Beispielsweise ermöglicht das Schema „ldapsam“
die NTLM-Authentifizierung über das SMB-Protokoll für Benutzer mit Windowsähnlichen Attributen.
l
Einfache BIND-Authentifizierung (mit und ohne SSL)
l
Serverübergreifende Redundanz und Lastenausgleich mit identischen
Verzeichnisdaten
l
Mehrere LDAP-Anbieterinstanzen für den Zugriff auf Server mit verschiedenen
Benutzerdaten
l
Verschlüsselte Passwörter
Active Directory
Der Active Directory-Verzeichnisdienst ist eine Microsoft-Implementierung von LDAP(Lightweight Directory Access Protocol), Kerberos- und DNS-Technologien, mit denen
LDAP
211
Informationen über Netzwerkressourcen gespeichert werden können. Active Directory
bietet viele Funktionen, aber der Hauptgrund für die Verbindung des Clusters mit der
Active Directory-Domain besteht in der Authentifizierung von Benutzern und Gruppen.
Wenn das Cluster einer Active Directory-Domain beitritt, wird ein einziges Active
Directory-Computerkonto erstellt. Das Computerkonto erstellt eine Vertrauensbeziehung
zur Domain und aktiviert das Cluster zur Authentifizierung und Autorisierung von
Benutzern in der Active Directory-Gesamtstruktur. Standardmäßig trägt das
Computerkonto denselben Namen wie das Cluster. Wenn der Clustername mehr als
15 Zeichen umfasst, wird der Name gehasht und nach dem Beitritt zur Domain angezeigt.
Hinweis
Wenn Sie einen Active Directory-Anbieter konfigurieren, wird die KerberosAuthentifizierung automatisch bereitgestellt.
Beachten Sie möglichst die folgenden Policies, wenn Sie Active Directory-Anbieter auf
einem Cluster konfigurieren:
l
Konfigurieren Sie eine einzige Instanz von Active Directory, wenn alle Domains eine
Vertrauensbeziehung haben.
l
Konfigurieren Sie mehrere Active Directory-Instanzen nur, um den Zugriff auf mehrere
Sätze gegenseitig nicht vertrauenswürdiger Domains zu gewähren.
NIS
Der Network Information Service (NIS) sorgt für Einheitlichkeit bei der Authentifizierung
und Identität über LANs hinweg. OneFS enthält einen NIS-Authentifizierungsanbieter, mit
dem Sie das Cluster mit Ihrer NIS-Infrastruktur integrieren können.
NIS von Sun Microsystems kann Benutzer und Gruppen beim Zugriff auf das Cluster
authentifizieren. Der NIS-Anbieter erkennt die Passwort-, Gruppen- und
Netzwerkgruppenzuordnungen von einem NIS-Server. Hostnamenabfragen werden
ebenfalls unterstützt. Sie können mehrere Server für Redundanz und Lastenausgleich
angeben.
Hinweis
NIS unterscheidet sich vom Protokoll NIS+, welches von OneFS nicht unterstützt wird.
Dateianbieter
Mit einem Dateianbieter können Sie einem EMC Isilon-Cluster eine autorisierende
Drittanbieterquelle für Benutzer- und Gruppeninformationen bereitstellen. Eine
Drittanbieterquelle ist in UNIX- und Linux-Umgebungen nützlich, in denen /etc/
passwd-, /etc/group- und etc/netgroup-Dateien über mehrere Server
synchronisiert werden.
Standard-BSD-/etc/spwd.db und /etc/group-Datenbankdateien fungieren als
Hintergrundspeicher des Dateianbieters auf einem Cluster. Sie erzeugen die spwd.dbDatei, indem Sie den Befehl pwd_mkdb in der OneFS-Befehlszeilenoberfläche (CLI)
ausführen. Sie können Aktualisierungen der Datenbankdateien in einem Skript festlegen.
Auf einem Cluster werden Passwörter von Dateianbietern mit libcrypt gehasht. Das
Modular-Crypt-Format wird analysiert, um den Hashing-Algorithmus zu bestimmen. Die
folgenden Algorithmen werden unterstützt:
l
212
MD5
l
Blowfish
l
NT-Hash
l
SHA-256
l
SHA-512
Hinweis
Der integrierte Systemdateianbieter umfasst Services zum Auflisten, Managen und
Authentifizieren gegen Systemkonten wie Stamm, Admin und Niemand. Es wird
empfohlen, den Systemdateianbieter nicht zu ändern.
Lokaler Anbieter
Der lokale Anbieter bietet Authentifizierungs- und Abfragefunktionen für Benutzerkonten,
die von einem Administrator hinzugefügt werden.
Die lokale Authentifizierung kann nützlich sein, wenn Verzeichnisservices wie Active
Directory, LDAP oder NIS nicht konfiguriert sind, oder wenn ein bestimmter Benutzer bzw.
eine bestimmte Anwendung Zugriff auf das Cluster benötigt. Lokale Gruppen können
integrierte Gruppen und Active Directory-Gruppen als Mitglieder umfassen.
Neben dem Konfigurieren von netzwerkbasierten Authentifizierungsquellen können Sie
lokale Benutzer und Gruppen managen, indem Sie eine lokale Passwort-Policy für jeden
Node im Cluster konfigurieren. In OneFS-Einstellungen sind Komplexität des Passworts,
Gültigkeitsdauer und Wiederverwendung von Passwörtern sowie Sperr-Policies bei
wiederholten Passworteingaben festgelegt.
Datenzugriffskontrolle
Sie können ein EMC Isilon-Cluster so konfigurieren, dass UNIX- und Windows-Benutzer
über NFS und SMB Zugriff auf Inhalt haben, unabhängig vom Protokoll, mit dem die
Daten gespeichert wurden.
Das OneFS-Betriebssystem unterstützt den Multiprotokolldatenzugriff über SMB (Server
Message Block) und NFS (Network File System) mit einem einheitlichen
Sicherheitsmodell. Der Standardexport auf einem Cluster, /ifs, ermöglicht Linux- und
UNIX-Clients in NFS das remote Mounten jedes Unterverzeichnisses, darunter auch von
Windows-Benutzern erstellte Unterverzeichnisse. Linux- und UNIX-Clients können auch
die von einem OneFS-Administrator erstellten ACL-geschützten Unterverzeichnisse
mounten.
Umgekehrt ermöglicht die Standarddateifreigabe auf einem Cluster, /ifs, WindowsBenutzern in SMB Zugriff auf Dateisystemressourcen über das Netzwerk. Dies gilt auch
für Ressourcen, die von UNIX- und Linux-Systemen gespeichert werden. Das gleiche
Zugriffsmodell gilt für Verzeichnisse und Dateien.
Standardmäßig verwendet OneFS dieselben Dateiberechtigungen unabhängig vom
Betriebssystem des Clients, vom Identitätsmanagementsystem des Benutzers oder vom
Dateifreigabeprotokoll. Wenn OneFS die Dateiberechtigungen von ACLs zu Modusbits
oder umgekehrt transformieren muss, werden die Berechtigungen in einer optimalen
Darstellung kombiniert, die Benutzererwartungen und Dateisicherheit ausgleicht.
Autorisierung
OneFS unterstützt zwei Arten von Autorisierungsdaten für eine Datei: Windows-ACLs
(Zugriffskontrolllisten) und POSIX-Modusbits (UNIX-Berechtigungen). Der
Lokaler Anbieter
213
Autorisierungstyp basiert auf den festgelegten ACL-Policies und auf der
Dateierstellungsmethode.
Der Zugriff auf eine Datei oder ein Verzeichnis unterliegt entweder einer Windows-ACL
oder UNIX-Modusbits. Unabhängig vom Sicherheitsmodell erzwingt OneFS Zugriffsrechte
einheitlich für alle Zugriffsprotokolle. Einem Benutzer werden dieselben Rechte für eine
Datei gewährt oder verweigert, egal ob er SMB für Windows-Dateifreigaben oder NFS für
UNIX-Dateifreigaben verwendet.
Ein EMC Isilon-Cluster umfasst globale Policy-Einstellungen, die es Ihnen ermöglichen,
die standardmäßigen ACL- und UNIX-Berechtigungen optimal für Ihre Umgebung
anzupassen. In der Regel erhalten Dateien, die über SMB oder in einem anderen
Verzeichnis erstellt werden, das über eine ACL verfügt, eine ACL; andernfalls verwendet
OneFS die POSIX-Modusbits, die UNIX-Berechtigungen definieren. In beiden Fällen wird
der Eigentümer durch eine UNIX-Kennung (UID oder GID) oder durch seine WindowsKennung (SID) dargestellt. Die primäre Gruppe wird durch eine GID oder SID dargestellt.
Obgleich Modusbits vorhanden sind, wenn eine Datei eine ACL hat, werden die
Modusbits nur für Protokollkompatibilität und nicht für Zugriffsprüfungen bereitgestellt.
Hinweis
Obgleich Sie ACL-Policies zur Optimierung eines Clusters für UNIX oder Windows
konfigurieren können, sollten Sie dies nur tun, wenn Sie verstehen, wie ACL- und UNIXBerechtigungen interagieren.
Das OneFS-Dateisystem wird standardmäßig mit UNIX-Berechtigungen installiert. Sie
können einer Datei oder einem Verzeichnis über Windows Explorer oder OneFSAdministrationstools eine ACL geben. Zusätzlich zu Windows-Domainbenutzern und gruppen können ACLs in OneFS lokale, NIS- und LDAP-Benutzer und -Gruppen enthalten.
Nachdem Sie einer Datei eine ACL gegeben haben, erzwingt OneFS nicht länger die
Modusbits der Datei, die lediglich als eine Schätzung der effektiven Berechtigungen
erhalten bleiben.
SMB
Sie können SMB-Freigaben konfigurieren, um Windows-Clients Netzwerkzugriff auf die
Dateisystemressourcen des Clusters zu ermöglichen. Sie können Benutzern und Gruppen
Berechtigungen für die Ausführung von Vorgängen wie Lesen, Schreiben und Festlegen
von Zugriffsberechtigungen auf SMB-Freigaben gewähren.
ACLs
In Windows-Umgebungen werden Datei- und Verzeichnisberechtigungen (Zugriffsrechte)
durch ACLs (Zugriffskontrolllisten) definiert. Obwohl ACLs komplexer sind als Modusbits,
können mit ACLs wesentlich granularere Sätze von Zugriffsregeln definiert werden. OneFS
überprüft die in der Regel mit Windows-ACLs verknüpften CL-Verarbeitungsregeln.
Windows-ACLs enthalten unter Umständen ACEs (Access Control Entries), die jeweils die
Sicherheitskennung (SID) eines Benutzers oder einer Gruppe als Bevollmächtigten
darstellen. In OneFS kann eine ACL ACEs mit einer UID, GID oder SID als Bevollmächtigten
enthalten. Jeder ACE umfasst einen Satz von Rechten, die Zugriff auf eine Datei oder
einen Ordner gewähren oder verweigern. Ein ACE kann eine Vererbungsmarkierung
enthalten, um festzulegen, ob der ACE von untergeordneten Ordnern und Dateien
übernommen werden soll.
214
Hinweis
Anstelle der drei Standardberechtigungen für Modusbits verfügen ACLs über 32 Bits
differenzierter Zugriffsrechte. Davon sind die oberen 16 Bits allgemein und gelten für alle
Objekttypen. Die unteren 16 Bits variieren zwischen Dateien und Verzeichnissen, werden
jedoch auf eine Weise definiert, die es den meisten Anwendungen ermöglicht, die
gleichen Bits für Dateien und Verzeichnisse anzuwenden.
Rechte gewähren oder verweigern den Zugriff für einen bestimmten Bevollmächtigten. Sie
können den Benutzerzugriff durch einen Deny-ACE ausdrücklich sperren, oder implizit,
indem Sie sicherstellen, dass ein Benutzer weder direkt noch indirekt in einer Gruppe
erscheint, der ein ACE das entsprechende Recht gewährt.
NFS
Sie können NFS-Exporte konfigurieren, um UNIX-Clients Netzwerkzugriff auf die
Dateisystemressourcen auf dem Cluster zu ermöglichen.
UNIX-Berechtigungen
In einer UNIX-Umgebung wird der Datei- und Verzeichniszugriff mit POSIX-Modusbits
gesteuert, die dem Eigentümerbenutzer, der Eigentümergruppe und allen anderen
Benutzern Lese-, Schreib- oder Ausführungsberechtigungen gewähren.
OneFS unterstützt die standardmäßigen UNIX-Tools zum Anzeigen und Ändern von
Berechtigungen, ls, chmod und chown. Weitere Information erhalten Sie, indem Sie die
Befehle man ls, man chmod und man chown ausführen.
Alle Dateien enthalten 16 Berechtigungsbits, die Informationen über die Datei- oder
Verzeichnisart und Berechtigungen enthalten. Die unteren neun Bits sind in drei Sätzen
mit jeweils drei Bits (Dreiergruppen) gruppiert, die die Lese-, Schreib- und
Ausführungsberechtigungen (RWX-Berechtigungen) für jede Benutzerklasse, d. h.
Eigentümer, Gruppe und Andere, enthalten. Sie können Berechtigungsmarkierungen
festlegen, um jeder dieser Klassen Berechtigungen zu gewähren.
OneFS prüft nur bei Stammbenutzern die Klasse, um zu bestimmen, ob der Zugriff auf die
Datei gewährt oder verweigert wird. Die Klassen sind nicht kumulativ: Die erste
übereinstimmende Klasse wird verwendet. Es ist deshalb üblich, Berechtigungen in
absteigender Reihenfolge zu gewähren.
Umgebungen mit gemischten Berechtigungen
Wenn ein Dateivorgang Autorisierungsdaten eines Objekts anfordert (z. B. mit dem Befehl
ls-l über NFS oder mit der Registerkarte Security des Dialogfelds Properties in
Windows Explorer über SMB), versucht OneFS, diese Daten im angeforderten Format
bereitzustellen. In einer Umgebung mit UNIX- und Windows-Systemen kann bei
Vorgängen wie der Erstellung von Dateien, der Festlegung von Sicherheitseinstellungen,
Sicherheitsabfragen und dem Zugriff auf Dateien eine Übersetzung erforderlich sein.
NFS-Zugriff von mit Windows erstellten Dateien
Wenn eine Datei einen Eigentümerbenutzer oder eine Eigentümergruppe enthält, die eine
SID ist, versucht das System, diese einer entsprechenden UID oder GID zuzuordnen,
bevor sie sie an den Benutzer zurückgibt.
In UNIX werden Autorisierungsdaten abgerufen, indem stat(2) für eine Datei abgerufen
und der Eigentümer, die Gruppe und die Modusbits überprüft werden. Über NFSv3
funktioniert der GETATTR-Befehl auf ähnliche Art und Weise. Das System schätzt die
NFS
215
Modusbits und stellt diese in der Datei ein, sobald deren ACL geändert wird.
Modusbitnäherungswerte müssen nur abgerufen werden, um diese Aufrufe zu
bearbeiten.
Hinweis
SID-zu-UID- und SID-zu-GID-Zuordnungen werden im Cache von OneFS-ID-Mapper und im
stat-Cache zwischengespeichert. Wenn eine Zuordnung kürzlich geändert wurde, kann
die Datei vorübergehend ungenaue Informationen melden, bis sie aktualisiert oder der
Cache geleert wird.
SMB-Zugriff von mit UNIX erstellten Dateien
Es werden keine UID-zu-SID- oder GID-zu-SID-Zuordnungen ausgeführt, wenn eine ACL für
eine Datei erstellt wird. Alle UIDs und GIDs werden in SIDs oder Prinzipale konvertiert,
wenn die ACL zurückgegeben wird.
OneFS initiiert einen zwei Schritte umfassenden Prozess für die Zurückgabe eines
Sicherheitsdeskriptors, der SIDs für den Eigentümer und die primäre Gruppe eines
Objekts enthält:
1. Der aktuelle Sicherheitsdeskriptor wird von der Datei abgerufen. Wenn die Datei
keine DACL (Discretionary Access Control List) hat, wird eine synthetische ACL
anhand der niedrigeren neun Modusbits der Datei erstellt, die in drei Sätze von
Berechtigungsdreiergruppen aufgeteilt werden, jeweils eine für Eigentümer, Gruppe
und Jeden. Ausführliche Informationen zu Modusbits finden Sie im Abschnitt zu UNIXBerechtigungen.
2. Für jede Berechtigungsdreiergruppe werden zwei ACEs (Access Control Entries)
erstellt: die Option allow ACE enthält die entsprechenden Rechte, die gemäß den
Berechtigungen gewährt werden; deny ACE enthält die entsprechenden Rechte, die
verweigert werden. In beiden Fällen entspricht der ACE-Bevollmächtigte dem
Eigentümer von Datei, Gruppe oder Jedem. Nachdem alle ACEs erzeugt wurden,
werden alle nicht erforderlichen ACEs gelöscht, bevor die synthetische ACL
zurückgegeben wird.
Managen von Rollen
Sie können Mitglieder jeder Rolle anzeigen, hinzufügen oder löschen. Mit Ausnahme von
integrierten Rollen, deren Rechte nicht geändert werden können, können Sie OneFSBerechtigungen nach einzelnen Rollen hinzufügen oder entfernen.
Hinweis
Rollen können Benutzer und Gruppen als Mitglieder aufnehmen. Wenn eine Gruppe einer
Rolle hinzugefügt wird, werden allen Benutzern, die Mitglieder dieser Gruppe sind, die
mit der Rolle verknüpften Berechtigungen zugewiesen. In ähnlicher Weise erhalten
Mitglieder mehrerer Rollen die kombinierten Berechtigungen jeder Rolle.
Anzeigen von Rollen
Sie können Informationen zu integrierten und benutzerdefinierten Rollen aufrufen.
Vorgehensweise
1. Führen Sie einen der folgenden Befehle aus, um Rollen anzuzeigen.
216
l
Führen Sie den folgenden Befehl aus, um eine grundlegende Liste aller Rollen im
Cluster anzuzeigen:
isi auth roles list
l
Um detaillierte Informationen zu jeder Rolle, einschließlich Mitgliedern und
Berechtigungslisten, im Cluster anzuzeigen, führen Sie den folgenden Befehl aus:
isi auth roles list --verbose
l
Führen Sie den folgenden Befehl aus, um detaillierte Informationen zu einer
bestimmten Rolle anzuzeigen, wobei <role> der Name der Rolle ist:
isi auth roles view <role>
Anzeigen von Benutzerrechten
Sie können Benutzerrechte anzeigen.
Dieses Verfahren muss über die Befehlszeilenoberfläche (CLI) ausgeführt werden. Sie
können eine Liste Ihrer Berechtigungen oder der Berechtigungen eines anderen
Benutzers anzeigen, indem Sie die folgenden Befehle verwenden:
Vorgehensweise
2. Führen Sie zum Anzeigen von Benutzerrechten einen der folgenden Befehle aus:
l
Führen Sie zum Auflisten aller Benutzerrechte den folgenden Befehl aus:
isi auth privileges --verbose
l
Führen Sie zum Auflisten Ihrer Benutzerrechte den folgenden Befehl aus:
isi auth id
l
Führen Sie zum Auflisten der Benutzerrechte eines anderen Benutzers den
folgenden Befehl aus, wobei <user> ein Platzhalter für den Namen eines anderen
Benutzers ist:
isi auth mapping token <user>
Erstellen und Ändern einer benutzerdefinierten Rolle
Sie können eine leere benutzerdefinierte Rolle erstellen und dann Benutzer und
Berechtigungen hinzufügen.
Vorgehensweise
2. Führen Sie den folgenden Befehl aus, um eine Rolle zu erstellen, wobei <name> der
Name ist, den Sie der Rolle zuweisen möchten, und <string> eine optionale
Beschreibung angibt:
isi auth roles create <name> [--description <string>]
3. Führen Sie den folgenden Befehl aus, um der Rolle einen Benutzer hinzuzufügen,
wobei <role> der Name der Rolle und <string> der Name des Benutzers ist:
isi auth roles modify <role> [--add-user <string>]
Anzeigen von Benutzerrechten
217
Hinweis
Sie können auch die Liste der Benutzer ändern, die einer integrierten Rolle
zugewiesen sind.
4. Führen Sie den folgenden Befehl aus, um der Rolle eine Berechtigung mit Lese-/
Schreibzugriff hinzuzufügen, wobei <role> der Name der Rolle und <string> der Name
der Berechtigung ist:
isi auth roles modify <role> [--add-priv <string>]
5. Führen Sie den folgenden Befehl aus, um der Rolle eine Berechtigung mit Lesezugriff
hinzuzufügen, wobei <role> der Name der Rolle und <string> der Name der Berechtigung
ist:
isi auth roles modify <role> [--add-priv-ro <string>]
Löschen einer benutzerdefinierten Rolle
Das Löschen einer Rolle wirkt sich nicht auf die der Rolle zugewiesenen Berechtigungen
oder Benutzer aus. Systemeigene Rollen können nicht gelöscht werden.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um eine benutzerdefinierte Rolle zu löschen,
wobei <name> der Name der Rolle ist, die Sie löschen möchten:
isi auth roles delete <name>
Managen von Authentifizierungsanbietern
Sie können einen oder mehrere LDAP-, Active Directory-, NIS-, Datei- und KerberosAnbieter konfigurieren. Ein lokaler Anbieter wird automatisch erstellt, wenn Sie eine
Zugriffszone erstellen. Sie können daher eine Konfiguration für jede Zugriffszone
erstellen, sodass diese eine eigene Liste lokaler Benutzer zur Authentifizierung hat. Sie
können auch eine Passwort-Policy für jeden lokalen Anbieter erstellen, um
Passwortkomplexität zu erzwingen.
Managen von LDAP-Anbietern
Sie können LDAP-Anbieter anzeigen, konfigurieren, ändern und löschen. Sie können die
Authentifizierung durch einen LDAP-Anbieter aufheben, indem Sie sie von allen
Zugriffszonen löschen, auf denen sie verwendet wird.
Konfigurieren eines LDAP-Anbieters
Wenn Sie einen LDAP-Anbieter konfigurieren, wird dieser automatisch der
Systemzugriffszone hinzugefügt.
Vorgehensweise
1. Wenn der LDAP-Server anonyme Abfragen zulässt, können Sie einen LDAP-Anbieter
erstellen, indem Sie den Befehl isi auth ldap create mit folgenden
218
Parametern ausführen, wobei die Variablen in eckigen Klammern Platzhalter für Werte
darstellen, die für Ihre Umgebung spezifisch sind:
isi auth ldap create <name> --base-dn=<base-distinguished-name> \
--server-uris=<uri>
Mit dem folgenden Befehl wird der Benutzer „test“ mit dem LDAP-Server „testldap.example.com“ verbunden:
isi auth ldap create test \
--base-dn="dc=test-ldap,dc=example,dc=com" \
--server-uris="ldap://test-ldap.example.com"
Hinweis
Sie können mehrere Server angeben, indem Sie den Parameter --server-uris
mit dem URI-Wert wiederholen oder eine kommagetrennte Liste wie --serveruris="ldap://a.example.com,ldap://b.example.com" verwenden.
2. Wenn der LDAP-Server keine anonymen Abfragen zulässt, können Sie einen LDAPAnbieter erstellen, indem Sie den Befehl isi auth ldap create ausführen,
wobei die Variablen in eckigen Klammern Platzhalter für die Werte darstellen, die für
Ihre Umgebung spezifisch sind:
isi auth ldap create <name> --bind-dn=<distinguished-name> \
--bind-password=<password> --server-uris=<uri>
Mit dem folgenden Befehl wird der LDAP-Server „test-ldap.example.com“ mit dem
Benutzer „test“ für die Benutzer in den Organisationseinheiten verbunden:
isi auth ldap create test-ldap \
--bind-dn="cn=test,ou=users,dc=test-ldap,dc=example,dc=com" \
--bind-password="mypasswd" \
--server-uris="ldap://test-ldap.example.com"
Hinweis
Für den Bind-DN müssen die richtigen Berechtigungen festgelegt sein.
Ändern eines LDAP-Anbieters
Sie können alle Einstellungen für einen LDAP-Anbieter mit Ausnahme des Namens
ändern. Sie müssen mindestens einen Server angeben, damit der Anbieter aktiviert wird.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um einen LDAP-Anbieter zu ändern, wobei
<provider-name> ein Platzhalter für den Namen des Anbieters ist, den Sie ändern
möchten:
isi auth ldap modify <provider-name>
Löschen eines LDAP-Anbieters
Wenn Sie einen LDAP-Anbieter löschen, wird dieser aus allen Zugriffszonen entfernt. Als
Alternative können Sie die Verwendung eines LDAP-Anbieters beenden, indem Sie ihn
aus allen Zugriffszonen entfernen, in denen er enthalten ist. Auf diese Weise bleibt der
Anbieter für die zukünftige Verwendung verfügbar.
Weitere Informationen zu den für dieses Verfahren verfügbaren Parametern und Optionen
erhalten Sie, indem Sie den Befehl isi auth ldap delete --help ausführen.
Managen von LDAP-Anbietern
219
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um einen LDAP-Anbieter zu löschen, wobei
<name> ein Platzhalter für den Namen des LDAP-Anbieters ist, den Sie löschen
möchten.
isi auth ldap delete <name>
Managen von Active Directory-Anbietern
Sie können die Active Directory-Anbieter anzeigen, konfigurieren, ändern und löschen.
OneFS enthält zusätzlich zur globalen Kerberos-Konfigurationsdatei eine KerberosKonfigurationsdatei für Active Directory, die beide in der Befehlszeilenoberfläche
konfiguriert werden können. Sie können die Authentifizierung durch einen Active
Directory-Anbieter aufheben, indem Sie sie von allen Zugriffszonen löschen, auf denen
sie verwendet wird.
Konfigurieren eines Active Directory-Anbieters
Sie können einen oder mehrere Active Directory-Anbieter konfigurieren, die jeweils mit
einer separaten Active Directory-Domain verbunden werden müssen. Wenn Sie einen
Active Directory-Anbieter konfigurieren, wird dieser automatisch der Systemzugriffszone
hinzugefügt.
Hinweis
Beachten Sie bei der Konfiguration eines Active Directory-Anbieters folgende
Informationen:
l
Wenn Sie Active Directory von OneFS beitreten, wird die Clusteruhrzeit vom Active
Directory-Server aktualisiert, sofern kein NTP-Server für das Cluster konfiguriert
wurde.
l
Wenn Sie Benutzer in eine neue oder andere Active Directory-Domain migrieren,
müssen Sie die ACL-Domaininformationen zurücksetzen, nachdem Sie den neuen
Anbieter konfiguriert haben. Sie können die Domaininformationen mit Tools von
Drittanbietern, z. B. Microsoft SubInACL, zurücksetzen.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um einen Active Directory-Anbieter zu
konfigurieren, wobei <name> ein Platzhalter für den vollständig qualifizierten Active
Directory-Namen und <user> ein Platzhalter für einen Benutzernamen mit der
Berechtigung zum Beitritt zu Maschinen in der entsprechenden Domain ist.
isi auth ads create <name> <user>
Ändern eines Active Directory-Anbieters
Sie können die erweiterten Einstellungen für einen Active Directory-Anbieter ändern.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um einen Active Directory-Anbieter zu ändern,
wobei <provider-name> ein Platzhalter für den Namen des Anbieters ist, den Sie ändern
möchten.
isi auth ads modify <provider-name>
220
Löschen eines Active Directory-Anbieters
Wenn Sie einen Active Directory-Anbieter löschen, trennen Sie das Cluster von der Active
Directory-Domain, die mit dem Anbieter verknüpft ist, und unterbrechen dadurch den
Service für Benutzer, die auf den Anbieter zugreifen. Nachdem Sie eine Active DirectoryDomain verlassen, können Benutzer nicht mehr vom Cluster auf die Domain zugreifen.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um einen Active Directory-Anbieter zu löschen,
wobei <name> ein Platzhalter für den Active Directory-Namen ist, den Sie löschen
möchten.
isi auth ads delete <name>
Managen von NIS-Anbietern
Sie können NIS-Anbieter anzeigen, konfigurieren und ändern oder NIS-Anbieter löschen,
die nicht mehr benötigt werden. Sie können die Authentifizierung durch einen NISAnbieter aufheben, indem Sie sie von allen Zugriffszonen löschen, auf denen sie
verwendet wird.
Konfigurieren eines NIS-Anbieters
Sie können mehrere NIS-Anbieter mit jeweils eigenen Einstellungen konfigurieren und
diese einer oder mehreren Zugriffszonen hinzufügen. Wenn Sie einen NIS-Anbieter
konfigurieren, wird dieser automatisch der Systemzugriffszone hinzugefügt.
Vorgehensweise
1. Konfigurieren Sie einen NIS-Anbieter, indem Sie den Befehl isi auth nis
create mit der folgenden Syntax ausführen:
isi auth nis create <name> --servers=<server> \
--nis-domain=<domain>
Im folgenden Beispiel wird der NIS-Server „nistest.example.com“ mit „nistest“
verbunden:
isi auth nis create nistest --servers="nistest.example.com" \
--nis-domain="example.com"
Hinweis
Sie können mehrere Server angeben, indem Sie den Parameter --servers für jeden
Server erneut eingeben oder eine kommagetrennte Liste wie -server="a.example.com,b.example.com" verwenden.
Ändern eines NIS-Anbieters
Sie können alle Einstellungen für einen NIS-Anbieter mit Ausnahme des Namens ändern.
Sie müssen mindestens einen Server angeben, damit der Anbieter aktiviert wird.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um einen NIS-Anbieter zu ändern, wobei
<provider-name> ein Platzhalter für den Anbieter ist, den Sie ändern möchten.
isi auth nis modify <provider-name>
Managen von NIS-Anbietern
221
Löschen eines NIS-Anbieters
Wenn Sie einen NIS-Anbieter löschen, wird dieser aus allen Zugriffszonen entfernt. Als
Alternative können Sie die Verwendung eines NIS-Anbieters beenden, indem Sie ihn aus
allen Zugriffszonen entfernen, in denen er enthalten ist. Auf diese Weise bleibt der
Anbieter für die zukünftige Verwendung verfügbar.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um einen NIS-Anbieter zu löschen, wobei
<name> ein Platzhalter für den Namen des NIS-Anbieters ist, den Sie löschen möchten.
isi auth nis delete <name>
Managen von Dateianbietern
Sie können für jede Zugriffszone einen oder mehrere Dateianbieter konfigurieren, jeder
jeweils mit einer eigenen Kombination von Austauschdateien.
Passwortdatenbankdateien, die auch als Benutzerdatenbankdateien bezeichnet werden,
müssen im binären Format vorliegen.
Jeder Dateianbieter bezieht Folgendes direkt von bis zu drei
Austauschdatenbankdateien: eine Gruppendatei, die dasselbe Format aufweist
wie /etc/group; eine Netzwerkgruppendatei, und eine binäre Passwortdatei,
spwd.db, die einen schnellen Zugriff auf die Daten in einer Datei mit dem Format /etc/
master.passwd bietet. Sie müssen die Austauschdateien auf das Cluster kopieren und
über ihren Verzeichnispfad referenzieren.
Hinweis
Wenn sich die Austauschdateien außerhalb der Verzeichnisstruktur /ifs befinden,
müssen Sie sie manuell auf jeden Node im Cluster verteilen. Änderungen, die an Dateien
des Systemanbieters vorgenommen wurden, werden automatisch über das Cluster
verteilt.
Konfigurieren eines Dateianbieters
Sie können Austauschdateien für alle Kombinationen von Benutzern, Gruppen und
Netzwerkgruppen angeben.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um einen Dateianbieter zu konfigurieren, wobei
<name> der Name für den Dateianbieter ist.
isi auth file create <name>
Erzeugen einer Passwortdatei
Passwortdatenbankdateien, die auch als Benutzerdatenbankdateien bezeichnet werden,
müssen im binären Format vorliegen.
Dieses Verfahren muss über die Befehlszeilenoberfläche (CLI) ausgeführt werden.
Nutzungsrichtlinien für Befehle erhalten Sie, indem Sie den Befehl man pwd_mkdb
ausführen.
Vorgehensweise
2. Führen Sie den Befehl pwd_mkdb<file> aus, wobei <file> der Standort der
Quellpasswortdatei ist.
222
Hinweis
Standardmäßig wird die binäre Passwortdatei spwd.db im Verzeichnis /etc erstellt.
Sie können den Standort der Datei spwd.db außer Kraft setzen, indem Sie die Option
-d mit einem anderen Zielverzeichnis angeben.
Mit dem folgenden Befehl wird eine Datei spwd.db im Verzeichnis /etc aus einer
Passwortdatei erzeugt, die sich in /ifs/test.passwd befindet:
pwd_mkdb /ifs/test.passwd
Mit dem folgenden Befehl wird eine Datei spwd.db im Verzeichnis /ifs aus einer
Passwortdatei erzeugt, die sich in /ifs/test.passwd befindet:
pwd_mkdb -d /ifs /ifs/test.passwd
Ändern eines Dateianbieters
Sie können alle Einstellungen für einen Dateianbieter ändern, einschließlich des
Namens.
Hinweis
Dateianbieter können zwar umbenannt werden, es gibt jedoch zwei Einschränkungen: Sie
können einen Dateianbieter nur über die Webverwaltungsschnittstelle umbenennen und
der Systemdateianbieter kann nicht umbenannt werden.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um einen Dateianbieter zu ändern, wobei
<provider-name> ein Platzhalter für den Namen ist, den Sie für den Anbieter angegeben
haben.
isi auth file modify <provider-name>
Löschen eines Dateianbieters
Um die Verwendung eines Dateianbieters zu beenden, können Sie entweder all seine
Austauschdateieinstellungen oder den Anbieter selbst dauerhaft löschen.
Hinweis
Der Systemdateianbieter kann nicht gelöscht werden.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um einen Dateianbieter zu löschen, wobei
<name> ein Platzhalter für den Namen des Anbieters ist, den Sie löschen möchten.
isi auth file delete <name>
Format der Passwortdatei
Der Dateianbieter verwendet eine binäre Passwortdatenbankdatei: spwd.db. Sie können
eine binäre Passwortdatei aus einer formatierten master.passwd-Datei erstellen,
indem Sie den Befehl pwd_mkdb ausführen.
223
Die master.passwd-Datei umfasst zehn durch Doppelpunkte getrennte Felder, wie im
folgenden Beispiel dargestellt:
admin:*:10:10::0:0:Web UI Administrator:/ifs/home/admin:/bin/zsh
Die Felder werden unten in der Reihenfolge definiert, in der sie in der Datei angezeigt
werden.
Hinweis
UNIX-Systeme definieren das Format passwd oft als Bestandteil dieser Felder und
überspringen dabei die Felder Class, Change und Expiry. Um eine Datei vom Format
passwd ins Format master.passwd zu konvertieren, fügen Sie :0:0: zwischen die
Felder GID und Gecos ein.
Username
Der Benutzername. Bei diesem Feld wird zwischen Groß- und Kleinschreibung
unterschieden. OneFS schränkt die Länge dieses Felds nicht ein. Bei vielen
Anwendungen wird der Name jedoch auf 16 Zeichen gekürzt.
Password
Das verschlüsselte Passwort des Benutzers. Wenn die Authentifizierung für den
Benutzer nicht erforderlich ist, können Sie das Passwort durch ein Sternchen (*)
ersetzen. Das Sternchen entspricht garantiert keinem Passwort.
UID
Die UNIX-Benutzerkennung. Dieser Wert muss eine Zahl im Bereich 0-4294967294
sein, wobei die Zahl nicht reserviert oder bereits einem Benutzer zugewiesen sein
darf. Es treten Kompatibilitätsprobleme auf, wenn dieser Wert mit der UID eines
vorhandenen Kontos in Konflikt steht.
GID
Die Gruppenkennung der primären Gruppe des Benutzers. Alle Benutzer sind
Mitglied mindestens einer Gruppe, die für Zugriffsprüfungen verwendet wird und
auch bei der Dateierstellung verwendet werden kann.
Class
Dieses Feld wird nicht von OneFS unterstützt und sollte leer gelassen werden.
Change
OneFS unterstützt keine Passwortänderung im Dateianbieter. Dieses Feld wird
ignoriert.
Expiry
OneFS unterstützt keinen Ablauf von Benutzerkonten im Dateianbieter. Dieses Feld
wird ignoriert.
Gecos
Dieses Feld kann eine Vielzahl von Informationen speichern, wird jedoch
normalerweise verwendet, um den vollständigen Namen des Benutzers zu
speichern.
Home
Der absolute Pfad zum Stammverzeichnis des Benutzers, beginnend bei /ifs
Shell
Der absolute Pfad zur Benutzer-Shell. Wenn dieses Feld auf /sbin/nologin
festgelegt ist, wird dem Benutzer der Befehlszeilenzugriff verweigert.
224
Gruppendateiformat
Der Dateianbieter verwendet eine Gruppendatei im Format der Datei /etc/group, die in
den meisten UNIX-Systemen vorhanden ist.
Die Datei group besteht aus einer oder mehreren Zeilen, die vier durch Doppelpunkte
getrennte Felder aufweisen, wie im folgenden Beispiel gezeigt:
admin:*:10:root,admin
Die Felder werden unten in der Reihenfolge definiert, in der sie in der Datei angezeigt
werden.
Gruppenname.
Der Namen der Gruppe. Bei diesem Feld wird zwischen Groß- und Kleinschreibung
unterschieden. Obwohl OneFS die Länge des Gruppennamens nicht beschränkt,
beschränken viele Anwendungen den Namen auf 16 Zeichen.
Passwort
Dieses Feld wird von OneFS nicht unterstützt und sollte mit einem Sternchen (*)
markiert sein.
GID
Die UNIX-Gruppenkennung. Gültige Werte sind jede Nummer im Bereich
0-4294967294, die nicht bereits belegt oder einer Gruppe zugewiesen ist. Es treten
Kompatibilitätsprobleme auf, wenn dieser Wert mit der GID einer vorhandenen
Gruppe in Konflikt steht.
Gruppenmitglieder
Eine durch Kommas getrennte Liste von Benutzernamen
Netzgruppendateiformat
Eine Netzgruppendatei besteht aus einer oder mehreren Netzwerkgruppen, von denen
jede Mitglieder enthalten kann. Hosts, Benutzer oder Domains, die Mitglieder einer
Netzwerkgruppe sind, werden in einer Mitgliedsdreiergruppe angegeben. Eine
Netzwerkgruppe kann auch andere Netzwerkgruppen enthalten.
Jeder Eintrag in einer netgroup-Datei besteht aus dem Netzwerkgruppennamen, gefolgt
von einem durch Leerzeichen abgegrenzten Satz von Mitgliedsdreiergruppen und
verschachtelten Netzwerkgruppennamen. Wenn Sie eine verschachtelte Netzwerkgruppe
angeben, muss diese auf einer separaten Zeile in der Datei definiert werden.
Eine Mitgliedsdreiergruppe hat die folgende Form:
(<host>, <user>, <domain>)
Dabei ist <host> ein Platzhalter für einen Computernamen, <user> ein Platzhalter für einen
Benutzernamen und <domain> ein Platzhalter für einen Domainnamen. Jede beliebige
Kombination ist gültig mit Ausnahme einer leeren Dreiergruppe: (,,).
Die folgende Beispieldatei enthält zwei Netzwerkgruppen. Die Netzwerkgruppe „rootgrp“
enthält vier Hosts: Zwei Hosts sind in den Mitgliedsdreiergruppen definiert und zwei
Hosts sind in der verschachtelten Netzwerkgruppe „othergrp“ enthalten, die auf der
zweiten Zeile definiert ist.
rootgrp (myserver, root, somedomain.com) (otherserver, root,
somedomain.com) othergrp
othergrp (other-win,, somedomain.com) (other-linux,, somedomain.com)
225
Hinweis
Eine neue Zeile bezeichnet eine neue Netzwerkgruppe. Sie können einen langen
Netzwerkgruppeneintrag auf der nächsten Zeile fortsetzen, indem Sie ganz rechts auf der
ersten Zeile einen umgekehrten Schrägstrich (\) eingeben.
Managen von lokalen Benutzern und Gruppen
Wenn Sie eine Zugriffszone erstellen, umfasst jede Zone einen lokalen Anbieter, der es
Ihnen ermöglicht, lokale Benutzer und Gruppen zu erstellen und zu managen. Auch wenn
Sie die Benutzer und Gruppen jedes Authentifizierungsanbieters anzeigen können,
können Sie nur Benutzer und Gruppen im lokalen Anbieter erstellen, bearbeiten und
löschen.
Anzeigen einer Liste von Benutzern oder Gruppen nach Anbieter
Sie können Benutzer und Gruppen nach Anbietertyp anzeigen.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um eine Liste der Benutzer und Gruppen für
einen bestimmten Anbieter anzuzeigen, wobei <provider-type> ein Platzhalter für den
Anbietertyp und <provider-name> ein Platzhalter für den Namen ist, den Sie dem
jeweiligen Anbieter zugewiesen haben:
isi auth users list --provider="<provider-type>:<provider-name>"
2. Um Benutzer und Gruppen für einen LDAP-Anbietertyp mit dem Namen „Unix LDAP“
aufzulisten, führen Sie einen Befehl aus, der dem folgenden Beispiel ähnelt:
isi auth users list --provider="lsa-ldap-provider:Unix LDAP"
Erstellen eines lokalen Benutzers
Jede Zugriffszone umfasst einen lokalen Anbieter, der es Ihnen ermöglicht, lokale
Benutzer und Gruppen zu erstellen und zu managen. Wenn Sie ein lokales Benutzerkonto
erstellen, können Sie Namen, Passwort, Stammverzeichnis, UNIX-Benutzerkennung (UID),
UNIX-Anmelde-Shell und Gruppenmitgliedschaften konfigurieren.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um einen lokalen Benutzer zu erstellen, wobei
<name> der Name für den Benutzer ist, <provider-name> den Anbieter für diesen
Benutzer angibt und <string> das Passwort für diesen Benutzer ist.
isi auth users create <name> --provider="local:<provider-name>" \
--password="<string>"
Hinweis
Wenn kein Passwort angegeben ist, wird das Benutzerkonto deaktiviert. Wenn Sie
während der Erstellung des Benutzerkontos kein Passwort erstellen, können Sie
später eines hinzufügen. Führen Sie dazu den Befehl isi auth users modify
aus und geben Sie Benutzernamen, UID oder SID für den entsprechenden Benutzer
an.
226
Erstellen einer lokalen Gruppe
Im lokalen Anbieter einer Zugriffszone können Sie Gruppen erstellen und diesen
Mitglieder zuweisen.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um eine lokale Gruppe zu erstellen, wobei
<name> und <provider-name> Werte sind, die Sie zur Definition der Gruppe bereitstellen.
isi auth groups create <name> --provider "local:<provider-name>"
Benennungsregeln für lokale Benutzer und Gruppen
Lokale Benutzer- und Gruppennamen müssen Benennungsregeln befolgen, um eine
ordnungsgemäße Authentifizierung und den Zugriff auf das EMC Isilon-Cluster zu
ermöglichen.
Sie müssen die folgenden Benennungsregeln beim Erstellen und Ändern von lokalen
Benutzern und Gruppen einhalten:
l
Die maximal zulässige Länge eines Namens beträgt 104 Zeichen. Es wird empfohlen,
dass Namen nicht länger als 64 Zeichen sind.
l
Namen dürfen die folgenden ungültigen Zeichen nicht enthalten:
"/\[]:;|=,+*?<>
l
Namen können jedes Sonderzeichen enthalten, das nicht in der Liste der ungültigen
Zeichen steht. Es wird empfohlen, dass Namen keine Leerzeichen enthalten.
l
Bei Namen muss nicht auf Groß- und Kleinschreibung geachtet werden.
Konfigurieren oder Ändern einer lokalen Passwort-Policy
Sie können eine lokale Passwort-Policy für einen lokalen Anbieter konfigurieren und
ändern.
Hinweis
Für jede Zugriffszone werden separate Passwort-Policies konfiguriert. Jede Zugriffszone
im Cluster enthält eine separate Instanz des lokalen Anbieters, wodurch jede
Zugriffszone ihre eigene Liste lokaler Benutzer hat, die sich authentifizieren können. Die
Passwortkomplexität wird für jeden lokalen Anbieter, nicht für jeden Benutzer
konfiguriert.
Vorgehensweise
2. (Optional) Führen Sie den folgenden Befehl aus, um die aktuellen
Passworteinstellungen anzuzeigen:
isi auth local view system
3. Führen Sie den Befehl isi auth local modify aus, wobei Sie eine Auswahl aus
den Parametern treffen, die in den Standardeinstellungen für die lokale PasswortPolicy beschrieben sind.
227
Der Parameter --password-complexity muss für jede Einstellung angegeben
werden.
isi auth local modify system --password-complexity=lowercase \
--password-complexity=uppercase -–password-complexity=numeric \
--password-complexity=symbol
Mit dem folgenden Befehl konfigurieren Sie eine lokale Passwort-Policy für einen lokalen
Anbieter:
isi auth local modify <provider-name> \
--min-password-length=20 \
--lockout-duration=20m \
--lockout-window=5m \
--lockout-threshold=5 \
--add-password-complexity=uppercase \
--add-password-complexity=numeric
Einstellungen für lokale Passwort-Policies
Mit dem Befehl isi auth local modify können Sie die Einstellungen für lokale
Passwort-Policies konfigurieren und den Standardwert für die einzelnen Einstellungen
angeben. Durch komplexere Passwörter erhöht sich die Anzahl der möglichen
Passwörter, die ein Angreifer des Passworts prüfen muss, bevor er das Passwort errät.
228
Einstellung
Beschreibung
Anmerkungen
min-password-length
Mindestanzahl an Zeichen
für die Passwortlänge
Lange Passwörter sind am besten.
Die Mindestlänge sollte nicht so lang
sein, dass der Benutzer
Schwierigkeiten bei der Eingabe hat
oder sich nicht gut an das Passwort
erinnern kann.
password-complexity
Eine Liste der
Zeichentypen, die ein
neues Passwort enthalten
muss. Standardmäßig ist
die Liste leer.
Sie können bis zu vier Zeichentypen
angeben. Die folgenden Zeichentypen
sind gültig:
l
Großbuchstaben
l
Kleinbuchstaben
l
Zahlen
l
Symbole (außer # und @)
min-password-age
Die
Mindestgültigkeitsdauer
von Passwörtern. Sie
können diesen Wert
mithilfe von Einheiten
festlegen, z. B. „4W“ für
4 Wochen, „2d“ für 2 Tage.
Mithilfe der Mindestgültigkeitsdauer
für ein Passwort wird dafür gesorgt,
dass Benutzer kein vorläufiges
Passwort eingeben und dieses dann
umgehend auf das vorherige
Passwort ändern können. Versuche,
ein Passwort vor Ablauf der Gültigkeit
zu prüfen oder neu festzulegen,
werden verweigert.
max-password-age
Die maximale
Gültigkeitsdauer von
Passwörtern. Sie können
Beim Versuch, sich nach dem Ablauf
eines Passworts mit diesem Passwort
anzumelden, wird eine
Einstellung
Beschreibung
Anmerkungen
diesen Wert mithilfe von
Einheiten festlegen, z. B.
„4W“ für 4 Wochen, „2d“
für 2 Tage.
Passwortänderung erzwungen. Wenn
kein Dialogfeld zur Passwortänderung
angezeigt werden kann, kann der
Benutzer sich nicht anmelden.
password-historylength
Die Anzahl der
Verlaufspasswörter, die
gespeichert werden sollen.
Die neuen Passwörter
werden anhand dieser Liste
geprüft und abgelehnt,
wenn das Passwort bereits
vorhanden ist. Es werden
maximal 24 Passwörter
gespeichert.
Um die Wiederverwendung von
Passwörtern zu vermeiden, können
Sie die Anzahl der vorherigen
Passwörter festlegen, die gespeichert
werden. Wenn ein neues Passwort
mit einem gespeicherten vorherigen
Passwort übereinstimmt, wird es
abgelehnt.
lockout-duration
Die Dauer in Sekunden, für
die ein Konto gesperrt wird,
nachdem eine
konfigurierbare Anzahl
unzulässiger Passwörter
eingegeben wurde.
Nachdem ein Konto gesperrt wurde,
kann von keiner Quelle darauf
zugegriffen werden, bis es wieder
entsperrt wird. OneFS bietet zwei
konfigurierbare Optionen, um
Administratorinteraktionen für jedes
gesperrte Konto zu vermeiden:
l
Die Angabe, wie viel Zeit
ablaufen muss, bevor das Konto
entsperrt wird
l
Das automatische Zurücksetzen
des Zählers für falsche
Passwörter nach einer
bestimmten Zeit (in Sekunden)
lockout-threshold
Die Anzahl falscher
Passworteingaben, bevor
ein Konto gesperrt wird. Mit
dem Wert Null wird die
Kontosperre deaktiviert.
Nachdem ein Konto gesperrt wurde,
kann von keiner Quelle darauf
zugegriffen werden, bis es wieder
entsperrt wird.
lockout-window
Die Zeit, bevor der Zähler
für falsche
Passworteingaben
zurückgesetzt wird.
Wenn die konfigurierte Anzahl
falscher Passworteingaben erreicht
wird, wird das Konto gesperrt. Die
Sperrdauer bestimmt, wie lange das
Konto gesperrt ist. Mit dem Wert Null
wird das Fenster deaktiviert.
Ändern eines lokalen Benutzers
Sie können alle Einstellungen für ein lokales Benutzerkonto mit Ausnahme des
Benutzernamens ändern.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um eine lokale Gruppe zu ändern, wobei
<name>, <gid> oder <sid> Platzhalter für die Benutzerkennungen sind und <provider-
229
name> ein Platzhalter für den Namen des lokalen, mit dem Benutzer verknüpften
Anbieters ist:
isi auth users modify (<name> or --gid <gid> or --sid <sid>) \
--provider "local:<provider-name>"
Ändern einer lokalen Gruppe
Sie können Mitglieder zu einer lokalen Gruppe hinzufügen oder daraus entfernen.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um eine lokale Gruppe zu ändern, wobei
<name>, <gid> oder <sid> Platzhalter für die Gruppenkennungen sind und <provider-name>
ein Platzhalter für den Namen des lokalen, mit der Gruppe verknüpften Anbieters ist:
isi auth groups modify (<name> or --gid <gid> or --sid <sid>) \
Löschen eines lokalen Benutzers
Ein gelöschter Benutzer kann nicht länger über die Befehlszeilenoberfläche, die
Webverwaltungsschnittstelle oder das Dateizugriffsprotokoll auf das Cluster zugreifen.
Wenn Sie ein lokales Benutzerkonto löschen, bleibt dessen Stammverzeichnis erhalten.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um einen lokalen Benutzer zu löschen, wobei
<uid> und <sid> Platzhalter für die UID und die SID des Benutzers sind, den Sie löschen
möchten, und <provider-name> ein Platzhalter für den lokalen, mit dem Benutzer
verknüpften Anbieter ist.
isi auth users delete <name> --uid <uid> --sid <sid> \
Löschen einer lokalen Gruppe
Sie können eine lokale Gruppe selbst dann löschen, wenn der Gruppe Mitglieder
zugewiesen sind. Das Löschen einer Gruppe wirkt sich nicht auf die Mitglieder dieser
Gruppe aus.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um eine lokale Gruppe zu löschen, wobei
<group> ein Platzhalter für den Namen der Gruppe ist, die Sie löschen möchten:
isi auth groups delete <group>
Hinweis
Sie können den Befehl mit <gid> oder <sid> anstelle von <group> ausführen.
Managen der MIT Kerberos-Authentifizierung
Sie können einen MIT Kerberos-Anbieter für die Authentifizierung ohne Active Directory
konfigurieren. Die Konfiguration eines MIT Kerberos-Anbieters umfasst die Erstellung
eines MIT Kerberos-Bereichs, die Erstellung eines Anbieters und den Beitritt zu einem
vordefinierten Bereich. Optional können Sie eine MIT Kerberos-Domain für den Anbieter
konfigurieren. Sie können auch die Verschlüsselungsschlüssel aktualisieren, wenn es
Konfigurationsänderungen beim Kerberos-Anbieter gibt. Sie können den Anbieter in eine
oder mehrere Zugriffszonen aufnehmen.
230
Managen von MIT Kerberos-Bereichen
Ein MIT Kerberos-Bereich ist eine Administrationsdomain, die die Grenzen definiert,
innerhalb derer ein Authentifizierungsserver dazu berechtigt ist, einen Benutzer oder
Service zu authentifizieren. Sie können einen Bereich erstellen, anzeigen, bearbeiten
oder löschen. Als Best Practice geben Sie einen Bereichsnamen in Großbuchstaben an.
Erstellen eines MIT Kerberos-Bereichs
Sie können einen MIT Kerberos-Bereich erstellen, indem Sie ein Key Distribution Center
(KDC) und einen administrativen Server definieren.
Bevor Sie beginnen
Sie müssen ein Mitglied einer Rolle sein, die über ISI_PRIV_AUTH-Berechtigungen
verfügt, um einen MIT Kerberos-Bereich erstellen zu können.
Vorgehensweise
1. Führen Sie den Befehl isi auth krb5 realm create aus, um einen MIT
Kerberos-Bereich zu erstellen.
Führen Sie z. B. den folgenden Befehl aus, um einen Bereich zu erstellen, indem Sie
ein KDC und einen administrativen Server angeben:
isi auth krb5 realm create <realm> --kdc <kdc> --admin-server
<admin-server>
Ändern eines MIT Kerberos-Bereichs
Sie können einen MIT Kerberos-Bereich ändern, indem Sie das Key Distribution Center
(KDC), die Domain (optional) und die Verwaltungsservereinstellungen für diesen Bereich
ändern.
Bevor Sie beginnen
Sie müssen ein Mitglied einer Rolle sein, die ISI_PRIV_AUTH-Berechtigungen besitzt, um
einen MIT Kerberos-Anbieter löschen zu können.
Vorgehensweise
1. Führen Sie den Befehl isi auth krb5 realm modify aus, um einen MIT
Kerberos-Bereich zu ändern.
Führen Sie z. B. den folgenden Befehl aus, um einen MIT Kerberos-Bereich zu ändern,
indem Sie ein anderes KDC und einen administrativen Server angeben:
isi auth krb5 realm modify <realm> --is-default-realm true --kdc
<kdc> --admin-server <admin-server>
Anzeigen eines MIT Kerberos-Bereichs
Sie können die Details anzeigen, die mit dem Namen, den Key Distribution Centers
(KDCs) und dem administrativen Server eines MIT Kerberos-Bereichs in Verbindung
stehen.
Vorgehensweise
1. Führen Sie den Befehl isi auth krb5 realm view aus, um Details eines MIT
Kerberos-Bereichs anzuzeigen.
231
Führen Sie z. B. den folgenden Befehl aus, um die Details eines Bereichs anzuzeigen:
isi auth krb5 realm view <realm>
Löschen eines MIT Kerberos-Bereichs
Sie können einen oder mehrere MIT Kerberos-Bereiche und alle zugehörigen MIT
Kerberos-Domains löschen.
Bevor Sie beginnen
Kerberos-Bereiche werden durch Kerberos-Anbieter referenziert. Bevor Sie einen Bereich
löschen können, für den Sie einen Anbieter erstellt haben, müssen Sie zuerst diesen
Anbieter entfernen.
einen MIT Kerberos-Bereich löschen zu können.
Vorgehensweise
1. Führen Sie den Befehl isi auth krb5 realm delete aus, um einen MIT
Kerberos-Bereich zu löschen.
Führen Sie z. B. den folgenden Befehl aus, um einen Bereich zu löschen:
isi auth krb5 realm delete <realm>
Managen des MIT Kerberos-Anbieters
Sie können einen MIT Kerberos-Anbieter erstellen, anzeigen, löschen oder ändern. Sie
können die Kerberos-Anbietereinstellungen auch konfigurieren.
Erstellen eines MIT Kerberos-Anbieters
Sie können einen MIT Kerberos-Anbieter erstellen, indem Sie die Anmeldedaten für den
Zugriff auf ein Cluster durch das Key Distribution Center (KDC) des Kerberos-Bereichs
abrufen. Dieser Prozess wird auch als Beitritt zu einem Bereich bezeichnet. Wenn Sie also
einen Kerberos-Anbieter erstellen, treten Sie auch einem Bereich bei, der zuvor definiert
wurde.
Je nachdem, wie OneFS Ihre Kerberos-Umgebung managt, können Sie einen KerberosAnbieter mit einer der folgenden Methoden erstellen:
l
Zugriff auf den Kerberos-Administrationsserver und Erstellung von Schlüsseln für
Services auf dem OneFS-Cluster.
l
Manuelle Übertragung der Kerberos-Schlüsselinformationen in Form von keytabs.
Erstellen eines MIT Kerberos-Anbieters und Beitritt zu einem Bereich mit
Administratoranmeldedaten
Sie können einen MIT Kerberos-Anbieter erstellen und einem MIT Kerberos-Bereich mit
den Anmeldeinformationen beitreten, die autorisiert sind, auf den KerberosAdministrationsserver zuzugreifen. Anschließend können Sie Schlüssel für die
verschiedenen Services im EMC Isilon-Cluster erstellen. Dies ist die empfohlene Methode
für die Erstellung eines Kerberos-Anbieters und den Beitritt zu einem Kerberos-Bereich.
Bevor Sie beginnen
auf einen Kerberos-Administrationsserver zugreifen zu können.
232
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um einen Kerberos-Anbieter zu erstellen und
einem Kerberos-Bereich beizutreten, wobei<realm> der Name des KerberosBereichs ist, der bereits vorhanden ist oder andernfalls erstellt wird:
isi auth krb5 create <realm> <user> --<kdc>=<string>
Im folgenden Beispiel tritt ein Benutzer mit Administratoranmeldedaten dem Bereich
cluster-name.company.com bei:
isi auth krb5 create cluster-name.company.com aima/admin -kdc=<kdc-name>.domain.company.com
Erstellen eines MIT Kerberos-Anbieters und Beitritt zu einem Bereich mit einer keytabDatei
Sie können einen MIT Kerberos-Anbieter erstellen und einem MIT Kerberos-Bereich über
eine keytab-Datei beitreten. Befolgen Sie diese Methode nur, wenn Ihre KerberosUmgebung durch die manuelle Übertragung von Kerberos-Schlüsselinformation durch die
keytab-Dateien gemanagt wird.
Bevor Sie beginnen
Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:
l
Sie müssen eine keytab-Datei auf einem Node im Cluster erstellen.
l
Sie müssen ein Mitglied einer Rolle sein, die ISI_PRIV_AUTH-Berechtigungen besitzt,
um auf einen Kerberos-Administrationsserver zugreifen zu können.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um einen Kerberos-Anbieter zu erstellen und
einem Kerberos-Bereich beizutreten, in dem <realm> der Platzhalter für den
Bereichsnamen ist, der bereits als ein Bereichsobjekt vorhanden sein sollte:
isi auth krb5 create <realm> --keytab-file=<string>
Führen Sie z. B. den folgenden Befehl aus, um einen Kerberos-Anbieter zu erstellen
und dem Bereich cluster-name.company.com mithilfe einer keytab-Datei beizutreten:
isi auth krb5 create cluster-name.company.com --keytab-file=/tmp/
krb5.keytab
Anzeigen eines MIT Kerberos-Anbieters
Sie können die Eigenschaften eines MIT Kerberos-Anbieters anzeigen, nachdem Sie ihn
erstellt haben.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um die Eigenschaften eines Kerberos-Anbieters
anzuzeigen:
isi auth krb5 view <provider-name>
Auflisten der MIT Kerberos-Anbieter
Sie können einen oder mehrere MIT Kerberos-Anbieter auflisten und die Liste in einem
bestimmten Format anzeigen. Sie können auch eine Beschränkung für die Anzahl der
aufzulistenden Anbieter angeben.
233
Vorgehensweise
1. Führen Sie den Befehl isi auth krb5 list aus, um einen oder mehrere
Kerberos-Anbieter aufzulisten.
Führen Sie z. B. den folgenden Befehl aus, um die ersten fünf Kerberos-Anbieter im
Tabellenformat ohne Kopf- und Fußzeilen aufzulisten:
isi auth krb5 list -l 5 --format table --no-header --no-footer
Löschen eines MIT Kerberos-Anbieters
Sie können einen MIT Kerberos-Anbieter löschen, indem Sie ihn aus allen referenzierten
Zugriffszonen entfernen. Wenn Sie einen Anbieter löschen, verlassen Sie auch einen MIT
Kerberos-Bereich.
Bevor Sie beginnen
einen Kerberos-Anbieter löschen zu können.
Vorgehensweise
1. Führen Sie den Befehl isi auth krb5 delete wie folgt aus, um einen KerberosAnbieter zu löschen.
isi auth krb5 delete <provider-name>
Konfigurieren von MIT Kerberos-Anbietereinstellungen
Sie können die Einstellungen eines Kerberos-Anbieters konfigurieren, um den DNSDatensätzen zu ermöglichen, das Key Distribution Center (KDC), Kerberos-Bereiche und
die Authentifizierungsserver zu suchen, die einem Kerberos-Bereich zugeordnet sind.
Diese Einstellungen sind für alle Kerberos-Benutzer über alle Nodes, Services und Zonen
hinweg global. Einige Einstellungen gelten nur für Client-seitiges Kerberos und sind
abhängig vom Kerberos-Anbieter.
Bevor Sie beginnen
Sie müssen ein Mitglied einer Rolle mit ISI_PRIV_AUTH-Berechtigungen sein, um die
Einstellungen eines Kerberos-Anbieters anzeigen oder ändern zu können.
Vorgehensweise
1. Führen Sie den Befehl isi auth settings krb5 mit der Option view oder
modify aus.
2. Geben Sie die zu ändernden Einstellungen an.
Managen von MIT Kerberos-Domains
Sie können optional MIT Kerberos-Domains definieren, damit weitere
Domainerweiterungen mit einem MIT Kerberos-Bereich verknüpft werden. Sie können
immer eine Standarddomain für einen Bereich angeben.
Sie können eine MIT Kerberos-Domain erstellen, ändern, löschen oder anzeigen. Ein
Kerberos-Domainname ist ein DNS-Suffix, das in der Regel in Kleinbuchstaben
angegeben wird.
234
Hinzufügen einer MIT Kerberos-Domain zu einem Bereich
Sie können eine MIT Kerberos-Domain optional einem MIT Kerberos-Bereich hinzufügen,
um zusätzliche Kerberos-Domainerweiterungen zu aktivieren, die mit einem KerberosBereich verknüpft werden sollen.
Bevor Sie beginnen
eine Kerberos-Domain mit einem Kerberos-Bereich verknüpfen zu können.
Vorgehensweise
1. Fügen Sie eine Kerberos-Domain hinzu, indem Sie den Befehl isi auth krb5
domain create ausführen.
Führen Sie z. B. den folgenden Befehl aus, um eine Kerberos-Domain zu einem
Kerberos-Bereich hinzuzufügen:
isi auth krb5 domain create <domain>
Ändern einer MIT Kerberos-Domain
Sie können eine MIT Kerberos-Domain ändern, indem Sie die Bereichseinstellungen
ändern.
Bevor Sie beginnen
verfügt, um eine MIT Kerberos-Domain ändern zu können.
Vorgehensweise
1. Führen Sie den Befehl isi auth krb5 domain modify aus, um eine MIT
Kerberos-Domain zu ändern.
Führen Sie z. B. den folgenden Befehl aus, um eine Kerberos-Domain zu ändern,
indem Sie einen anderen Kerberos-Bereich angeben:
isi auth krb5 domain modify <domain> --realm <realm>
Anzeigen einer MIT Kerberos-Domainzuordnung
Sie können die Eigenschaften einer MIT Kerberos-Domainzuordnung anzeigen.
Vorgehensweise
1. Führen Sie den Befehl isi auth krb5 domain view mit einem Wert aus, der für
die Variable <domain> angegeben ist, um die Eigenschaften einer KerberosDomainzuordnung anzuzeigen:
isi auth krb5 domain view <domain>
Auflisten von MIT Kerberos-Domains
Sie können eine oder mehrere MIT Kerberos-Domains auflisten und die Liste in Tabellen-,
JSON-, CSV- oder Listenformat anzeigen. Sie können auch eine Beschränkung für die
Anzahl der aufzulistenden Domains angeben.
235
Vorgehensweise
1. Führen Sie den Befehl isi auth krb5 domain list aus, um eine oder mehrere
MIT Kerberos-Domains aufzulisten.
Führen Sie z. B. den folgenden Befehl aus, um die ersten fünf MIT Kerberos-Domains
im Tabellenformat ohne Kopf- und Fußzeilen aufzulisten:
isi auth krb5 domain list -l=10 --format=table --no-header --nofooter
Löschen einer MIT Kerberos-Domainzuordnung
Sie können eine oder mehrere MIT-Kerberos-Domainzuordnungen löschen.
Bevor Sie beginnen
verfügt, um eine MIT Kerberos-Domainzuordnung löschen zu können.
Vorgehensweise
1. Führen Sie den Befehl isi auth krb5 domain delete aus, um eine MIT
Kerberos-Domainzuordnung zu löschen.
Führen Sie z. B. den folgenden Befehl aus, um eine Domainzuordnung zu löschen:
isi auth krb5 domain delete <domain>
Managen von SPNs und Schlüsseln
Ein Serviceprinzipalname (SPN) ist der Name, der von einem Client referenziert wird, um
eine Instanz eines Services in einem EMC Isilon-Cluster zu identifizieren. Ein MIT
Kerberos-Anbieter authentifiziert Services in einem Cluster durch SPNs.
Sie können die folgenden Vorgänge an SPNs und den zugehörigen Schlüsseln ausführen:
l
Aktualisieren Sie das SPNs, wenn es Änderungen an den SmartConnectZoneneinstellungen gibt, die auf diesen SPNs basieren
l
Listen Sie die registrierten SPNs auf, um sie mit einer Liste erkannter SPNs zu
vergleichen
l
Aktualisieren Sie die mit den SPNs verknüpften Schlüssel manuell oder automatisch
l
Importieren Sie Schlüssel aus einer keytab-Tabelle
l
Löschen Sie bestimmte Schlüsselversionen oder alle Schlüssel, die mit einem SPN
verknüpft sind
Anzeigen von SPNs und Schlüsseln
Sie können die Serviceprinzipalnamen (SPNs) und die zugehörigen Schlüssel anzeigen,
die für einen MIT Kerberos-Anbieter registriert sind. Clients erhalten Kerberos-Tickets und
-Zugangsservices für EMC Isilon-Cluster durch SPNs und ihre zugehörigen Schlüssel.
Bevor Sie beginnen
SPNs und Schlüssel anzeigen zu können.
Vorgehensweise
1. Führen Sie den Befehl isi auth krb5 spn list aus, um einen oder mehrere
SPNs und ihre zugehörigen Schlüssel und die Schlüsselversionsnummern aufzulisten.
236
Führen Sie z. B. den folgenden Befehl aus, um die ersten fünf SPNs für einen MIT
Kerberos-Anbieter im Tabellenformat ohne Kopf- und Fußzeilen aufzulisten:
isi auth krb5 list <provider-name> -l 5 --format table --no-header
--no-footer <spn-list>
Löschen von Schlüsseln
Sie können bestimmte Schlüsselversionen oder alle Schlüssel löschen, die mit
Serviceprinzipalnamen (SPN) verknüpft sind.
Bevor Sie beginnen
Schlüssel löschen zu können.
Nachdem Sie neue Schlüssel erstellt haben, gehen Sie aufgrund der
Sicherheitsüberlegungen oder zur Übereinstimmung mit Konfigurationsänderungen wie
folgt vor, um eine ältere Version der Schlüssel zu löschen, damit die keytab-Tabelle nicht
mit redundanten Schlüsseln gefüllt ist.
Vorgehensweise
1. Führen Sie den Befehl isi auth krb5 spn delete aus, um alle Schlüssel für
einen bestimmten SPN oder eine bestimmte Version eines Schlüssels zu löschen.
Führen Sie z. B. den folgenden Befehl aus, um alle Schlüssel zu löschen, die mit
einem SPN für einen MIT Kerberos-Anbieter verknüpft sind:
isi auth krb5 spn delete <provider-name> <spn> --all
Der <provider-name> ist der Name des MIT Kerberos-Anbieters. Sie können eine
bestimmte Version des Schlüssels löschen, indem Sie einen
Schlüsselversionsnummernwert für das Argument kvno angeben und diesen Wert in
die Befehlssyntax aufnehmen.
Manuelles Hinzufügen oder Aktualisieren eines Schlüssels für einen SPN
Sie können Schlüssel für einen Serviceprinzipalnamen (SPN) manuell hinzufügen oder
aktualisieren. Bei diesem Prozess wird ein neuer Schlüssel für den angegebenen SPN
erstellt.
Bevor Sie beginnen
einen Schlüssel für einen SPN hinzufügen oder aktualisieren zu können.
Vorgehensweise
1. Führen Sie den Befehl isi auth krb5 spn create aus, um Schlüssel für einen
SPN hinzuzufügen oder zu aktualisieren.
Führen Sie z. B. den folgenden Befehl aus, um einen Schlüssel für einen SPN
hinzuzufügen oder zu aktualisieren, indem Sie die Positionsargumente <providername>, <user> und <spn> angeben:
isi auth krb5 spn create <provider-name> <user> <spn>
237
Automatisches Aktualisieren eines SPN
Sie können einen Serviceprinzipalnamen (SPN) automatisch aktualisieren oder
hinzufügen, wenn er bei einen MIT Kerberos-Anbieter registriert ist, aber nicht in der Liste
erkannter SPNs angezeigt wird.
Bevor Sie beginnen
einen SPN automatisch aktualisieren zu können.
Vorgehensweise
1. Führen Sie den Befehl isi auth krb5 spn check aus, um die Liste der
registrierten SPNs mit der Liste erkannter SPNs zu vergleichen.
Fahren Sie mit dem nächsten Schritt fort, wenn der Vergleich keine ähnlichen
Ergebnisse anzeigt.
2. Führen Sie den Befehl isi auth krb5 spn fix aus, um die fehlenden SPNs
hinzuzufügen.
Führen Sie z. B. den folgenden Befehl aus, um fehlende SPNs für einen MIT KerberosServiceanbieter hinzuzufügen:
isi auth krb5 spn fix <provider-name> <user>
Sie können optional ein Passwort für <user> angeben, das der Platzhalter für einen
Benutzer ist, der die Berechtigung zum Verknüpfen von Clients mit der gegebenen
Domain hat.
Importieren einer keytab-Datei
Ein MIT Kerberos-Anbieter, die über eine ältere keytab-Datei verknüpft ist, kann
möglicherweise keine Schlüssel über die Kerberos-Admin-Anmeldedaten managen. In
einem solchen Fall importieren Sie eine neue keytab-Datei und fügen Sie dann die
keytab-Dateischlüssel zu dem Anbieter hinzu.
Bevor Sie beginnen
Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind, bevor Sie eine
keytab-Datei importieren:
l
Sie müssen eine keytab-Datei auf einem Node in dem Cluster erstellen und kopieren,
in dem Sie dieses Verfahren durchführen möchten.
l
Sie müssen ein Mitglied einer Rolle sein, die ISI_PRIV_AUTH-Berechtigungen besitzt,
um eine keytab-Datei importieren zu können.
Vorgehensweise
1. Importieren Sie die Schlüssel einer keytab-Datei, indem Sie den Befehl isi auth
krb5 spn import ausführen.
Führen Sie z. B. den folgenden Befehl aus, um die Schlüssel der <keytab-file> zu dem
Anbieter zu importieren, der als <provider-name> referenziert wird:
isi auth krb5 spn import <provider-name> <keytab-file>
238
Managen von Zugriffsberechtigungen
Die interne Darstellung von Identitäten und Berechtigungen kann Informationen von
UNIX-Quellen, Windows-Quellen oder beiden enthalten. Da Zugriffsprotokolle die
Informationen nur von einer dieser Informationsquellen verarbeitet können, muss das
System möglicherweise Näherungswerte verwenden, um die Informationen in einem
Format darzustellen, das vom Protokoll verarbeitet werden kann.
Anzeigen erwarteter Benutzerberechtigungen
Sie können die erwarteten Berechtigungen für den Benutzerzugriff auf eine Datei oder ein
Verzeichnis anzeigen.
Vorgehensweise
2. Zeigen Sie die erwarteten Benutzerberechtigungen durch Ausführen des Befehls isi
auth access an.
Mit dem folgenden Befehl werden Berechtigungen in /ifs/ für den Benutzer
angezeigt, den Sie anstelle von <username> angegeben haben:
isi auth access <username> /ifs/
User
Name : <username>
UID : 2018
SID :
SID:S-1-5-21-2141457107-1514332578-1691322784-1018
File
Owner : user:root
Group : group:wheel
Mode : drwxrwxrwx
Relevant Mode : d---rwx--Permissions
Expected : user:<username> \
allow
dir_gen_read,dir_gen_write,dir_gen_execute,delete_child
3. Zeigen Sie die Modusbitberechtigungen für einen Benutzer durch Ausführen des
Befehls isi auth access an.
Mit dem folgenden Befehl werden ausführliche Dateiberechtigungen in /ifs/ für den
Benutzer angezeigt, den Sie anstelle von <username> angegeben haben:
isi auth access <username> /ifs/ -v
User Name : <username> UID \
: 2018 SID : SID:S-1-5-21-2141457107-1514332578-1691322784-1018
File Owner : user:root Group : group:wheel Mode : drwxrwxrwx
Relevant Mode : d---rwx--- Permissions Expected : user:<username>
allow dir_gen_read,dir_gen_write,dir_gen_execute,delete_child
Managen von Zugriffsberechtigungen
239
4. Zeigen Sie die erwarteten ACL-Benutzerberechtigungen für einen Benutzer für den
Zugriff auf eine Datei durch Ausführen des Befehls isi auth access an.
Mit dem folgenden Befehl werden ausführliche ACL-Dateiberechtigungen für die Datei
file_with_acl.tx in /ifs/data/ für den Benutzer angezeigt, den Sie anstelle
von <username> angegeben haben:
isi auth access <username> /ifs/data/file_with_acl.tx -v
User Name : <username> \
UID : 2097 SID :
SID:S-1-7-21-2141457107-1614332578-1691322789-1018
File Owner : user:<username> Group : group:wheel
Permissions Expected : user:<username>
allow file_gen_read,file_gen_write,std_write_dac
Relevant Acl: group:<group-name> Users allow file_gen_read
user:<username> allow std_write_dac,file_write,
append,file_write_ext_attr,file_write_attr
group:wheel allow file_gen_read,file_gen_write
Konfigurieren von Einstellungen für das Zugriffsmanagement
Die standardmäßigen Zugriffseinstellungen umfassen u a. Folgendes: die Angabe, ob
NTLMv2-Antworten für SMB-Verbindungen gesendet werden sollen, der auf dem Laufwerk
zu speichernde Identitätstyp, der Windows-Arbeitsgruppenname für die Ausführung im
lokalen Modus und die Zeichenersetzung bei Leerzeichen, die in Benutzer- und
Gruppennamen auftreten.
Vorgehensweise
1. Konfigurieren Sie die Einstellungen für das Zugriffsmanagement, indem Sie den
Befehl isi auth settings global modify ausführen.
Mit dem folgenden Befehl werden die globalen Einstellungen für eine Arbeitsgruppe
geändert:
isi auth settings global modify \
--send-ntlmv2=false --on-disk-identity=native \
--space-replacement="_" --workgroup=WORKGROUP
Ändern der ACL-Policy-Einstellungen
Sie können die ACL-Policy-Einstellungen ändern, die Standardeinstellungen sind jedoch
für die meisten Clusterbereitstellungen ausreichend.
ACHTUNG
Da ACL-Policies das Verhalten von Berechtigungen im gesamten System ändern, sollten
sie nur von erfahrenen Administratoren, die über umfassende Kenntnisse über Windows
ACLs verfügen, und nur bei Bedarf geändert werden. Dies gilt insbesondere für die
erweiterten Einstellungen, die unabhängig von der Clusterumgebung angewendet
werden.
Für UNIX-, Windows- oder ausgeglichene Umgebungen werden die optimalen
Berechtigungs-Policy-Einstellungen ausgewählt. Diese können nicht geändert werden.
Sie können jedoch die standardmäßigen Berechtigungseinstellungen des Clusters bei
Bedarf manuell konfigurieren, um Ihre jeweilige Umgebung zu unterstützen.
240
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um die ACL-Policy-Einstellungen zu ändern,
wobei <provider-name> für den Namen des Anbieters steht:
Aktualisieren der Clusterberechtigungen
Sie können Dateiberechtigungen oder Dateieigentümer aktualisieren, indem Sie den
PermissionRepair-Job ausführen.
Um zu verhindern, dass Berechtigungsprobleme auftreten, nachdem Sie die Identität auf
dem Laufwerk geändert haben, geben Sie bei der Ausführung dieses Authentifizierungsund Zugriffskontrolljobs den Modus convert an, um sicherzustellen, dass die
Änderungen im gesamten Cluster übernommen werden.
Vorgehensweise
1. Aktualisieren Sie die Clusterberechtigungen, indem Sie den Befehl isi job jobs
start mit der folgenden Syntax ausführen.
Mit dem folgenden Befehl werden die Clusterberechtigungen aktualisiert, wobei
permissionrepair den Jobtyp angibt und Variablen in eckigen Klammern
Platzhalter für Werte darstellen, die für Ihre Umgebung spezifisch sind:
isi job start permissionrepair --priority <1-10> \
--policy <policy> --mode <clone | inherit | convert > \
--mapping-type=<system | sid | unix | native> --zone <zone-name>
Hinweis
Sie können den Parameter --template nicht mit der Modusoption convert
kombinieren. Sie können den Parameter jedoch mit den Modusoptionen clone und
inherit kombinieren. Genauso können Sie die Parameter --mapping-type und
--zone nicht mit den Modusoptionen clone und inherit kombinieren, Sie
können die Parameter jedoch mit der Modusoption convert kombinieren.
In den folgenden Beispielen werden die Clusterberechtigungen aktualisiert, wobei
permissionrepair den Jobtyp und 3 die Priorität angibt, der gewählte Modus convert
und der Zuordnungstyp unix ist:
isi job jobs start permissionrepair --priority=3 \
--policy myPolicy --mode=convert --mapping-type=unix \
--template <isi path> --path </ifs directory> --zone zone2
Befehle für Authentifizierung und Zugriffskontrolle
Über die Authentifizierungs- und Zugriffskontrollbefehle können Sie den Zugriff auf das
Cluster steuern.
Aktualisieren der Clusterberechtigungen
241
isi auth access
Listet die Berechtigungen auf, die ein Benutzer für den Zugriff auf eine bestimmte Datei
hat.
Hinweis
Dieser Befehl zeigt keine SMB-Freigabeberechtigungen oder Rechte an.
Syntax
isi auth access {<name> | --uid <integer> | --sid <string>} <path>
[--zone <string>]
[--numeric]
[--verbose]
Optionen
<name>
Gibt den Benutzernamen an.
--sid<string>
Gibt den Benutzer nach SID an.
--uid<integer>
Gibt den Benutzer nach UID an.
<path>
Gibt den Dateipfad in /ifs an.
--zone<string>
Gibt die Zugriffszone für den Benutzer an.
{--numeric | -n}
Zeigt die numerische ID des Benutzers an.
{--verbose | -v}
isi auth ads create
Konfiguriert einen Active Directory-Anbieter und tritt einer Active Directory-Domain bei.
Syntax
isi auth ads create <name> <user>
[--password <string>]
[--account <string>]
[--organizational-unit <string>]
[--kerberos-nfs-spn {yes | no} ]
[--dns-domain <dns-domain>]
[--allocate-gids {yes | no}]
[--allocate-uids {yes | no}]
[--cache-entry-expiry <duration>]
[--assume-default-domain {yes | no}]
[--check-online-interval <duration>]
[--create-home-directory {yes | no}]
[--domain-offline-alerts {yes | no}]
[--home-directory-template <path>]
[--ignore-all-trusts {yes | no}]
[--ignored-trusted-domains <dns-domain>]
242
[--include-trusted-domains <dns-domain>]
[--ldap-sign-and-seal {yes | no}]
[--node-dc-affinity <string>]
[--node-dc-affinity-timeout <timestamp>]
[--login-shell <path>]
[--lookup-domains <dns-domain>]
[--lookup-groups {yes | no}]
[--lookup-normalize-groups {yes | no}]
[--lookup-normalize-users {yes | no}]
[--lookup-users {yes | no}]
[--machine-password-changes {yes | no}]
[--machine-password-lifespan <duration>]
[--nss-enumeration {yes | no}]
[--sfu-support {none | rfc2307}]
[--store-sfu-mappings {yes | no}]
[--verbose]
Optionen
<name>
Gibt einen vollständig qualifizierten Active Directory-Domainnamen an, der auch als
Anbietername verwendet wird.
<Benutzer
Gibt den Benutzernamen eines Kontos an, das über die Berechtigung verfügt,
Maschinenkonten mit der Active Directory-Domain zu verbinden.
--password<string>
Gibt das Passwort für das bereitgestellte Benutzerkonto an. Wenn Sie diese Option
nicht festlegen, werden Sie zur Eingabe eines Passworts aufgefordert.
--account<string>
Gibt den Namen des Maschinenkontos an, das in Active Directory verwendet werden
soll. Standardmäßig wird der Clustername verwendet.
--organizational-unit<string>
Gibt den Namen der Organisationseinheit (OU) an, mit der auf dem Active DirectoryServer eine Verbindung hergestellt werden soll. Geben Sie die Organisationseinheit
im Format OuName oder OuName1/SubName2 an.
--kerberos-nfs-spn {yes | no}
Gibt an, ob bei Verwendung von Kerberized NFS SPNs hinzugefügt werden sollen.
--dns-domain<dns-domain>
Gibt eine DNS-Suchdomain an, die anstelle der in der Einstellung --name
angegebenen Domain verwendet werden soll.
--allocate-gids {yes | no}
Aktiviert oder deaktiviert die GID-Zuweisung für nicht zugeordnete Active DirectoryGruppen. Active Directory-Gruppen ohne GIDs können über den ID-Mapper proaktiv
GIDs zugewiesen werden. Wenn diese Option deaktiviert ist, werden GIDs nicht
proaktiv zugewiesen. Wenn die primäre Gruppe eines Benutzers jedoch keine GID
umfasst, weist das System möglicherweise eine GID zu.
--allocate-uids {yes | no}
Aktiviert oder deaktiviert die UID-Zuweisung für nicht zugeordnete Active DirectoryBenutzer. Active Directory-Benutzern ohne UIDs können über den ID-Mapper proaktiv
UIDs zugewiesen werden. Wenn diese Option deaktiviert ist, werden UIDs nicht
proaktiv zugewiesen. Wenn die Identität eines Benutzers jedoch keine UID umfasst,
weist das System möglicherweise eine UID zu.
isi auth ads create
243
--cache-entry-expiry<duration>
Gibt an, wie lange ein Benutzer oder eine Gruppe zwischengespeichert werden soll.
Hierbei wird das folgende Format verwendet: <integer>{Y|M|W|D|H|m|s}.
--assume-default-domain {yes | no}
Gibt an, ob nicht qualifizierte Benutzernamen in der primären Domain gesucht
werden sollen. Wenn diese Option auf no festgelegt wird, muss für jeden
Authentifizierungsvorgang die primäre Domain angegeben werden.
--check-online-interval<duration>
Gibt die Zeit zwischen Onlineprüfungen des Anbieters im folgenden Format an:
<integer>{Y|M|W|D|H|m|s}.
--create-home-directory {yes | no}
Gibt an, ob bei der ersten Benutzeranmeldung ein Stammverzeichnis erstellt werden
soll, wenn für den Benutzer noch kein Stammverzeichnis vorhanden ist.
--domain-offline-alerts {yes | no}
Gibt an, ob eine Warnmeldung gesendet wird, wenn die Domain offline geht. Wenn
diese Option auf yes festgelegt ist, werden Benachrichtigungen entsprechend den
globalen Benachrichtigungsregeln gesendet. Der Standardwert ist no.
--home-directory-template<path>
Gibt den Vorlagenpfad für die Erstellung von Stammverzeichnissen an. Der Pfad muss
mit /ifs beginnen und kann Sonderzeichenfolgen enthalten, die zum Zeitpunkt der
Stammverzeichniserstellung dynamisch durch Zeichenfolgen ersetzt werden, die
bestimmte Variablen darstellen. Beispielsweise werden %U, %D und %Z durch den
Benutzernamen, den Namen der Anbieterdomain und den Zonennamen ersetzt.
Weitere Informationen finden Sie im Abschnitt zu den Stammverzeichnissen.
--ignore-all-trusts {yes | no}
Gibt an, ob alle vertrauenswürdigen Domains ignoriert werden sollen.
--ignored-trusted-domains<dns-domain>
Gibt eine Liste der vertrauenswürdigen Domains an, die ignoriert werden sollen, wenn
--ignore-all-trusts deaktiviert ist. Wiederholen Sie die Eingabe dieser
Option, um mehrere Listenelemente anzugeben.
--include-trusted-domains<dns-domain>
Gibt eine Liste der vertrauenswürdigen Domains an, die eingeschlossen werden
sollen, wenn --ignore-all-trusts aktiviert ist. Wiederholen Sie die Eingabe
dieser Option, um mehrere Listenelemente anzugeben.
--ldap-sign-and-seal {yes | no}
Gibt an, ob bei LDAP-Anforderungen an einen Domain-Controller Verschlüsselung und
Signaturen verwendet werden sollen.
{--node-dc-affinity | -x} <string>
Gibt den Domain-Controller an, mit dem der Node exklusiv kommunizieren soll
(Affinität). Diese Option sollte mit einem Timeout-Wert verwendet werden, der über
die Option --node-dc-affinity-timeout konfiguriert wird. Andernfalls wird
der standardmäßige Timeout-Wert von 30 Minuten zugewiesen.
244
Hinweis
Diese Einstellung wird für Debugging-Vorgänge verwendet und sollte für den
normalen Betrieb nicht konfiguriert werden. Um diese Funktion zu deaktivieren, legen
Sie den Timeout-Wert auf 0 fest.
|{--node-dc-affinity-timeout} <timestamp>
Gibt die Timeout-Einstellung für die Affinität des lokalen Node zu einem DomainController im Datumsformat <YYYY>-<MM>-<DD> oder im Datums-/Zeitformat <YYYY><MM>-<DD>T<hh>:<mm>[:<ss>] an.
Hinweis
Mit dem Wert 0 wird die Affinität deaktiviert. Wenn die Affinität deaktiviert wird, wird
die Kommunikation mit dem angegebenen Domain-Controller möglicherweise nicht
sofort beendet. Sie kann bestehen bleiben, bis ein anderer Domain-Controller
ausgewählt werden kann.
--login-shell<path>
Gibt den vollständigen Pfad zur Anmelde-Shell an, die verwendet werden soll, wenn
der Active Directory-Server keine Informationen zur Anmelde-Shell bereitstellt. Diese
Einstellung gilt nur für Benutzer, die über SSH auf das Dateisystem zugreifen.
--lookup-domains<string>
Gibt eine Liste von Domains an, auf die Benutzer- und Gruppenabfragen
eingeschränkt werden sollen. Wiederholen Sie die Eingabe dieser Option, um
mehrere Listenelemente anzugeben.
--lookup-groups {yes | no}
Gibt an, ob vor der Zuweisung einer GID nach Active Directory-Gruppen in anderen
Anbietern gesucht werden soll.
--lookup-normalize-groups {yes | no}
Gibt an, ob die Active Directory-Gruppennamen vor der Suche auf Kleinbuchstaben
vereinheitlicht werden sollen.
--lookup-normalize-users {yes | no}
Gibt an, ob die Active Directory-Benutzernamen vor der Suche auf Kleinbuchstaben
--lookup-users {yes | no}
Gibt an, ob vor der Zuweisung einer UID nach Active Directory-Benutzern in anderen
--machine-password-password {yes | no}
Gibt an, ob regelmäßige Änderungen des Computerkontokennworts zu
Sicherheitszwecken aktiviert sind.
--machine-password-lifespan<duration>
Legt das Höchstalter des Passworts für das Maschinenkonto im folgenden Format
fest: <integer>{Y|M|W|D|H|m|s}.
--nss-enumeration {yes | no}
Gibt an, ob der Active Directory-Anbieter auf getpwent- und getgrent-Anforderungen
antworten soll.
--sfu-support {none | rfc2307}
isi auth ads create
245
Gibt an, ob RFC 2307-Attribute für Windows-Domain-Controller unterstützt werden
sollen. RFC 2307 ist für die Windows-UNIX-Integration und für SFU-Technologien
(Services for UNIX) erforderlich.
--store-sfu-mappings {yes | no}
Gibt an, ob SFU-Zuordnungen dauerhaft im ID-Mapper gespeichert werden sollen.
{--verbose | -v}
isi auth ads delete
Löscht einen Active Directory-Anbieter, wodurch gleichzeitig die Active Directory-Domain
verlassen wird, mit der der Anbieter verbunden ist. Das Verlassen einer Active DirectoryDomain hat eine Serviceunterbrechung für Benutzer zur Folge, die auf die Domain
zugreifen. Nachdem Sie eine Active Directory-Domain verlassen, können Benutzer nicht
mehr vom Cluster auf die Domain zugreifen.
Syntax
isi auth ads delete <provider-name>
[--force]
[--verbose]
Optionen
<provider-name>
Gibt den Namen des zu löschenden Anbieters an.
{--force | -f}
{--verbose | -v}
Beispiele
Um eine Active Directory-Domain mit dem Namen „some.domain.org“ zu verlassen und
den mit ihr verbundenen Authentifizierungsanbieter zu löschen, führen Sie den
isi auth ads delete some.domain.org
Geben Sie in der Bestätigungsaufforderung y ein.
isi auth ads list
Zeigt eine Liste der Active Directory-Anbieter an.
Syntax
isi auth ads list
[--limit <integer>]
[--no-header]
[--no-footer]
[--verbose]
Optionen
246
{--no-header | -a}
{--no-footer | -z}
{--verbose | -v}
Beispiele
Um eine Liste aller Active Directory-Anbieter anzuzeigen, mit denen das Cluster
verbunden ist, führen Sie den folgenden Befehl aus:
isi auth ads list
Name
Authentication Status DC Name Site
-------------------------------------------------------AD.EAST.EMC.COM
Yes
online BOS
AD.NORTH.EMC.COM
Yes
online VAN
AD.SOUTH.EMC.COM
No
online TIJ
AD.WEST.EMC.COM
Yes
online SEA
-------------------------------------------------------Total: 4
isi auth ads modify
Ändert einen Active Directory-Authentifizierungsanbieter.
Syntax
[--reset-schannel {yes | no}]
[--domain-controller <string>]
[--allocate-gids {yes | no}]
[--allocate-uids {yes | no}]
[--assume-default-domain {yes | no}]
[--domain-offline-alerts {yes | no}]
[--ignore-all-trusts {yes | no}]
[--ignored-trusted-domains <dns-domain>]
[--clear-ignored-trusted-domains]
[--add-ignored-trusted-domains <dns-domain>]
[--remove-ignored-trusted-domains <dns-domain>]
[--include-trusted-domains <dns-domain>]
[--clear-include-trusted-domains]
[--add-include-trusted-domains <dns-domain>]
[--remove-include-trusted-domains <dns-domain>]
[--ldap-sign-and-seal {yes | no}]
[--node-dc-affinity <string>]
[--node-dc-affinity-timeout <timestamp>]
[--lookup-domains <dns-domain>]
[--clear-lookup-domains]
[--add-lookup-domains <dns-domain>]
isi auth ads modify
247
[--remove-lookup-domains <dns-domain>]
[--lookup-groups {yes | no}]
[--lookup-normalize-groups {yes | no}]
[--lookup-normalize-users {yes | no}]
[--lookup-users {yes | no}]
[--machine-password-changes {yes | no}]
[--machine-password-lifespan <duration>]
[--nss-enumeration {yes | no}]
[--sfu-support {none | rfc2307}]
[--store-sfu-mappings {yes | no}]
[--verbose]
Optionen
<provider-name>
Gibt den Domainnamen an, mit dem der Active Directory-Anbieter verbunden ist.
Dieser Name ist gleichzeitig der Active Directory-Anbietername.
--reset-schannel {yes | no}
Setzt den sicheren Kanal auf die primäre Domain zurück.
--domain-controller<dns-domain>
Gibt einen Domain-Controller an.
--allocate-gids {yes | no}
Aktiviert oder deaktiviert die GID-Zuweisung für nicht zugeordnete Active DirectoryGruppen. Active Directory-Gruppen ohne GIDs können über den ID-Mapper proaktiv
GIDs zugewiesen werden. Wenn diese Option deaktiviert ist, werden GIDs nicht
proaktiv zugewiesen. Wenn die primäre Gruppe eines Benutzers jedoch keine GID
umfasst, weist das System möglicherweise eine GID zu.
--allocate-uids {yes | no}
Aktiviert oder deaktiviert die UID-Zuweisung für nicht zugeordnete Active DirectoryBenutzer. Active Directory-Benutzern ohne UIDs können über den ID-Mapper proaktiv
UIDs zugewiesen werden. Wenn diese Option deaktiviert ist, werden UIDs nicht
proaktiv zugewiesen. Wenn die Identität eines Benutzers jedoch keine UID umfasst,
weist das System möglicherweise eine UID zu.
Hierbei wird das folgende Format verwendet: <integer>{Y|M|W|D|H|m|s}.
--assume-default-domain {yes | no}
Gibt an, ob nicht qualifizierte Benutzernamen in der primären Domain gesucht
werden sollen. Wenn diese Option auf no festgelegt wird, muss für jeden
Authentifizierungsvorgang die primäre Domain angegeben werden.
<integer>{Y|M|W|D|H|m|s}.
--domain-offline-alerts {yes | no}
Gibt an, ob eine Warnmeldung gesendet wird, wenn die Domain offline geht. Wenn
diese Option auf yes festgelegt ist, werden Benachrichtigungen entsprechend den
globalen Benachrichtigungsregeln gesendet. Der Standardwert ist no.
248
Gibt den Vorlagenpfad für die Erstellung von Stammverzeichnissen an. Der Pfad muss
mit /ifs beginnen und kann Sonderzeichenfolgen enthalten, die zum Zeitpunkt der
Stammverzeichniserstellung dynamisch durch Zeichenfolgen ersetzt werden, die
bestimmte Variablen darstellen. Beispielsweise werden %U, %D und %Z durch den
Benutzernamen, den Namen der Anbieterdomain und den Zonennamen ersetzt.
Weitere Informationen finden Sie im Abschnitt zu den Stammverzeichnissen.
--ignore-all-trusts {yes | no}
Gibt an, ob alle vertrauenswürdigen Domains ignoriert werden sollen.
--ignored-trusted-domains<dns-domain>
Gibt eine Liste der vertrauenswürdigen Domains an, die ignoriert werden sollen, wenn
--ignore-all-trusts deaktiviert ist. Wiederholen Sie die Eingabe dieser
--clear-ignored-trusted-domains
Löscht die Liste der vertrauenswürdigen Domains, die ignoriert werden sollen, wenn
--ignore-all-trusts deaktiviert ist.
--add-ignored-trusted-domains<dns-domain>
Fügt der Liste der vertrauenswürdigen Domains, die ignoriert werden sollen, wenn -ignore-all-trusts deaktiviert ist, eine Domain hinzu. Wiederholen Sie die
Eingabe dieser Option, um mehrere Listenelemente anzugeben.
--remove-ignored-trusted-domains<dns-domain>
Entfernt eine angegebene Domain aus der Liste der vertrauenswürdigen Domains, die
ignoriert werden sollen, wenn --ignore-all-trusts deaktiviert ist. Wiederholen
Sie die Eingabe dieser Option, um mehrere Listenelemente anzugeben.
--include-trusted-domains<dns-domain>
Gibt eine Liste der vertrauenswürdigen Domains an, die eingeschlossen werden
sollen, wenn --ignore-all-trusts aktiviert ist. Wiederholen Sie die Eingabe
--clear-include-trusted-domains
Löscht die Liste der vertrauenswürdigen Domains, die eingeschlossen werden sollen,
wenn --ignore-all-trusts aktiviert ist.
--add-include-trusted-domains<dns-domain>
Fügt der Liste der vertrauenswürdigen Domains, die eingeschlossen werden sollen,
wenn --ignore-all-trusts aktiviert ist, eine Domain hinzu. Wiederholen Sie
die Eingabe dieser Option, um mehrere Listenelemente anzugeben.
--remove-include-trusted-domains<dns-domain>
Entfernt eine angegebene Domain aus der Liste der vertrauenswürdigen Domains, die
eingeschlossen werden sollen, wenn --ignore-all-trusts aktiviert ist.
Wiederholen Sie die Eingabe dieser Option, um mehrere Listenelemente anzugeben.
--ldap-sign-and-seal {yes | no}
Gibt an, ob bei LDAP-Anforderungen an einen Domain-Controller Verschlüsselung und
Signaturen verwendet werden sollen.
{--node-dc-affinity | -x} <string>
Gibt den Domain-Controller an, mit dem der Node exklusiv kommunizieren soll
(Affinität). Diese Option sollte mit einem Timeout-Wert verwendet werden, der über
isi auth ads modify
249
die Option --node-dc-affinity-timeout konfiguriert wird. Andernfalls wird
der standardmäßige Timeout-Wert von 30 Minuten zugewiesen.
Hinweis
Diese Einstellung wird für Debugging-Vorgänge verwendet und sollte für den
normalen Betrieb nicht konfiguriert werden. Um diese Funktion zu deaktivieren, legen
Sie den Timeout-Wert auf 0 fest.
{--node-dc-affinity-timeout} <timestamp>
Gibt die Timeout-Einstellung für die Affinität des lokalen Node zu einem DomainController im Datumsformat <YYYY>-<MM>-<DD> oder im Datums-/Zeitformat <YYYY><MM>-<DD>T<hh>:<mm>[:<ss>] an.
Hinweis
Mit dem Wert 0 wird die Affinität deaktiviert. Wenn die Affinität deaktiviert wird, wird
die Kommunikation mit dem angegebenen Domain-Controller möglicherweise nicht
sofort beendet. Sie kann bestehen bleiben, bis ein anderer Domain-Controller
ausgewählt werden kann.
--login-shell<path>
Gibt den Pfad zur Anmelde-Shell an, die verwendet werden soll, wenn der Active
Directory-Server keine Informationen zur Anmelde-Shell bereitstellt. Diese Einstellung
gilt nur für Benutzer, die über SSH auf das Dateisystem zugreifen.
--lookup-domains<string>
Gibt eine Liste von Domains an, auf die Benutzer- und Gruppenabfragen
eingeschränkt werden sollen. Wiederholen Sie die Eingabe dieser Option, um
--clear-lookup-domains
Löscht die Liste der eingeschränkten Domains für Benutzer- und Gruppenabfragen.
--add-lookup-domains<string>
Fügt der Liste der eingeschränkten Domains, die für Benutzer- und Gruppenabfragen
verwendet werden soll, einen Eintrag hinzu. Wiederholen Sie die Eingabe dieser
--remove-lookup-domains<string>
Entfernt einen Eintrag aus der Liste der Domains, die für Benutzer- und
Gruppenabfragen verwendet werden sollen. Wiederholen Sie die Eingabe dieser
--lookup-groups {yes | no}
Gibt an, ob vor der Zuweisung einer GID nach Active Directory-Gruppen in anderen
--lookup-normalize-groups {yes | no}
Gibt an, ob die Active Directory-Gruppennamen vor der Suche auf Kleinbuchstaben
--lookup-normalize-users {yes | no}
Gibt an, ob die Active Directory-Benutzernamen vor der Suche auf Kleinbuchstaben
--lookup-users {yes | no}
250
Gibt an, ob vor der Zuweisung einer UID nach Active Directory-Benutzern in anderen
--machine-password-password {yes | no}
Gibt an, ob regelmäßige Änderungen des Computerkontokennworts zu
Sicherheitszwecken aktiviert sind.
--machine-password-lifespan<duration>
Legt das Höchstalter des Passworts für das Maschinenkonto im folgenden Format
fest: <integer>{Y|M|W|D|H|m|s}.
--nss-enumeration {yes | no}
Gibt an, ob der Active Directory-Anbieter auf getpwent- und getgrent-Anforderungen
antworten soll.
--sfu-support {none | rfc2307}
Gibt an, ob RFC 2307-Attribute für Domain-Controller unterstützt werden sollen.
RFC 2307 ist für die Windows-UNIX-Integration und für SFU-Technologien (Services for
UNIX) erforderlich.
--store-sfu-mappings {yes | no}
Gibt an, ob SFU-Zuordnungen dauerhaft im ID-Mapper gespeichert werden sollen.
{--verbose | -v}
isi auth ads spn check
Prüft gültige SPNs (Service Principal Names).
Syntax
isi auth ads spn check --domain <string>
[--machinecreds]
[--user <string> [--password <string>]]
[--repair]
Optionen
{--domain | -D} <string>
Gibt den DNS-Domainnamen für den Benutzer oder die Gruppe an, die versuchen,
eine Verbindung zum Cluster herzustellen.
--machinecreds
Weist das System an, bei Herstellung einer Verbindung zum Cluster die
Maschinenanmeldedaten zu verwenden.
{--user | -U} <string>
Gibt ein Administrator-Benutzerkonto an, um eine Verbindung zum Cluster
herzustellen, falls erforderlich.
{--password | -P} <string>
Gibt das Passwort für das Administrator-Benutzerkonto an.
{--repair | -r}
Repariert fehlende SPNs.
isi auth ads spn check
251
isi auth ads spn create
Fügt einen oder mehrere Service Principal Names (SPNs) für ein Maschinenkonto hinzu.
SPNs müssen an alle Domain-Controller weitergegeben werden, um für Clients verfügbar
zu sein.
Syntax
isi auth ads spn create --spn <string>
[--domain <string>]
[--machinecreds]
Optionen
{--spn | -s} <string>
Gibt einen zu registrierenden SPN an. Wiederholen Sie die Eingabe dieser Option, um
{--account | -a} <string>
Gibt die Adresse des Maschinenkontos an. Wenn kein Konto angegeben wird, wird
das Maschinenkonto des Clusters verwendet.
--machinecreds
isi auth ads spn delete
Löscht einen oder mehrere SPNs, die für ein Maschinenkonto registriert sind.
Syntax
isi auth ads spn delete --spn <string>
[--domain <string>]
[--machinecreds]
Optionen
{--spn | -s} <string>
Legt einen zu löschenden SPN fest. Wiederholen Sie die Eingabe dieser Option, um
252
--machinecreds
isi auth ads spn list
Zeigt eine Liste der Service Principal Names (SPN) an, die für ein Maschinenkonto
registriert sind.
Syntax
isi auth ads spn list --domain <string>
[--account <string>
[--machinecreds]
Optionen
--machinecreds
Beispiele
Führen Sie den folgenden Befehl aus, um eine Liste der SPNs anzuzeigen, die aktuell für
ein Maschinenkonto registriert sind:
HOST/test
HOST/test.sample.isilon.com
253
isi auth ads trusts controllers list
Zeigt eine Liste der Domain-Controller für eine vertrauenswürdige Domain ein.
Syntax
isi auth ads trusts controllers list <provider>
[--limit <integer>]
[--no-header]
[--no-footer]
[--verbose]
Optionen
<provider>
Gibt einen Active Directory-Anbieter an.
{--no-header | -a}
{--no-footer | -z}
{--verbose | -v}
Beispiele
Mit dem folgenden Befehl wird eine Liste der vertrauenswürdigen Domains in einem
Active Directory-Anbieter namens „ad.isilon.com“ angezeigt:
isi auth ads trusts controllers list ad.isilon.com
isi auth ads trusts list
Zeigt eine Liste der vertrauenswürdigen Domains an.
Syntax
isi auth ads trusts list <provider>
Optionen
<provider>
isi auth ads trusts view
Zeigt die Eigenschaften einer vertrauenswürdigen Domain an.
254
Syntax
isi auth ads trusts view <provider> <domain>
Optionen
<provider>
<domain>
Gibt die anzuzeigende vertrauenswürdige Domain an.
isi auth ads view
Zeigt die Eigenschaften eines Active Directory-Anbieters an.
Syntax
isi auth ads view <provider-name>
[--verbose]
Optionen
<provider-name>
Gibt den Namen des anzuzeigenden Anbieters an.
{--verbose | -v}
isi auth error
Zeigt Fehlercodedefinitionen aus den Authentifizierungsprotokolldateien an.
Syntax
isi auth error <error-code>
Optionen
<error-code>
Gibt den Fehlercode für die Konvertierung an.
Beispiele
Um die Definition für Fehlercode 4 anzuzeigen, führen Sie den folgenden Befehl aus:
isi auth error 4
4 = ERROR_TOO_MANY_OPEN_FILES
isi auth file create
Erstellt einen Dateianbieter.
Syntax
isi auth file create <name>
[--password-file <path>]
[--group-file <path>]
isi auth ads view
255
[--authentication {yes | no}]
[--enabled {yes | no}]
[--enumerate-groups {yes | no}]
[--enumerate-users {yes | no}]
[--findable-groups <string>]
[--findable-users <string>]
[--group-domain <string>]
[--listable-groups <string>]
[--listable-users <string>]
[--modifiable-groups <string>]
[--modifiable-users <string>]
[--netgroup-file <path>]
[--normalize-groups {yes | no}]
[--normalize-users {yes | no}]
[--ntlm-support {all | v2only | none}]
[--provider-domain <string>]
[--restrict-findable {yes | no}]
[--restrict-listable {yes | no}]
[--restrict-modifiable {yes | no}]
[--unfindable-groups <string>]
[--unfindable-users <string>]
[--unlistable-groups <string>]
[--unlistable-users <string>]
[--unmodifiable-groups <string>]
[--unmodifiable-users <string>]
[--user-domain <string>]
[--verbose]
Optionen
<name>
Legt den Namen des Dateianbieters fest.
--password-file<path>
Gibt den Pfad zu einer passwd.db-Austauschdatei an.
--group-file<path>
Gibt den Pfad zu einer group-Austauschdatei an.
--authentication {yes | no}
Aktiviert oder deaktiviert die Verwendung des Anbieters zu Authentifizierungs- und
Identitätszwecken. Der Standardwert ist yes.
Gibt die Zeitdauer, nach der der Cacheeintrag abläuft, im folgenden Format an:
<integer>[{Y | M | W | D | H | m | s}]. Um den Cacheablauf zu deaktivieren, legen Sie
diesen Wert auf off fest.
--enabled {yes | no}
Aktiviert oder deaktiviert den Anbieter.
--findable-groups<string>
Gibt eine Liste von Gruppen an, die in diesem Anbieter gefunden werden können,
wenn --restrict-findable aktiviert ist. Wiederholen Sie die Eingabe dieser
256
Option, um weitere suchbare Gruppen anzugeben. Wenn diese Liste Daten enthält,
können nicht in dieser Liste enthaltene Gruppen nicht aufgelöst werden.
--findable-users<string>
Gibt eine Liste von Benutzern an, die in diesem Anbieter gefunden werden können,
Option, um weitere suchbare Benutzer anzugeben. Wenn diese Liste Daten enthält,
können nicht in dieser Liste enthaltene Benutzer nicht aufgelöst werden.
--group-domain<string>
Gibt die Domain an, die dieser Anbieter zur Qualifizierung von Gruppen verwenden
soll. Die Standarddomain für Gruppen lautet FILE_GROUPS.
Gibt den Pfad an, der als Vorlage für die Benennung von Stammverzeichnissen
verwendet werden soll. Der Pfad muss mit /ifs beginnen und kann
Sonderzeichenfolgen enthalten, die zum Zeitpunkt der Stammverzeichniserstellung
dynamisch durch Zeichenfolgen ersetzt werden, die bestimmte Variablen darstellen.
Beispielsweise werden %U, %D und %Z durch den Benutzernamen, den Namen der
Anbieterdomain und den Zonennamen ersetzt. Weitere Informationen finden Sie im
Abschnitt zu den Stammverzeichnissen.
--listable-groups<string>
Gibt eine Gruppe an, die aufgelistet werden kann, wenn --restrict-listable
aktiviert ist. Wiederholen Sie die Eingabe dieser Option, um mehrere Listenelemente
anzugeben. Wenn diese Liste Daten enthält, können nicht in dieser Liste enthaltene
Gruppen nicht aufgelistet werden.
--listable-users<string>
Gibt einen Benutzer an, der in diesem Anbieter aufgelistet werden kann, wenn -restrict-listable aktiviert ist. Wiederholen Sie die Eingabe dieser Option, um
mehrere Listenelemente anzugeben. Wenn diese Liste Daten enthält, können nicht in
dieser Liste enthaltene Benutzer nicht aufgelistet werden.
--login-shell<path>
Gibt den Pfad zur Anmelde-Shell des Benutzers an. Diese Einstellung gilt nur für
Benutzer, die über SSH auf das Dateisystem zugreifen.
--modifiable-groups<string>
Gibt eine Gruppe an, die in diesem Anbieter geändert werden kann, wenn -restrict-modifiable aktiviert ist. Wiederholen Sie die Eingabe dieser Option,
um mehrere Listenelemente anzugeben. Wenn diese Liste Daten enthält, können
nicht in dieser Liste enthaltene Gruppen nicht geändert werden.
--modifiable-users<string>
Gibt einen Benutzer an, der in diesem Anbieter geändert werden kann, wenn -restrict-modifiable aktiviert ist. Wiederholen Sie die Eingabe dieser Option,
um mehrere Listenelemente anzugeben. Wenn diese Liste Daten enthält, können
nicht in dieser Liste enthaltene Benutzer nicht geändert werden.
--netgroup-file<path>
Gibt den Pfad zu einer netgroup-Austauschdatei an.
--normalize-groups {yes | no}
Vereinheitlicht Gruppennamen vor der Suche auf Kleinbuchstaben.
--normalize-users {yes | no}
isi auth file create
257
Vereinheitlicht Benutzernamen vor der Suche auf Kleinbuchstaben.
--ntlm-support {all | v2only | none}
Gibt für Benutzer mit NTLM-kompatiblen Anmeldedaten an, welche NTLM-Versionen
unterstützt werden sollen. Gültige Werte sind all, v2only und none. NTLMv2
bietet im Vergleich zu NTLM zusätzliche Sicherheit.
--provider-domain<string>
Gibt die Domain an, die der Anbieter zur Qualifizierung von Benutzer- und
Gruppennamen verwenden soll.
--restrict-findable {yes | no}
Gibt an, ob der Anbieter auf gefilterte Listen mit suchbaren und nicht suchbaren
Benutzern und Gruppen geprüft werden soll.
--restrict-listable {yes | no}
Gibt an, ob der Anbieter auf gefilterte Listen mit auflistbaren und nicht auflistbaren
--restrict-modifiable {yes | no}
Gibt an, ob der Anbieter auf gefilterte Listen mit änderbaren und nicht änderbaren
--unfindable-groups<string>
Wenn --restrict-findable aktiviert und die Liste der suchbaren Gruppen leer
ist, wird mit dieser Option eine Gruppe angegeben, die nicht durch diesen Anbieter
aufgelöst werden kann. Wiederholen Sie die Eingabe dieser Option, um mehrere
Listenelemente anzugeben.
--unfindable-users<string>
Wenn --restrict-findable aktiviert und die Liste der suchbaren Benutzer leer
ist, wird mit dieser Option ein Benutzer angegeben, der nicht durch diesen Anbieter
--unlistable-groups<string>
Wenn --restrict-listable aktiviert und die Liste der auflistbaren Gruppen leer
aufgelistet werden kann. Wiederholen Sie die Eingabe dieser Option, um mehrere
--unlistable-users<string>
Wenn --restrict-listable aktiviert und die Liste der auflistbaren Benutzer leer
--unmodifiable-groups<string>
Wenn --restrict-modifiable aktiviert und die Liste der änderbaren Gruppen
leer ist, wird mit dieser Option eine Gruppe angegeben, die nicht durch diesen
Anbieter geändert werden kann. Wiederholen Sie die Eingabe dieser Option, um
--unmodifiable-users<string>
Wenn --restrict-modifiable aktiviert und die Liste der änderbaren Benutzer
leer ist, wird mit dieser Option ein Benutzer angegeben, der nicht durch diesen
258
--user-domain<string>
Gibt die Domain an, die dieser Anbieter zur Qualifizierung von Benutzern verwenden
soll. Die Standarddomain für Benutzer lautet FILE_USERS.
{--verbose | -v}
isi auth file delete
Löscht einen Dateianbieter.
Syntax
isi auth file delete <provider-name>
[--force]
[--verbose]
Optionen
<provider-name>
{--force | -f}
{--verbose | -v}
isi auth file list
Zeigt eine Liste mit Dateianbietern an.
Syntax
isi auth file list
[--limit <integer>]
[--no-header]
[--no-footer]
[--verbose]
Optionen
{--no-header | -a}
{--no-footer | -z}
{--verbose | -v}
isi auth file delete
259
isi auth file modify
Ändert einen Dateianbieter.
Syntax
isi auth file modify <provider-name>
[--provider <string>]
[--password-file <path>]
[--group-file <path>]
[--clear-findable-groups]
[--add-findable-groups <string>]
[--remove-findable-groups <string>]
[--clear-findable-users]
[--add-findable-users <string>]
[--remove-findable-users <string>]
[--clear-listable-groups]
[--add-listable-groups <string>]
[--remove-listable-groups <string>]
[--clear-listable-users]
[--add-listable-users <string>]
[--remove-listable-users <string>]
[--modifiable-groups <string>]
[--clear-modifiable-groups]
[--add-modifiable-groups <string>]
[--remove-modifiable-groups <string>]
[--modifiable-users <string>]
[--clear-modifiable-users]
[--add-modifiable-users <string>]
[--remove-modifiable-users <string>]
[--netgroup-file <path>]
[--restrict-modifiable {yes | no}]
[--clear-unfindable-groups]
[--add-unfindable-groups <string>]
[--remove-unfindable-groups <string>]
[--clear-unfindable-users]
[--add-unfindable-users <string>]
[--remove-unfindable-users <string>]
[--clear-unlistable-groups]
[--add-unlistable-groups <string>]
[--remove-unlistable-groups <string>]
[--clear-unlistable-users]
260
[--add-unlistable-users <string>]
[--remove-unlistable-users <string>]
[--unmodifiable-groups <string>]
[--clear-unmodifiable-groups]
[--add-unmodifiable-groups <string>]
[--remove-unmodifiable-groups <string>]
[--unmodifiable-users <string>]
[--clear-unmodifiable-users]
[--add-unmodifiable-users <string>]
[--remove-unmodifiable-users <string>]
[--verbose]
Optionen
<provider-name>
Gibt den Namen des zu ändernden Dateianbieters an. Diese Einstellung kann nicht
geändert werden.
--provider<string>
Gibt einen Authentifizierungsanbieter im Format <type>:<instance> an. Gültige
Anbietertypen sind ads, ldap, nis, file und local. Ein LDAP-Anbieter namens
„auth1“ kann beispielsweise als ldap:auth1 angegeben werden.
--password-file <path>
--group-file<path>
Gibt die Zeitdauer, nach der der Cacheeintrag abläuft, im folgenden Format an:
<integer>[{Y | M | W | D | H | m | s}]. Um den Cacheablauf zu deaktivieren, legen Sie
diesen Wert auf off fest.
--enumerate-groups {yes | no}
Gibt an, ob der Anbieter Gruppen enumerieren darf.
--enumerate-users {yes | no}
Gibt an, ob der Anbieter Benutzer enumerieren darf.
Gibt eine Gruppe an, die in diesem Anbieter gefunden werden kann, wenn -restrict-findable aktiviert ist. Wiederholen Sie die Eingabe dieser Option, um
dieser Liste enthaltene Gruppen nicht aufgelöst werden. Mit dieser Option werden
alle Einträge in der Liste der suchbaren Gruppen überschrieben. Um Gruppen ohne
261
Auswirkung auf die aktuellen Einträge hinzuzufügen oder zu entfernen, verwenden
Sie --add-findable-groups oder --remove-findable-groups.
--clear-findable-groups
Entfernt alle Einträge aus der Liste der suchbaren Gruppen.
--add-findable-groups<string>
Fügt der Liste der suchbaren Gruppen, die geprüft wird, wenn --restrictfindable aktiviert ist, einen Eintrag hinzu. Wiederholen Sie die Eingabe dieser
--remove-findable-groups<string>
Entfernt einen Eintrag aus der Liste der suchbaren Gruppen, die geprüft wird, wenn
--restrict-findable aktiviert ist. Wiederholen Sie die Eingabe dieser Option,
um mehrere Listenelemente anzugeben.
Gibt einen Benutzer an, der in diesem Anbieter gefunden werden kann, wenn -restrict-findable aktiviert ist. Wiederholen Sie die Eingabe dieser Option, um
dieser Liste enthaltene Benutzer nicht aufgelöst werden. Mit dieser Option werden
alle Einträge in der Liste der suchbaren Benutzer überschrieben. Um Benutzer ohne
Sie --add-findable-users oder --remove-findable-users.
--clear-findable-users
Entfernt alle Einträge aus der Liste der suchbaren Benutzer.
--add-findable-users<string>
Fügt der Liste der suchbaren Benutzer, die geprüft wird, wenn --restrictfindable aktiviert ist, einen Eintrag hinzu. Wiederholen Sie die Eingabe dieser
--remove-findable-users<string>
Entfernt einen Eintrag aus der Liste der suchbaren Benutzer, die geprüft wird, wenn
Gibt die Domain an, die der Anbieter zur Qualifizierung von Gruppen verwenden soll.
Die Standarddomain für Gruppen lautet FILE_GROUPS.
--group-file<path>
Gibt eine Gruppe an, die in diesem Anbieter angezeigt werden kann, wenn -restrict-listable aktiviert ist. Wiederholen Sie die Eingabe dieser Option, um
262
dieser Liste enthaltene Gruppen nicht angezeigt werden. Mit dieser Option werden
alle Einträge in der Liste der auflistbaren Gruppen überschrieben. Um Gruppen ohne
Sie --add-listable-groups oder --remove-listable-groups.
--clear-listable-groups
Entfernt alle Einträge aus der Liste der anzeigbaren Gruppen.
--add-listable-groups<string>
Fügt der Liste der anzeigbaren Gruppen, die geprüft wird, wenn --restrictlistable aktiviert ist, einen Eintrag hinzu. Wiederholen Sie die Eingabe dieser
--remove-listable-groups<string>
Entfernt einen Eintrag aus der Liste der anzeigbaren Gruppen, die geprüft wird, wenn
--restrict-listable aktiviert ist. Wiederholen Sie die Eingabe dieser Option,
Gibt einen Benutzer an, der in diesem Anbieter angezeigt werden kann, wenn -restrict-listable aktiviert ist. Wiederholen Sie die Eingabe dieser Option, um
dieser Liste enthaltene Benutzer nicht angezeigt werden. Mit dieser Option werden
alle Einträge in der Liste der auflistbaren Benutzer überschrieben. Um Benutzer ohne
Sie --add-listable-users oder --remove-listable-users.
--clear-listable-users
Entfernt alle Einträge aus der Liste der anzeigbaren Benutzer.
--add-listable-users<string>
Fügt der Liste der anzeigbaren Benutzer, die geprüft wird, wenn --restrictlistable aktiviert ist, einen Eintrag hinzu. Wiederholen Sie die Eingabe dieser
--remove-listable-users<string>
Entfernt einen Eintrag aus der Liste der anzeigbaren Benutzer, die geprüft wird, wenn
--login-shell<path>
--modifiable-groups<string>
Gibt eine Gruppe an, die geändert werden kann, wenn --restrict-modifiable
aktiviert ist. Wiederholen Sie die Eingabe dieser Option, um mehrere Listenelemente
anzugeben. Wenn diese Liste Daten enthält, können nicht in dieser Liste enthaltene
Gruppen nicht geändert werden. Mit dieser Option werden alle Einträge in der Liste
der änderbaren Gruppen überschrieben. Um Gruppen ohne Auswirkung auf die
aktuellen Einträge hinzuzufügen oder zu entfernen, verwenden Sie --addmodifiable-groups oder --remove-modifiable-groups.
--clear-modifiable-groups
Entfernt alle Einträge aus der Liste der änderbaren Gruppen.
263
--add-modifiable-groups<string>
Fügt der Liste der änderbaren Gruppen, die geprüft wird, wenn --restrictmodifiable aktiviert ist, einen Eintrag hinzu. Wiederholen Sie die Eingabe dieser
--remove-modifiable-groups<string>
Entfernt einen Eintrag aus der Liste der änderbaren Gruppen, die geprüft wird, wenn
--restrict-modifiable aktiviert ist. Wiederholen Sie die Eingabe dieser
--modifiable-users<string>
Gibt einen Benutzer an, der geändert werden kann, wenn --restrictmodifiable aktiviert ist. Wiederholen Sie die Eingabe dieser Option, um mehrere
Listenelemente anzugeben. Wenn diese Liste Daten enthält, können nicht in dieser
Liste enthaltene Benutzer nicht geändert werden. Mit dieser Option werden alle
Einträge in der Liste der änderbaren Benutzer überschrieben. Um Benutzer ohne
Sie --add-modifiable-users oder --remove-modifiable-users.
--clear-modifiable-users
Entfernt alle Einträge aus der Liste der änderbaren Benutzer.
--add-modifiable-users<string>
Fügt der Liste der änderbaren Benutzer, die geprüft wird, wenn --restrictmodifiable aktiviert ist, einen Eintrag hinzu. Wiederholen Sie die Eingabe dieser
--remove-modifiable-users<string>
Entfernt einen Eintrag aus der Liste der änderbaren Benutzer, die geprüft wird, wenn
--restrict-modifiable aktiviert ist. Wiederholen Sie die Eingabe dieser
--netgroup-file<path>
Gibt den Pfad zu einer netgroup-Austauschdatei an.
bietet im Vergleich zu NTLM zusätzliche Sicherheit und wird empfohlen.
--password-file<path>
Gibt an, ob dieser Anbieter auf gefilterte Listen mit suchbaren und nicht suchbaren
264
Gibt an, ob dieser Anbieter auf gefilterte Listen mit anzeigbaren und nicht
anzeigbaren Benutzern und Gruppen geprüft werden soll.
--restrict-modifiable {yes | no}
Gibt an, ob dieser Anbieter auf gefilterte Listen mit änderbaren und nicht änderbaren
Listenelemente anzugeben. Mit dieser Option werden alle Einträge in der Liste der
nicht suchbaren Gruppen überschrieben. Um Gruppen ohne Auswirkung auf die
aktuellen Einträge hinzuzufügen oder zu entfernen, verwenden Sie --addunfindable-groups oder --remove-unfindable-groups.
--clear-unfindable-groups
Entfernt alle Einträge aus der Liste der nicht suchbaren Gruppen.
--add-unfindable-groups<string>
Fügt der Liste der nicht suchbaren Gruppen, die geprüft wird, wenn --restrictfindable aktiviert ist, einen Eintrag hinzu. Wiederholen Sie die Eingabe dieser
--remove-unfindable-groups<string>
Entfernt einen Eintrag aus der Liste der nicht suchbaren Gruppen, die geprüft wird,
nicht suchbaren Benutzer überschrieben. Um Benutzer ohne Auswirkung auf die
aktuellen Einträge hinzuzufügen oder zu entfernen, verwenden Sie --addunfindable-users oder --remove-unfindable-users.
--clear-unfindable-users
--add-unfindable-users<string>
Fügt der Liste der nicht suchbaren Benutzer, die geprüft wird, wenn --restrictfindable aktiviert ist, einen Eintrag hinzu. Wiederholen Sie die Eingabe dieser
--remove-unfindable-users<string>
Entfernt einen Eintrag aus der Liste der nicht suchbaren Benutzer, die geprüft wird,
Wenn --restrict-listable aktiviert und die Liste der anzeigbaren Gruppen leer
265
nicht auflistbaren Gruppen überschrieben. Um Gruppen ohne Auswirkung auf die
aktuellen Einträge hinzuzufügen oder zu entfernen, verwenden Sie --addunlistable-groups oder --remove-unlistable-groups.
--clear-unlistable-groups
Entfernt alle Einträge aus der Liste der nicht anzeigbaren Gruppen.
--add-unlistable-groups<string>
Fügt der Liste der nicht anzeigbaren Gruppen, die geprüft wird, wenn --restrictlistable aktiviert ist, einen Eintrag hinzu. Wiederholen Sie die Eingabe dieser
--remove-unlistable-groups<string>
Entfernt einen Eintrag aus der Liste der nicht anzeigbaren Gruppen, die geprüft wird,
wenn --restrict-listable aktiviert ist. Wiederholen Sie die Eingabe dieser
Wenn --restrict-listable aktiviert und die Liste der anzeigbaren Benutzer
Anbieter aufgelistet werden kann. Wiederholen Sie die Eingabe dieser Option, um
mehrere Listenelemente anzugeben. Mit dieser Option werden alle Einträge in der
Liste der nicht auflistbaren Benutzer überschrieben. Um Benutzer ohne Auswirkung
auf die aktuellen Einträge hinzuzufügen oder zu entfernen, verwenden Sie --addunlistable-users oder --remove-unlistable-users.
--clear-unlistable-users
Entfernt alle Einträge aus der Liste der nicht anzeigbaren Benutzer.
--add-unlistable-users<string>
Fügt der Liste der nicht anzeigbaren Benutzer, die geprüft wird, wenn --restrictlistable aktiviert ist, einen Eintrag hinzu. Wiederholen Sie die Eingabe dieser
--remove-unlistable-users<string>
Entfernt einen Eintrag aus der Liste der nicht anzeigbaren Benutzer, die geprüft wird,
--unmodifiable-groups<string>
Wenn --restrict-modifiable aktiviert und die Liste der änderbaren Gruppen
leer ist, wird mit dieser Option eine Gruppe angegeben, die nicht durch diesen
Liste der nicht änderbaren Gruppen des Anbieters überschrieben. Um Gruppen ohne
Sie --add-unmodifiable-groups oder --remove-unmodifiable-groups.
--clear-unmodifiable-groups
Entfernt alle Einträge aus der Liste der nicht änderbaren Gruppen.
--add-unmodifiable-groups<string>
Fügt der Liste der nicht änderbaren Gruppen, die geprüft wird, wenn --restrictmodifiable aktiviert ist, einen Eintrag hinzu. Wiederholen Sie die Eingabe dieser
266
--remove-unmodifiable-groups<string>
Entfernt einen Eintrag aus der Liste der nicht änderbaren Gruppen, die geprüft wird,
wenn --restrict-modifiable aktiviert ist. Wiederholen Sie die Eingabe dieser
--unmodifiable-users<string>
Wenn --restrict-modifiable aktiviert und die Liste der änderbaren Benutzer
Liste der nicht änderbaren Benutzer des Anbieters überschrieben. Um Benutzer ohne
Sie --add-unmodifiable-users oder --remove-unmodifiable-users.
--clear-unmodifiable-users
Entfernt alle Einträge aus der Liste der nicht änderbaren Benutzer.
--add-unmodifiable-users<string>
Fügt der Liste der nicht änderbaren Benutzer, die geprüft wird, wenn --restrictmodifiable aktiviert ist, einen Eintrag hinzu. Wiederholen Sie die Eingabe dieser
--remove-unmodifiable-users<string>
Entfernt einen Eintrag aus der Liste der nicht änderbaren Benutzer, die geprüft wird,
wenn --restrict-modifiable aktiviert ist. Wiederholen Sie die Eingabe dieser
soll. Die Standarddomain für Benutzer lautet FILE_USERS.
{--verbose | -v}
isi auth file view
Zeigt die Eigenschaften eines Dateianbieters an.
Syntax
isi auth file view <provider-name>
Optionen
<provider-name>
isi auth groups create
Erstellt eine lokale Gruppe.
Syntax
isi auth groups create <name>
[--gid <integer>]
[--add-user <name>]
[--add-uid <integer>]
[--add-sid <string>
isi auth file view
267
[--add-wellknown <name>]
[--sid <string>]
[--zone <string>]
[--verbose]
[--force]
Optionen
<name>
Gibt den Gruppennamen an.
--gid<integer>
Setzt die automatische Zuweisung der UNIX-Gruppenkennung (GID) mit dem
angegebenen Wert außer Kraft. Die Festlegung dieser Option wird nicht empfohlen.
--add-user<name>
Gibt den Namen des Benutzers an, der der Gruppe hinzugefügt werden soll.
Wiederholen Sie die Eingabe dieser Option, um mehrere Benutzer anzugeben.
--add-uid<integer>
Gibt die UID des Benutzers an, der der Gruppe hinzugefügt werden soll. Wiederholen
Sie die Eingabe dieser Option, um mehrere Benutzer anzugeben.
--add-sid<string>
Gibt die SID des Benutzers an, der der Gruppe hinzugefügt werden soll. Wiederholen
Sie die Eingabe dieser Option, um mehrere Benutzer anzugeben.
--add-wellknown<name>
Gibt einen bekannten Rollennamen an, der der Gruppe hinzugefügt werden soll.
Wiederholen Sie die Eingabe dieser Option, um mehrere Rollen anzugeben.
--sid<string>
Legt die Windows-Sicherheitskennung (SID) für die Gruppe fest, z. B. S-1-5-21-13.
--zone<string>
Legt die Zugriffszone fest, in der die Gruppe erstellt werden soll.
--provider<string>
Gibt einen lokalen Authentifizierungsanbieter in der angegebenen Zugriffszone an.
{--verbose | -v}
{--force | -f}
isi auth groups delete
Entfernt eine lokale Gruppe aus dem System. Mitglieder einer Gruppe werden entfernt,
bevor die Gruppe gelöscht wird.
Syntax
isi auth groups delete {<group> | --gid <integer> | --sid <string>}
[--zone <string>]
[--force]
[--verbose]
268
Optionen
Für diesen Befehl ist die Option <group>, --gid<integer> oder --sid<string> erforderlich.
<group>
Gibt die Gruppe nach Namen an.
--gid<integer>
Gibt die Gruppe nach GID an.
<group>
--sid<string>
Gibt die Gruppe nach SID an.
--zone<string>
Gibt den Namen der Zugriffszone an, die die Gruppe enthält.
--provider<string>
Gibt den Authentifizierungsanbieter der Gruppe an.
{--force | -f}
{--verbose | -v}
isi auth groups flush
Löscht zwischengespeicherte Gruppeninformationen.
Syntax
Optionen
Beispiele
Um alle zwischengespeicherten Gruppeninformationen zu löschen, führen Sie den
isi auth groups list
Zeigt eine Liste der Gruppen an.
Syntax
isi auth groups list
[--domain <string>]
[--zone <string>]
[--limit <integer>]
[--no-header]
[--no-footer]
[--verbose]
Optionen
--domain<string>
269
Gibt die Anbieterdomain an.
--zone<string>
Gibt eine Zugriffszone an.
--provider<string>
Gibt einen Authentifizierungsanbieter an.
{--no-header | -a}
{--no-footer | -z}
{--verbose | -v}
isi auth groups modify
Ändert eine lokale Gruppe.
Syntax
isi auth groups modify {<group> | --gid <integer> | --sid <string>}
[--new-gid <integer>]
[--remove-uid <integer>]
[--add-user <name>]
[--remove-user <name>]
[--add-sid <string>]
[--remove-sid <string>]
[--add-wellknown <name>]
[--remove-wellknown <name>]
[--zone <string>]
[--verbose]
[--force]
Optionen
<group>
--gid<integer>
--sid<string>
--new-gid<integer>
Gibt eine neue GID für die Gruppe an. Die Festlegung dieser Option wird nicht
empfohlen.
--add-uid<integer>
270
Gibt die UID eines Benutzers an, der zur Gruppe hinzugefügt werden soll.
--remove-uid<integer>
Gibt die UID eines Benutzers an, der aus der Gruppe entfernt werden soll.
--add-user<name>
Gibt den Namen eines Benutzers an, der zur Gruppe hinzugefügt werden soll.
--remove-user<name>
Gibt den Namen eines Benutzers an, der aus der Gruppe entfernt werden soll.
--add-sid<string>
Gibt die SID eines Objekts an, das zur Gruppe hinzugefügt werden soll, zum Beispiel
S-1-5-21-13. Wiederholen Sie die Eingabe dieser Option, um mehrere
--remove-sid<string>
Gibt die SID eines Objekts an, das aus der Gruppe entfernt werden soll. Wiederholen
--add-wellknown<name>
Gibt eine bekannte SID an, die zur Gruppe hinzugefügt werden soll. Wiederholen Sie
--remove-wellknown<name>
Gibt eine bekannte SID an, die aus der Gruppe entfernt werden soll. Wiederholen Sie
--zone<string>
Gibt die Zugriffszone der Gruppe an.
--provider<string>
Gibt den Authentifizierungsanbieter der Gruppe an.
{--verbose | -v}
{--force | -f}
isi auth groups members list
Zeigt eine Liste von Mitgliedern an, die mit einer Gruppe verknüpft sind.
Syntax
isi auth groups members list {<group> | --gid <integer> | --sid
<string>}
[--zone <string>]
[--limit <integer>]
[--no-header]
[--no-footer]
[--verbose]
isi auth groups members list
271
Optionen
<group>
--gid<integer>
--sid<string>
--zone<string>
--provider<string>
{--no-header | -a}
{--no-footer | -z}
{--verbose | -v}
isi auth groups view
Zeigt die Eigenschaften einer Gruppe an.
Syntax
isi auth groups view {<group> | --gid <integer> | --sid <string>}
[--zone <string>]
[--show-groups]
Optionen
<group>
--gid<integer>
--sid<string>
--zone<string>
272
--show-groups
Zeigt Gruppen an, die diese Gruppe als Mitglied enthalten.
--provider<string>
isi auth id
Zeigt Ihr Zugriffstoken an.
Syntax
isi auth id
Optionen
isi auth krb5 realm create
Erstellt einen MIT Kerberos-Bereich.
Syntax
isi auth krb5 realm create <realm>
[--is-default-realm <boolean>]
[--kdc <string>]
[--admin-server <string>]
[--default-domain <string>]
Optionen
<realm>
Gibt den Namen des Bereichs an.
--is-default-realm<boolean>
Gibt an, ob der Bereich die Standardeinstellung sein soll.
--kdc<string>
Gibt den Hostnamen oder die IP-Adresse eines Key Distribution Center (KDC) an.
Geben Sie --kdc für jeden weiteren Hostnamen oder jede weitere IP-Adresse eines
KDC an.
--admin-server<string>
Gibt den Hostnamen oder die IP-Adresse des Verwaltungsservers (Master-KDC) an.
--default-domain<string>
Gibt die Standarddomain für den Bereich an, der zur Übersetzung der v4Prinzipalnamen verwendet wird.
isi auth krb5 realm delete
Löscht einen MIT Kerberos-Bereich.
Syntax
isi auth krb5 realm delete <realm>
[--force]
isi auth id
273
Optionen
<realm>
Gibt den Kerberos-Bereichsnamen an.
{--force | -f}
Legt fest, dass keine Bestätigung angefordert werden soll.
isi auth krb5 realm modify
Ändert einen MIT Kerberos-Bereich.
Syntax
isi auth krb5 realm modify <realm>
[--kdc <string>]
Optionen
<realm>
Gibt an, ob der Kerberos-Bereich die Standardeinstellung sein soll.
--kdc<string>
Gibt den Hostnamen oder die IP-Adresse des Key Distribution Center (KDC) an. Geben
Sie --kdc für jeden weiteren Hostnamen oder jede weitere IP-Adresse des KDC an.
Gibt die Standarddomain für den Kerberos-Bereich an, der zur Übersetzung der v4Prinzipalnamen verwendet wird.
isi auth krb5 realm list
Zeigt eine Liste der MIT Kerberos-Bereiche an.
Syntax
isi auth krb5 realm list
[--limit <integer>]
[--no-header]
[--no-footer]
Optionen
Gibt die Anzahl der anzuzeigenden Kerberos-Bereiche an.
Gibt an, dass die Kerberos-Bereiche in Tabellen-, JSON-, CSV- oder Listenformat
anzuzeigen sind.
{--no-header | -a}
274
Legt fest, dass die Header im CSV- oder Tabellenformat nicht anzuzeigen sind.
{--no-footer | -z}
Legt fest, dass die Fußzeileninformationen der Tabellenzusammenfassung nicht
anzuzeigen sind.
isi auth krb5 realm view
Zeigt die Eigenschaften eines MIT Kerberos-Bereichs an.
Syntax
isi auth krb5 realm view <realm>
Optionen
<realm>
isi auth krb5 create
Erstellt einen MIT Kerberos-Anbieter und bindet einen Benutzer an einen MIT KerberosBereich.
Syntax
isi auth krb5 create <realm> {<user> | --keytab-file <string> }
[--spn<string>]
[--kdc <string>]
Optionen
<realm>
<Benutzer
Gibt einen Benutzernamen mit Berechtigungen zum Erstellen der
Serviceprinzipalnamen (SPNs) im gegebenen Kerberos-Bereich an.
--keytab-file<string>
Gibt die zu importierende keytab-Datei an.
--password<string>
Gibt das Passwort an, das für den Beitritt zu einem Kerberos-Bereich verwendet wird.
--spn<string>
Gibt das SPNs für die Registrierung an. Geben Sie --spn für jeden weiteren SPN an,
den Sie registrieren möchten.
Gibt an, ob der Kerberos-Bereich die Standardeinstellung sein soll.
--kdc<string>
Gibt den Hostnamen oder die IP-Adresse des Key Distribution Center (KDC) an. Geben
Sie --kdc für jeden weiteren Hostnamen oder jede weitere IP-Adresse des KDC an.
isi auth krb5 realm view
275
Gibt die Standard-Kerberos-Domain für den Kerberos-Bereich an, der zur Übersetzung
der v4-Prinzipalnamen verwendet wird.
isi auth krb5 delete
Löscht einen MIT Kerberos-Authentifizierungsanbieter und entfernt den Benutzer aus
einem MIT Kerberos-Bereich.
Syntax
isi auth krb5 delete <provider-name>
[--force]
Optionen
<provider-name>
Gibt den Kerberos-Anbieternamen an.
{--force | -f}
isi auth krb5 list
Zeigt eine Liste der MIT Kerberos-Authentifizierungsanbieter an.
Syntax
isi auth krb5 list
[--limit <integer>]
[--no-header]
[--no-footer]
Optionen
Gibt die Anzahl der anzuzeigenden Kerberos-Anbieter an.
Gibt an, dass die Kerberos-Anbieter in Tabellen-, JSON-, CSV- oder Listenformat
anzuzeigen sind.
{--no-header | -a}
{--no-footer | -z}
anzuzeigen sind.
isi auth krb5 view
Zeigt die Eigenschaften eines MIT Kerberos-Authentifizierungsanbieters an.
Syntax
isi auth krb5 view <provider-name>
276
Optionen
<provider-name>
isi auth krb5 domain create
Erstellt eine MIT Kerberos-Domainzuordnung.
Syntax
isi auth krb5 domain create <domain>
[--realm <string>]
Optionen
<domain>
Gibt den Namen der Kerberos-Domain an.
--realm<string>
Gibt den Namen der Kerberos-Bereichs an.
isi auth krb5 domain delete
Löscht eine MIT Kerberos-Domainzuordnung.
Syntax
isi auth krb5 domain delete <domain>
[--force]
Optionen
<domain>
Gibt den Namen der Kerberos-Domain an.
{--force | -f}
isi auth krb5 domain modify
Ändert eine MIT Kerberos-Domainzuordnung.
Syntax
isi auth krb5 domain modify <domain>
[--realm <string>]
Optionen
<domain>
Gibt den Kerberos-Domainnamen an.
--realm<string>
isi auth krb5 domain list
Zeigt eine Liste der MIT Kerberos-Domainzuordnungen an.
isi auth krb5 domain create
277
Syntax
isi auth krb5 domain list
[--limit <integer>]
[--no-header]
[--no-footer]
Optionen
Gibt die Anzahl der anzuzeigenden Kerberos-Domainzuordnungen an.
Gibt an, dass die Kerberos-Domainzuordnungen in Tabellen-, JSON-, CSV- oder
Listenformat anzuzeigen sind.
{--no-header | -a}
{--no-footer | -z}
anzuzeigen sind.
isi auth krb5 domain view
Zeigt die Eigenschaften einer MIT Kerberos-Domainzuordnung an.
Syntax
isi auth krb5 domain view <domain>
Optionen
<domain>
Gibt den Kerberos-Domainnamen an.
isi auth krb5 spn create
Erstellt oder aktualisiert Schlüssel für einen MIT Kerberos-Anbieter.
Syntax
isi auth krb5 spn create <provider-name> <user> <spn>
Optionen
<provider-name>
<Benutzer
Gibt einen Benutzernamen mit Berechtigungen zum Erstellen der
Serviceprinzipalnamen (SPNs) im Kerberos-Bereich an.
<spn>
Gibt den SPN an.
--password<string>
278
Gibt das Passwort an, das bei der Änderung eines Kerberos-Bereichs verwendet
wurde.
isi auth krb5 spn delete
Löscht Schlüssel aus einem MIT Kerberos-Anbieter.
Syntax
isi auth krb5 spn delete <provider-name> <spn> {<kvno> | --all}
Optionen
<provider-name>
<spn>
Gibt den Serviceprinzipalnamen (SPN) an.
<kvno>
Gibt die Versionsnummer des Schlüssels an.
--all
Löscht alle Schlüsselversionen.
isi auth krb5 spn check
Prüft auf fehlende Serviceprinzipalnamen (SPNs) eines MIT Kerberos-Anbieters.
Syntax
isi auth krb5 spn check <provider-name>
Optionen
<provider-name>
isi auth krb5 spn fix
Fügt die fehlenden Serviceprinzipalnamen (SPNs) eines MIT Kerberos-Anbieters hinzu.
Syntax
isi auth krb5 spn fix <provider-name> <user>
[--force]
Optionen
<provider-name>
<Benutzer
Gibt einen Benutzernamen mit den Berechtigungen zum Verknüpfen von Clients mit
der gegebenen Kerberos-Domain an.
--password<string>
Gibt das Passwort an, das verwendet wurde, als der Kerberos-Bereich geändert
wurde.
isi auth krb5 spn delete
279
{--force | -f}
isi auth krb5 spn import
Importiert Schlüssel aus einer keytab-Datei für einen MIT Kerberos-Anbieter.
Syntax
isi auth krb5 spn import <provider-name> <keytab-file>
Optionen
<provider-name>
<keytab-file>
Gibt die zu importierende keytab-Datei an.
isi auth krb5 spn list
Listet die Serviceprinzipalnamen (SPNs) und Schlüssel für einen MIT Kerberos-Anbieter
auf.
Syntax
isi auth krb5 spn list <provider-name>
[--limit <integer>]
[--no-header]
[--no-footer]
Optionen
<provider-name>
Gibt die Anzahl der anzuzeigenden SNPs und Schlüssel an.
Gibt an, dass die SNPs und Schlüssel in Tabellen-, JSON-, CSV- oder Listenformat
anzuzeigen sind.
{--no-header | -a}
{--no-footer | -z}
anzuzeigen sind.
isi auth settings krb5 modify
Ändert die globalen Einstellungen eines MIT Kerberos-Authentifizierungsanbieters.
Syntax
isi auth settings krb5 modify
[--always-send-preauth <boolean> | --revert-always-sendpreauth]
280
[--default-realm <string>]
[--dns-lookup-kdc <boolean> | --revert-dns-lookup-kdc]
[--dns-lookup-realm <boolean> | --revert-dns-lookup-realm]
Optionen
--always-send-preauth<boolean>
Gibt an, ob preauth gesendet wird.
--revert-always-send-preauth
Legt den Wert für --always-send-preauth auf den Systemstandard fest.
--default-realm<string>
Gibt den standardmäßigen Kerberos-Bereichsnamen an.
--dns-lookup-kdc<boolean>
Ermöglicht, dass DNS Key Distribution Centers (KDCs) findet.
--revert-dns-lookup-kdc
Legt den Wert für --dns-lookup-kdc auf den Systemstandard fest.
--dns-lookup-realm<boolean>
Ermöglicht, dass DNS die Kerberos-Bereichsnamen findet.
--revert-dns-lookup-realm
Legt den Wert für --dns-lookup-realm auf den Systemstandard fest.
isi auth settings krb5 view
Zeigt MIT Kerberos-Anbieterauthentifizierungseinstellungen an.
Syntax
isi auth ldap create
Erstellt einen LDAP-Anbieter.
Syntax
isi auth ldap create <name>
[--base-dn <string>]
[--server-uris <string>]
[--alternate-security-identities-attribute <string>]
[--balance-servers {yes | no}]
[--bind-dn <string>]
[--bind-timeout <integer>]
[--certificate-authority-file <string>]
[--cn-attribute <string>]
[--crypt-password-attribute <string>]
[--email-attribute <string>]
281
[--gecos-attribute <string>]
[--gid-attribute <string>]
[--group-base-dn <string>]
[--group-filter <string>]
[--group-members-attribute <string>]
[--group-search-scope <scope>]
[--home-directory-template <string>]
[--homedir-attribute <string>]
[--ignore-tls-errors {yes | no}]
[--login-shell <string>]
[--member-of-attribute <string>]
[--name-attribute <string>]
[--netgroup-base-dn <string>]
[--netgroup-filter <string>]
[--netgroup-members-attribute <string>]
[--netgroup-search-scope <scope>]
[--netgroup-triple-attribute <string>]
[--nt-password-attribute <string>]
[--require-secure-connection {yes | no}]
[--search-scope <scope>]
[--search-timeout <integer>]
[--shell-attribute <string>]
[--uid-attribute <string>]
[--unique-group-members-attribute <string>]
[--user-base-dn <string>]
[--user-filter <string>]
[--user-search-scope <scope>]
[--bind-password <string>]
[--set-bind-password]
[--verbose]
Optionen
<name>
Legt den Namen des LDAP-Anbieters fest.
--base-dn<string>
Legt den Stamm der Struktur fest, in der nach Identitäten gesucht werden soll.
Beispiel: CN=myuser,CN=Users,DC=mycompany,DC=com.
--server-uris<string>
Gibt eine Liste von LDAP-Server-URIs an, die für den Zugriff auf den Server verwendet
werden sollen. Wiederholen Sie die Eingabe dieser Option, um mehrere Elemente
anzugeben.
--alternate-security-identities-attribute<string>
Gibt den Namen an, der bei der Suche nach alternativen Sicherheitsidentitäten
verwendet werden soll. Dieser Name wird verwendet, wenn OneFS versucht, einen
Kerberos-Prinzipalnamen für einen Benutzer aufzulösen.
282
--balance-servers {yes | no}
Legt fest, dass der Anbieter bei jeder Anforderung eine Verbindung zu einem zufällig
ausgewählten Server herstellt.
--bind-dn<string>
Gibt den Distinguished Name an, der bei der Anbindung an den LDAP-Server
verwendet werden soll. Beispiel:
CN=myuser,CN=Users,DC=mycompany,DC=com.
--bind-timeout<integer>
Gibt das Timeout für die Anbindung an den LDAP-Server in Sekunden an.
Gibt die Zeitdauer, für die ein Benutzer oder eine Gruppe zwischengespeichert
werden soll, im folgenden Format an: <integer>[{Y | M | W | D | H | m | s}].
--certificate-authority-file<path>
Gibt den Pfad zur Stammzertifikatdatei an.
<integer>[{Y | M | W | D | H | m | s}].
--cn-attribute<string>
Gibt das LDAP-Attribut an, das Common Names enthält. Der Standardwert ist cn.
Gibt an, ob bei der ersten Benutzeranmeldung automatisch ein Stammverzeichnis
erstellt werden soll, wenn für den Benutzer noch kein Stammverzeichnis vorhanden
ist.
--crypt-password-attribute<string>
Gibt das LDAP-Attribut an, das UNIX-Passwörter enthält. Für diese Einstellung gibt es
keinen Standardwert.
--email-attribute<string>
Gibt das LDAP-Attribut an, das E-Mail-Adressen enthält. Der Standardwert ist mail.
Option, um weitere suchbare Gruppen anzugeben. Wenn diese Liste Daten enthält,
können nicht in dieser Liste enthaltene Gruppen nicht aufgelöst werden.
283
Option, um weitere suchbare Benutzer anzugeben. Wenn diese Liste Daten enthält,
können nicht in dieser Liste enthaltene Benutzer nicht aufgelöst werden.
--gecos-attribute<string>
Gibt das LDAP-Attribut an, das GECOS-Felder enthält. Der Standardwert ist gecos.
--gid-attribute<string>
Gibt das LDAP-Attribut an, das GIDs enthält. Der Standardwert ist gidNumber.
--group-base-dn<string>
Gibt den Distinguished Name des Eintrags an, an dem LDAP-Suchen nach Gruppen
gestartet werden sollen.
Gibt die Domain an, die der Anbieter zur Qualifizierung von Gruppen verwenden soll.
Die Standarddomain für Gruppen lautet LDAP_GROUPS.
--group-filter<string>
Gibt den LDAP-Filter für Gruppenobjekte an.
--group-members-attribute<string>
Gibt das LDAP-Attribut an, das Gruppenmitglieder enthält. Der Standardwert ist
memberUid.
--group-search-scope<scope>
Legt die Standardtiefe des Basis-DN (Distinguished Name) fest, um LDAP-Suchen
nach Gruppen durchzuführen.
default
Wendet die Einstellung in --search-scope an.
Hinweis
Es ist nicht möglich, --search-scope=default anzugeben. Wenn Sie
beispielsweise --group-search-scope=default angeben, wird der
Suchbereich auf den Wert von --search-scope festgelegt.
base
Durchsucht nur den Eintrag am Basis-DN.
onelevel
Durchsucht alle Einträge direkt eine Ebene unterhalb des Basis-DN.
subtree
Durchsucht den Basis-DN und alle Einträge darunter.
children
Durchsucht alle Einträge unterhalb des Basis-DN, wobei der Basis-DN
ausgeschlossen wird.
284
Anbieterdomain und den Zonennamen ersetzt. Weitere Informationen zu den
Variablen für Stammverzeichnisse finden Sie im Abschnitt zu den
Stammverzeichnissen.
--homedir-attribute<string>
Gibt das LDAP-Attribut an, das Stammverzeichnisse enthält. Der Standardwert ist
homeDirectory.
--ignore-tls-errors {yes | no}
Fährt auch dann über eine sichere Verbindung fort, wenn Identitätsprüfungen
fehlschlagen.
Gibt eine Liste von Gruppen an, die in diesem Anbieter angezeigt werden können,
Option, um mehrere Listenelemente anzugeben. Wenn diese Liste Daten enthält,
können nicht in dieser Liste enthaltene Gruppen nicht angezeigt werden.
--listable-users <string>
Gibt eine Liste von Benutzern an, die in diesem Anbieter angezeigt werden können,
können nicht in dieser Liste enthaltene Benutzer nicht angezeigt werden.
--login-shell<path>
Gibt den Pfadnamen zur Anmelde-Shell für Benutzer an, die über SSH auf das
Dateisystem zugreifen.
--member-of-attribute<string>
Legt das Attribut fest, das für die Suche in LDAP nach umgekehrten Mitgliedschaften
verwendet werden soll. Dieser LDAP-Wert muss ein Attribut des posixAccountBenutzertyps sein, das die Gruppen beschreibt, denen der POSIX-Benutzer angehört.
--name-attribute<string>
Gibt das LDAP-Attribut an, das die UIDs enthält, die als Anmeldenamen verwendet
werden. Der Standardwert ist uid.
--netgroup-base-dn<string>
Gibt den Distinguished Name des Eintrags an, an dem LDAP-Suchen nach
Netzwerkgruppen gestartet werden sollen.
--netgroup-filter<string>
Gibt den LDAP-Filter für Netzwerkgruppenobjekte an.
--netgroup-members-attribute<string>
Gibt das LDAP-Attribut an, das Netzwerkgruppenmitglieder enthält. Der Standardwert
ist memberNisNetgroup.
--netgroup-search-scope<scope>
Legt die Tiefe des Basis-DN (Distinguished Name) fest, um LDAP-Suchen nach
Netzwerkgruppen durchzuführen.
285
default
Hinweis
base
onelevel
subtree
children
--netgroup-triple-attribute<string>
Gibt das LDAP-Attribut an, das Netzwerkdreiergruppen enthält. Der Standardwert ist
nisNetgroupTriple.
--nt-password-attribute<string>
Gibt das LDAP-Attribut an, das Windows-Passwörter enthält. Der Standardwert ist
ntpasswdhash.
unterstützt werden sollen.
--require-secure-connection {yes | no}
Gibt an, ob eine TLS-Verbindung erforderlich ist.
Gibt an, ob der Anbieter auf gefilterte Listen mit suchbaren und nicht suchbaren
Gibt an, ob der Anbieter auf gefilterte Listen mit auflistbaren und nicht auflistbaren
--search-scope<scope>
durchzuführen.
286
base
onelevel
subtree
children
--search-timeout <integer>
Gibt die Anzahl von Sekunden an, nach denen keine Neuversuche mehr durchgeführt
werden sollen und die Suche fehlschlägt. Der Standardwert ist 100.
--shell-attribute<string>
Gibt das LDAP-Attribut an, das die UNIX-Anmelde-Shell eines Benutzers enthält. Der
Standardwert ist loginShell.
--uid-attribute<string>
Gibt das LDAP-Attribut an, das UID-Nummern enthält. Der Standardwert ist
uidNumber.
ist, wird mit dieser Option eine Liste von Gruppen angegeben, die nicht durch diesen
Anbieter aufgelöst werden können. Wiederholen Sie die Eingabe dieser Option, um
ist, wird mit dieser Option ein Liste von Benutzern angegeben, die nicht durch diesen
Anbieter aufgelöst werden können. Wiederholen Sie die Eingabe dieser Option, um
--unique-group-members-attribute<string>
Gibt das LDAP-Attribut an, das eindeutige Gruppenmitglieder enthält. Dieses Attribut
wird verwendet, um festzulegen, welchen Gruppen ein Benutzer angehört, wenn der
LDAP-Server statt nach dem Benutzernamen nach dem DN des Benutzers abgefragt
wird. Für diese Einstellung gibt es keinen Standardwert.
Wenn --restrict-listable aktiviert und die Liste der suchbaren Gruppen leer
ist, wird mit dieser Option eine Liste von Gruppen angegeben, die nicht durch diesen
Anbieter aufgelistet werden können. Wiederholen Sie die Eingabe dieser Option, um
Wenn --restrict-listable aktiviert und die Liste der suchbaren Benutzer leer
ist, wird mit dieser Option eine Liste von Benutzern angegeben, die nicht durch
diesen Anbieter aufgelistet werden können. Wiederholen Sie die Eingabe dieser
--user-base-dn<string>
Gibt den Distinguished Name des Eintrags an, an dem LDAP-Suchen nach Benutzern
287
Gibt die Domain an, die der Anbieter zur Qualifizierung von Benutzern verwenden
soll. Die Standarddomain für Benutzer lautet LDAP_USERS.
--user-filter<string>
Legt den LDAP-Filter für Benutzerobjekte fest.
--user-search-scope<scope>
Benutzern durchzuführen.
default
Wendet den Suchbereich an, der in den Standardabfrageeinstellungen definiert
ist.
base
onelevel
subtree
children
--bind-password<string>
Gibt das Passwort für den Distinguished Name an, das bei der Anbindung an den
LDAP-Server verwendet wird. Um das Passwort interaktiv festzulegen, verwenden Sie
stattdessen die Option --set-bind-password.
--set-bind-password
Legt das Passwort für den Distinguished Name, das bei der Anbindung an den LDAPServer verwendet wird, interaktiv fest. Diese Option kann nicht mit --bindpassword verwendet werden.
{--verbose | -v}
isi auth ldap delete
Löscht einen LDAP-Anbieter.
Syntax
isi auth ldap delete <provider-name>
[--force]
[--verbose]
Optionen
<provider-name>
{--force | -f}
<provider-name>
288
{--verbose | -v}
isi auth ldap list
Zeigt eine Liste mit LDAP-Anbietern an.
Syntax
isi auth ldap list
[--limit <integer>]
[--no-header]
[--no-footer]
[--verbose]
Optionen
{--no-header | -a}
{--no-footer | -z}
{--verbose | -v}
isi auth ldap modify
Ändert einen LDAP-Anbieter.
Syntax
isi auth ldap modify <provider-name>
[--base-dn <string>]
[--server-uris <string>]
[--clear-server-uris]
[--add-server-uris <string>]
[--remove-server-uris <string>]
[--alternate-security-identities-attribute <string>]
[--bind-dn <string>]
[--bind-timeout <integer>]
[--certificate-authority-file <string>]
[--cn-attribute <string>]
[--crypt-password-attribute <string>]
[--email-attribute <string>]
isi auth ldap list
289
[--gecos-attribute <string>]
[--gid-attribute <string>]
[--group-base-dn <string>]
[--group-filter <string>]
[--group-members-attribute <string>]
[--group-search-scope <scope>]
[--homedir-attribute <string>]
[--ignore-tls-errors {yes | no}]
[--member-of-attribute <string>]
[--name-attribute <string>]
[--netgroup-base-dn <string>]
[--netgroup-filter <string>]
[--netgroup-members-attribute <string>]
[--netgroup-search-scope <scope>]
[--netgroup-triple-attribute <string>]
[--nt-password-attribute <string>]
[--require-secure-connection {yes | no}]
[--search-scope <scope>]
[--search-timeout <integer>]
[--shell-attribute <string>]
[--uid-attribute <string>]
[--unique-group-members-attribute <string>]
[--user-base-dn <string>]
[--user-filter <string>]
[--user-search-scope <scope>]
[--bind-password <string>]
290
[--set-bind-password]
[--verbose]
Optionen
<provider-name>
Gibt den Namen des zu ändernden LDAP-Anbieters an.
--base-dn<string>
Legt den Stamm der Struktur fest, in der nach Identitäten gesucht werden soll.
Beispiel: CN=myuser,CN=Users,DC=mycompany,DC=com.
--server-uris<string>
Gibt eine Liste von LDAP-Server-URIs an, die für den Zugriff auf den Server verwendet
werden sollen. Wiederholen Sie die Eingabe dieser Option, um mehrere Elemente
anzugeben.
--clear-server-uris
Entfernt alle Einträge aus der Liste der Server-URIs.
--add-server-uris<string>
Fügt der Liste der Server-URIs einen Eintrag hinzu. Wiederholen Sie die Eingabe
--remove-server-uris<string>
Entfernt einen Eintrag aus der Liste der Server-URIs. Wiederholen Sie die Eingabe
--alternate-security-identities-attribute<string>
Gibt den Namen an, der bei der Suche nach alternativen Sicherheitsidentitäten
verwendet werden soll. Dieser Name wird verwendet, wenn OneFS versucht, einen
Kerberos-Prinzipalnamen für einen Benutzer aufzulösen.
Aktiviert oder deaktiviert die Verwendung dieses Anbieters zu Authentifizierungs- und
Legt fest, dass dieser Anbieter bei jeder Anforderung eine Verbindung zu einem
zufällig ausgewählten Server herstellt.
--bind-dn<string>
Gibt den Distinguished Name an, der bei der Anbindung an den LDAP-Server
verwendet werden soll. Beispiel:
CN=myuser,CN=Users,DC=mycompany,DC=com.
--bind-timeout<integer>
Gibt das Timeout für die Anbindung an den LDAP-Server in Sekunden an.
Hierbei wird das folgende Format verwendet: <integer>[{Y | M | W | D | H | m | s}].
--certificate-authority-file<path>
Gibt den Pfad zur Stammzertifikatdatei an.
291
<integer>[{Y | M | W | D | H | m | s}].
--cn-attribute<string>
Gibt das LDAP-Attribut an, das Common Names enthält. Der Standardwert ist cn.
soll, wenn für den Benutzer noch kein Stammverzeichnis vorhanden ist. Mit dem
Befehl --home-directory-template wird der Verzeichnispfad in der
Pfadvorlage angegeben.
--crypt-password-attribute<string>
Gibt das LDAP-Attribut an, das UNIX-Passwörter enthält. Für diese Einstellung gibt es
keinen Standardwert.
--email-attribute<string>
Gibt das LDAP-Attribut an, das E-Mail-Adressen enthält. Der Standardwert ist mail.
Aktiviert oder deaktiviert diesen Anbieter.
können nicht in dieser Liste enthaltene Gruppen nicht in diesem Anbieter aufgelöst
werden. Mit dieser Option werden die Einträge in der Liste der suchbaren Gruppen
überschrieben. Um Gruppen ohne Auswirkung auf die aktuellen Einträge
hinzuzufügen oder zu entfernen, verwenden Sie --add-findable-groups oder
--remove-findable-groups.
Entfernt die Liste der suchbaren Gruppen.
können nicht in dieser Liste enthaltene Benutzer nicht in diesem Anbieter aufgelöst
werden. Mit dieser Option werden die Einträge in der Liste der suchbaren Benutzer
292
überschrieben. Um Benutzer ohne Auswirkung auf die aktuellen Einträge
hinzuzufügen oder zu entfernen, verwenden Sie --add-findable-users oder -remove-findable-users.
Entfernt die Liste der suchbaren Benutzer.
--gecos-attribute<string>
Gibt das LDAP-Attribut an, das GECOS-Felder enthält. Der Standardwert ist gecos.
--gid-attribute<string>
Gibt das LDAP-Attribut an, das GIDs enthält. Der Standardwert ist gidNumber.
--group-base-dn<string>
Gibt den Distinguished Name des Eintrags an, an dem LDAP-Suchen nach Gruppen
soll. Die Standarddomain für Gruppen lautet LDAP_GROUPS.
--group-filter<string>
Gibt den LDAP-Filter für Gruppenobjekte an.
--group-members-attribute<string>
Gibt das LDAP-Attribut an, das Gruppenmitglieder enthält. Der Standardwert ist
memberUid.
--group-search-scope<scope>
nach Gruppen durchzuführen.
default
Hinweis
base
onelevel
293
subtree
children
--homedir-attribute<string>
Gibt das LDAP-Attribut an, das bei der Suche nach dem Stammverzeichnis verwendet
wird. Der Standardwert ist homeDirectory.
--ignore-tls-errors {yes | no}
Fährt auch dann über eine sichere Verbindung fort, wenn Identitätsprüfungen
fehlschlagen.
Gibt eine Liste von Gruppen an, die in diesem Anbieter angezeigt werden können,
können nicht in dieser Liste enthaltene Gruppen nicht in diesem Anbieter angezeigt
werden. Mit dieser Option werden die Einträge in der Liste der auflistbaren Gruppen
überschrieben. Um Gruppen ohne Auswirkung auf die aktuellen Einträge
hinzuzufügen oder zu entfernen, verwenden Sie --add-listable-groups oder
--remove-listable-groups.
Fügt der Liste der auflistbaren Gruppen, die geprüft wird, wenn --restrictlistable aktiviert ist, einen Eintrag hinzu. Wiederholen Sie die Eingabe dieser
Gibt eine Liste von Benutzern an, die in diesem Anbieter angezeigt werden können,
können nicht in dieser Liste enthaltene Benutzer nicht in diesem Anbieter angezeigt
werden. Mit dieser Option werden die Einträge in der Liste der auflistbaren Benutzer
überschrieben. Um Benutzer ohne Auswirkung auf die aktuellen Einträge
hinzuzufügen oder zu entfernen, verwenden Sie --add-listable-users oder -remove-listable-users.
294
Fügt der Liste der auflistbaren Benutzer, die geprüft wird, wenn --restrictlistable aktiviert ist, einen Eintrag hinzu. Wiederholen Sie die Eingabe dieser
--login-shell<path>
Gibt den Pfadnamen zur Anmelde-Shell des Benutzers an, wenn diese über SSH auf
das Dateisystem zugreifen.
--member-of-attribute<string>
Legt das Attribut fest, das für die Suche in LDAP nach umgekehrten Mitgliedschaften
verwendet werden soll. Dieser LDAP-Wert muss ein Attribut des posixAccountBenutzertyps sein, das die Gruppen beschreibt, denen der POSIX-Benutzer angehört.
--name-attribute<string>
Gibt das LDAP-Attribut an, das die UIDs enthält, die als Anmeldenamen verwendet
werden. Der Standardwert ist uid.
--netgroup-base-dn<string>
Gibt den Distinguished Name des Eintrags an, an dem LDAP-Suchen nach
Netzwerkgruppen gestartet werden sollen.
--netgroup-filter<string>
Gibt den LDAP-Filter für Netzwerkgruppenobjekte an.
--netgroup-members-attribute<string>
Gibt das LDAP-Attribut an, das Netzwerkgruppenmitglieder enthält. Der Standardwert
ist memberNisNetgroup.
--netgroup-search-scope<scope>
Netzwerkgruppen durchzuführen.
default
Hinweis
base
onelevel
295
subtree
children
--netgroup-triple-attribute<string>
Gibt das LDAP-Attribut an, das Netzwerkdreiergruppen enthält. Der Standardwert ist
nisNetgroupTriple.
--nt-password-attribute<string>
Gibt das LDAP-Attribut an, das Windows-Passwörter enthält. Der Standardwert ist
ntpasswdhash.
unterstützt werden sollen.
all
v2only
none
--require-secure-connection {yes | no}
Gibt an, ob eine TLS-Verbindung erforderlich ist.
--search-scope<scope>
durchzuführen.
base
onelevel
subtree
296
children
--search-timeout<integer>
Gibt die Anzahl von Sekunden an, nach denen keine Neuversuche mehr durchgeführt
werden sollen und die Suche fehlschlägt. Der Standardwert ist 100.
--shell-attribute<string>
Gibt das LDAP-Attribut an, das bei der Suche nach der UNIX-Anmelde-Shell eines
Benutzers verwendet wird. Der Standardwert ist loginShell.
--uid-attribute<string>
Gibt das LDAP-Attribut an, das UID-Nummern enthält. Der Standardwert ist
uidNumber.
Gibt eine Gruppe an, die nicht in diesem Anbieter gefunden werden kann, wenn -restrict-findable aktiviert ist. Wiederholen Sie die Eingabe dieser Option, um
mehrere Listenelemente anzugeben. Mit dieser Option werden die Einträge in der
Liste der nicht suchbaren Gruppen überschrieben. Um Gruppen ohne Auswirkung auf
die aktuellen Einträge hinzuzufügen oder zu entfernen, verwenden Sie --addunfindable-groups oder --remove-unfindable-groups.
Gibt einen Benutzer an, der nicht in diesem Anbieter gefunden werden kann, wenn
um mehrere Listenelemente anzugeben. Mit dieser Option werden die Einträge in der
Liste der nicht suchbaren Benutzer überschrieben. Um Benutzer ohne Auswirkung auf
die aktuellen Einträge hinzuzufügen oder zu entfernen, verwenden Sie --addunfindable-users oder --remove-unfindable-users.
297
--unique-group-members-attribute<string>
Gibt das LDAP-Attribut an, das eindeutige Gruppenmitglieder enthält. Dieses Attribut
wird verwendet, um festzulegen, welchen Gruppen ein Benutzer angehört, wenn der
LDAP-Server statt nach dem Benutzernamen nach dem DN des Benutzers abgefragt
wird. Für diese Einstellung gibt es keinen Standardwert.
Gibt eine Gruppe an, die nicht in diesem Anbieter aufgelistet werden kann, wenn -restrict-listable aktiviert ist. Wiederholen Sie die Eingabe dieser Option, um
Liste der nicht auflistbaren Gruppen überschrieben. Um Gruppen ohne Auswirkung
auf die aktuellen Einträge hinzuzufügen oder zu entfernen, verwenden Sie --addunlistable-groups oder --remove-unlistable-groups.
Entfernt alle Einträge aus der Liste der nicht anzeigbaren Gruppen.
Gibt einen Benutzer an, der nicht in diesem Anbieter angezeigt werden kann, wenn
--add-unlistable-users<string>
--user-base-dn<string>
Gibt den Distinguished Name des Eintrags an, an dem LDAP-Suchen nach Benutzern
298
soll. Die Standarddomain für Benutzer lautet LDAP_USERS.
--user-filter<string>
Legt den LDAP-Filter für Benutzerobjekte fest.
--user-search-scope<scope>
Benutzern durchzuführen. Die folgenden Werte sind gültig:
default
Hinweis
beispielsweise --user-search-scope=default angeben, wird der
base
onelevel
subtree
children
--bind-password<string>
Gibt das Passwort für den Distinguished Name an, das bei der Anbindung an den
LDAP-Server verwendet wird. Um das Passwort interaktiv festzulegen, verwenden Sie
stattdessen die Option --set-bind-password.
--set-bind-password
Legt das Passwort für den Distinguished Name, das bei der Anbindung an den LDAPServer verwendet wird, interaktiv fest. Diese Option kann nicht mit --bindpassword verwendet werden.
{--verbose | -v}
isi auth ldap view
Zeigt die Eigenschaften eines LDAP-Anbieters an.
Syntax
isi auth ldap view <provider-name>
Optionen
<provider-name>
isi auth ldap view
299
isi auth local list
Zeigt eine Liste lokaler Anbieter an.
Syntax
isi auth local list
[--limit <integer>]
[--no-header]
[--no-footer]
[--verbose]
Optionen
{--no-header | -a}
{--no-footer | -z}
{--verbose | -v}
isi auth local view
Zeigt die Eigenschaften eines lokalen Anbieters an.
Syntax
isi auth local view <provider-name>
Optionen
<provider-name>
isi auth local modify
Ändert einen lokalen Anbieter.
Syntax
isi auth local modify <provider-name>
[--lockout-duration <duration>]
[--lockout-threshold <integer>]
[--lockout-window <duration>]
[--machine-name <string>]
[--min-password-age <duration>]
300
[--max-password-age <duration>]
[--min-password-length <integer>]
[--password-prompt-time <duration>]
[--password-complexity{lowercase | uppercase |
numeric | symbol}]
[--clear-password-complexity]
[--add-password-complexity {lowercase | uppercase |
numeric | symbol}]
[--remove-password-complexity <string>]
[--password-history-length <integer>]
[--verbose]
Optionen
<provider-name>
Gibt den Namen des zu ändernden lokalen Anbieters an.
Verwendet den Anbieter sowohl für die Authentifizierung als auch die Identität. Die
Standardeinstellung ist yes.
Erstellt ein Stammverzeichnis, wenn sich ein Benutzer zum ersten Mal anmeldet.
--home-directory-template<string>
--lockout-duration<duration>
Legt den Zeitraum fest, über den nach mehreren fehlgeschlagenen
Anmeldeversuchen der Zugriff auf ein Konto gesperrt wird.
--lockout-threshold<integer>
Gibt die Anzahl der fehlgeschlagenen Anmeldeversuche an, nach denen ein Konto
gesperrt wird.
--lockout-window<duration>
Legt den Zeitraum fest, in dem die Anzahl der fehlgeschlagenen Versuche, die von
der Option --lockout-threshold angegeben werden, erfolgen müssen, damit
ein Konto gesperrt wird. Der Zeitraum wird im Format <integer>[{Y | M | W | D | H | m | s}]
angegeben.
--login-shell<string>
Gibt den Pfad zur UNIX-Anmelde-Shell an.
--machine-name<string>
Gibt die Domain an, die für die Qualifizierung von Benutzer- und Gruppennamen für
den Anbieter verwendet werden soll.
--min-password-age<duration>
Legt das Mindestalter für Passwörter im Format <integer>[{Y | M | W | D | H | m | s}] fest.
--max-password-age<duration>
Legt das Höchstalter für Passwörter im Format <integer>[{Y | M | W | D | H | m | s}] fest.
isi auth local modify
301
--min-password-length<integer>
Legt die Mindestlänge für Passwörter fest.
--password-prompt-time<duration>
Legt die verbleibende Zeit, bis ein Benutzer zur Änderung des Passworts aufgefordert
wird, im Format <integer>[{Y | M | W | D | H | m | s}] fest.
--password-complexity {lowercase | uppercase | numeric | symbol}
Gibt die Bedingungen an, die ein Passwort erfüllen muss. Ein Passwort muss
mindestens ein Zeichen aus jeder angegebenen Option enthalten, um gültig zu sein.
Wenn beispielsweise lowercase und numeric angegeben werden, muss ein
Passwort mindestens einen Kleinbuchstaben und eine Ziffer enthalten, um gültig zu
sein. Symbole sind gültig, mit Ausnahme von # und @.
--clear-password-complexity
Löscht die Liste der Parameter, mit denen neue Passwörter validiert werden.
--add-password-complexity {lowercase | uppercase | numeric |
symbol
Fügt Elemente zur Liste der Parameter hinzu, mit denen neue Passwörter validiert
werden. Wiederholen Sie diesen Befehl, um weitere Optionen für die
Passwortkomplexität anzugeben.
--remove-password-complexity<string>
Entfernt Elemente aus der Liste der Parameter, mit denen neue Passwörter validiert
werden. Wiederholen Sie diesen Befehl, um alle Optionen für die
Passwortkomplexität anzugeben, die Sie entfernen möchten.
--password-history-length<integer>
Gibt die Anzahl der früheren Passwörter an, die gespeichert werden, um eine erneute
Verwendung eines früheren Passworts zu verhindern. Es werden maximal
24 Passwörter gespeichert.
{--verbose | -v}
isi auth log-level
Zeigt das Laufzeitprotokolllevel des Authentifizierungsservices an oder ändert dieses.
Syntax
isi auth log-level [--set <string>]
Optionen
{--set | -s} <string>
Legt das Protokolllevel für den aktuellen Node fest. Anhand des Protokolllevels wird
festgelegt, wie viele Informationen protokolliert werden.
Die folgenden Werte sind gültig und in der Reihenfolge von den geringsten bis zu den
umfassendsten Informationen sortiert:
302
l
always
l
error
l
warning
l
info
l
l
l
verbose
debug
trace
Hinweis
Die Level verbose, debug und trace können zu Performanceproblemen führen. Die
Level debug und trace protokollieren Informationen, die wahrscheinlich nur nützlich
sind, wenn Sie mit dem technischen EMC Isilon-Support Kontakt aufnehmen müssen.
Beispiele
Um das Protokolllevel auf debug festzulegen, führen Sie den folgenden Befehl aus:
isi auth log-level --set=debug
isi auth mapping delete
Löscht eine oder mehrere Identitätszuordnungen.
Syntax
isi auth mapping delete {<source>| --source-uid <integer>
| --source-gid <integer> | --source-sid <string> | --all}
[{--only-generated | --only-external | --2way | --target <string>
| --target-uid <integer> | --target-gid <integer> | --target-sid
<string>}]
[--zone<string>]
Optionen
<source>
Gibt die Zuordnungsquelle nach Identitätsart im Format <type>:<value> an,
beispielsweise UID:2002.
--source-uid<integer>
Gibt die Zuordnungsquelle nach UID an.
--source-gid<integer>
Gibt die Zuordnungsquelle nach GID an.
--source-sid<string>
Gibt die Zuordnungsquelle nach SID an.
--all
Löscht alle Identitätszuordnungen in der angegeben Zugriffszone. Kann in
Verbindung mit --only-generated und --only-external zur weiteren
Filterung verwendet werden.
--only-generated
Löscht nur Identitätszuordnungen, die automatisch erstellt wurden und die eine
erzeugte UID oder GID aus dem internen Bereich von Benutzer- und Gruppen-IDs
umfassen. Muss in Verbindung mit --all verwendet werden:
--only-external
Löscht nur Identitätszuordnungen, die automatisch erstellt wurden und die eine UID
oder GID aus einer externen Authentifizierungsquelle umfassen. Muss in Verbindung
mit --all verwendet werden:
--2way
Gibt eine bidirektionale oder umgekehrte Zuordnung an oder löscht sie.
isi auth mapping delete
303
--target<string>
Gibt das Zuordnungsziel nach Identitätsart im Format <type>:<value> an,
--target-uid<integer>
Gibt das Zuordnungsziel nach UID an.
--target-gid<integer>
Gibt das Zuordnungsziel nach GID an.
--target-sid<string>
Gibt das Zuordnungsziel nach SID an.
--zone<string>
Löscht Identitätszuordnungen in der angegeben Zugriffszone. Wenn keine
Zugriffszone angegeben wird, werden Zuordnungen aus der Standardsystemzone
gelöscht.
isi auth mapping dump
Zeigt die Kernel-Zuordnungsdatenbank an oder druckt diese.
Syntax
[--file <path>]
[--zone <string>]
Optionen
Wenn keine Option angegeben wird, wird die vollständige Kernel-Zuordnungsdatenbank
angezeigt.
{--file | -f} <path>
Druckt die Datenbank in die angegebene Ausgabedatei.
--zone<string>
Zeigt die Datenbank der angegebenen Zugriffszone an. Wenn keine Zugriffszone
angegeben ist, werden alle Zuordnungen angezeigt.
Beispiele
Um die Kernel-Zuordnungsdatenbank anzuzeigen, führen Sie den folgenden Befehl aus:
["ZID:1",
["ZID:1",
["ZID:1",
["ZID:1",
"UID:6299", [["SID:S-1-5-21-1195855716-1407", 128]]]
"GID:1000000", [["SID:S-1-5-21-1195855716-513", 48]]]
"SID:S-1-5-21-1195855716-1407", [["UID:6299", 144]]]
"SID:S-1-5-21-1195855716-513", [["GID:1000000", 32]]]
isi auth mapping flush
Löscht den Cache für eine oder alle Identitätszuordnungen. Das Löschen des Caches
kann nützlich sein, wenn die ID-Zuordnungsregeln geändert wurden.
304
Syntax
isi auth mapping flush {--all | --source <string>
| --source-uid <integer> | --source-gid <integer>
| --source-sid <string>}
[--zone<string>]
Optionen
Sie müssen entweder --all oder eine der Quelloptionen angeben.
--all
Löscht alle Identitätszuordnungen auf dem EMC Isilon-Cluster.
--source<string>
Gibt die Quellidentität nach UID an.
Gibt die Quellidentität nach GID an.
Gibt die Quellidentität nach SID an.
--zone<string>
Gibt die Zugriffszone der Quellidentität an. Wenn keine Zugriffszone angegeben wird,
wird die gesamte Zuordnung für die angegebene Quellidentität aus der
Standardsystemzone gelöscht.
isi auth mapping idrange
Zeigt den Bereich an, aus dem UIDs und GIDs erzeugt werden, oder ändert diesen.
Syntax
isi auth mapping idrange {--set-uid-low <integer>
|--set-uid-high <integer> | --set-uid-hwm <integer>
|--set-gid-low <integer> | --set-gid-high <integer>
|--set-gid-hwm <integer> | --get-uid-range | --get-gid-range}...
Optionen
Hinweis
Achten Sie bei der Änderung eines UID- oder GID-Bereichs darauf, dass Ihre Einstellungen
die folgenden Anforderungen erfüllen:
l
Vorhandene IDs werden nicht eingeschlossen.
l
Eine Zuordnung darf sich nicht mit einem anderen Bereich überschneiden, der
möglicherweise durch andere IDs auf dem Cluster genutzt wird.
l
Die Zuordnung ist groß genug, dass immer ungenutzte IDs zur Verfügung stehen.
Wenn alle IDs im Bereich verwendet werden, schlägt die ID-Zuweisung fehl.
--set-uid-low<integer>
Legt den niedrigsten UID-Wert im Bereich fest.
--set-uid-high<integer>
isi auth mapping idrange
305
Legt den höchsten UID-Wert im Bereich fest.
--set-uid-hwm<integer>
Gibt an, welche UID als Nächstes zugewiesen wird (oberer Schwellenwert).
Hinweis
l
Wenn der obere Schwellenwert auf einen höheren Wert als die obere UID
festgelegt wird, schlägt die UID-Zuweisung fehl.
l
Der obere Schwellenwert darf nicht kleiner als der niedrigste UID-Wert im Bereich
sein. Wenn der für <integer> angegebene Wert kleiner als der niedrigste UID-Wert
ist, wird der obere Schwellenwert auf den niedrigsten UID-Wert festgelegt.
--set-gid-low<integer>
Legt den niedrigsten GID-Wert im Bereich fest.
--set-gid-high<integer>
Legt den höchsten GID-Wert im Bereich fest.
--set-gid-hwm<integer>
Gibt an, welche GID als Nächstes zugewiesen wird (oberer Schwellenwert).
Hinweis
l
Wenn der obere Schwellenwert auf einen höheren Wert als die obere GID
festgelegt wird, schlägt die GID-Zuweisung fehl.
l
Der obere Schwellenwert darf nicht kleiner als der niedrigste GID-Wert im Bereich
sein. Wenn der für <integer> angegebene Wert kleiner als der niedrigste GID-Wert
ist, wird der obere Schwellenwert auf den niedrigsten GID-Wert festgelegt.
--get-uid-range
Zeigt den aktuellen UID-Bereich an.
--get-gid-range
Zeigt den aktuellen GID-Bereich an.
isi auth mapping import
Importiert Zuordnungen aus einer Quelldatei in die ID-Zuordnungsdatenbank.
Syntax
isi auth mapping import --file <path>
[--overwrite]
Optionen
{--file | -f} <path>
Gibt den vollständigen Pfad zur Datei an, die importiert werden soll. Der Dateiinhalt
muss dasselbe Format haben wie die Ausgabe, die angezeigt wird, wenn Sie den
Befehl isi auth mapping dump ausführen.
{--overwrite | -o}
Überschreibt vorhandene Einträge in der Datei der Zuordnungsdatenbank.
306
isi auth mapping view
Zeigt Zuordnungen für eine Identität an.
Syntax
isi auth mapping view {<id>| --uid <integer>
| --gid <integer> | --sid <string>}
[--nocreate]
[--zone <string>]
Optionen
<id>
Gibt die ID der Quellenidentitätsart im Format <type>:<value> an, beispielsweise UID:
2002.
--uid<integer>
--gid<integer>
--sid<string>
--nocreate
Gibt an, dass nicht bestehende Zuordnungen nicht erstellt werden sollen.
--zone
Gibt die Zugriffszone der Quellidentität an. Wenn keine Zugriffszone angegeben wird,
zeigt OneFS Zuordnungen von der Standardsystemzone an.
Beispiele
Mit dem folgenden Befehl werden Zuordnungen für einen Benutzer mit der UID 2002 in
Zone 3 der Zugriffszone angezeigt:
isi auth mapping view uid:2002 --zone=zone3
Type
---------Name
On-disk
Unix UID
Unix GID
SMB
NFSv4
Mapping
---------------------------------------------test1
UID:2002
2002
None
S-1-5-21-1776575851-2890035977-2418728619-1004
test1
isi auth mapping modify
Legt eine Zuordnung zwischen zwei Identitäten fest bzw. zeigt sie an.
Syntax
isi auth mapping modify {<source>| --source-uid <integer>
| --source-gid <integer> | --source-sid <string> | --target
<string>
| --target-uid <integer> | --target-gid <string> | --
isi auth mapping view
307
target-sid <string>}
[--on-disk]
[--2way]
[--zone<string>]
Optionen
<source>
--target<string>
--on-disk
Gibt an, dass die Quellidentität auf Festplatte durch die Zielidentität repräsentiert
werden soll.
--2way
Gibt eine bidirektionale oder umgekehrte Zuordnung an.
--zone<string>
Gibt die Zugriffszone an, auf die die ID-Zuordnung angewendet wird. Wenn keine
Zugriffszone angegeben wird, wird die Zuordnung auf die Standardzone des Systems
angewendet.
isi auth mapping create
Erstellt eine manuelle Zuordnung zwischen Quellidentität und Zielidentität oder erzeugt
automatisch eine Zuordnung für eine Quellidentität.
Syntax
isi auth mapping create {<source>| --source-uid <integer>
| --source-gid <integer> | --source-sid <string>}
[{--uid | --gid | --sid}]
[--on-disk]
[--2way]
[{--target <string> | --target-uid <integer>
308
| --target-gid <string> | --target-sid <string>}]
[--zone<string>]
Optionen
<source>
--uid
Erzeugt eine Zuordnung, wenn für die Identität keine vorhanden ist; andernfalls wird
die zugeordnete UID abgerufen.
--gid
die zugeordnete GID abgerufen.
--sid
die zugeordnete SID abgerufen.
--on-disk
Gibt an, dass die Quellidentität auf Festplatte durch die Zielidentität repräsentiert
werden soll.
--2way
Gibt eine bidirektionale oder umgekehrte Zuordnung an.
--target<string>
--zone<string>
Gibt die Zugriffszone an, auf die die ID-Zuordnung angewendet wird. Wenn keine
Zugriffszone angegeben wird, wird die Zuordnung auf die Standardzone des Systems
angewendet.
isi auth mapping token
Zeigt das Zugriffstoken an, das für einen Benutzer während der Authentifizierung
berechnet wird.
isi auth mapping token
309
Syntax
isi auth mapping token {<user> | --uid <integer>
| --kerberos-principal <string>}
[--zone <string>]
[--primary-gid <integer>]
[--gid <integer>]
Optionen
Für diesen Befehl muss die Option <user>, --uid<integer> oder --kerberosprincipal<string> festgelegt werden.
<Benutzer
Gibt den Benutzer nach Namen an.
--uid<integer>
--kerberos-principal<string>
Gibt den Kerberos-Prinzipalnamen nach Namen an. Zum Beispiel:
[email protected].
--zone<string>
Gibt den Namen der Zugriffszone an, die die Zuordnung enthält.
--primary-gid<integer>
Gibt die primäre GID an.
--gid<integer>
Gibt eine Token-GID an. Wiederholen Sie die Eingabe dieser Option, um mehrere GIDs
anzugeben.
isi auth netgroups list
Zeigt Informationen zu einer Netzwerkgruppe an.
Syntax
isi auth netgroups list --netgroup <string>
[--recursive]
[--ignore]
[--raw]
Optionen
--netgroup<string>
Gibt den Namen einer Netzwerkgruppe an.
--recursive
Löst verschachtelte Netzwerkgruppen rekursiv auf.
--ignore
Ignoriert Fehler und nicht auflösbare Netzwerkgruppen.
--raw
Zeigt Raw-Informationen zu Netzwerkgruppen an.
isi auth nis create
Erstellt einen NIS-Anbieter.
310
Syntax
isi auth nis create <name>
[--nis-domain <string>]
[--servers <string>]
[--hostname-lookup {yes | no}]
[--request-timeout <integer>]
[--retry-time <integer>]
[--ypmatch-using-tcp {yes | no}]
[--verbose]
Optionen
<name>
Gibt den Namen des NIS-Anbieters an.
--nis-domain<string>
Gibt den NIS-Domainnamen an.
--servers<string>
Gibt eine Liste von NIS-Servern an, die von diesem Anbieter verwendet werden sollen.
Legt fest, dass der Anbieter bei jeder Anforderung eine Verbindung zu einem zufällig
ausgewählten Server herstellt.
<integer>[{Y | M | W | D | H | m | s}].
isi auth nis create
311
dieser Liste enthaltene Gruppen nicht aufgelöst werden.
dieser Liste enthaltene Benutzer nicht aufgelöst werden.
soll. Die Standarddomain für Gruppen lautet NIS_GROUPS.
--hostname-lookup {yes | no}
Aktiviert oder deaktiviert Suchen nach Hostnamen.
dieser Liste enthaltene Gruppen nicht angezeigt werden.
dieser Liste enthaltene Benutzer nicht angezeigt werden.
--login-shell<path>
312
--request-timeout<integer>
Gibt das Intervall für das Anforderungs-Timeout in Sekunden an.
--retry-time<integer>
Legt den Timeout-Zeitraum in Sekunden fest, nach dem eine Anforderung erneut
gesendet wird.
Wenn --restrict-listable aktiviert und die Liste der auflistbaren Gruppen leer
angezeigt werden kann. Wiederholen Sie die Eingabe dieser Option, um mehrere
Wenn --restrict-listable aktiviert und die Liste der auflistbaren Benutzer leer
angezeigt werden kann. Wiederholen Sie die Eingabe dieser Option, um mehrere
--user-domain <string>
soll. Die Standarddomain für Benutzer lautet NIS_USERS.
isi auth nis create
313
--ypmatch-using-tcp {yes | no}
Verwendet TCP für YP-Zuordnungsvorgänge.
{--verbose | -v}
isi auth nis delete
Löscht einen NIS-Anbieter.
Syntax
isi auth nis delete <provider-name>
[--force]
[--verbose]
Optionen
<provider-name>
{--force | -f}
{--verbose | -v}
isi auth nis list
Zeigt eine Liste der NIS-Anbieter an und gibt an, ob ein Anbieter ordnungsgemäß
funktioniert.
Syntax
isi auth nis list
[--limit <integer>]
[--no-header]
[--no-footer]
[--verbose]
Optionen
{--no-header | -a}
{--no-footer | -z}
{--verbose | -v}
314
isi auth nis modify
Ändert einen NIS-Anbieter.
Syntax
isi auth nis modify <provider-name>
[--nis-domain <string>]
[--servers <string>]
[--clear-servers]
[--add-servers <string>]
[--remove-servers <string>]
[--hostname-lookup {yes | no}]
[--request-timeout <integer>]
[--retry-time <integer>]
[--ypmatch-using-tcp {yes | no}]
[--verbose]
isi auth nis modify
315
Optionen
<provider-name>
Gibt den Namen des zu ändernden NIS-Anbieters an.
--nis-domain<string>
Gibt den NIS-Domainnamen an.
--servers<string>
Gibt eine Liste von NIS-Servern an, die von diesem Anbieter verwendet werden sollen.
Mit dieser Option werden alle Einträge in der Liste der NIS-Server überschrieben. Um
Server ohne Auswirkung auf die aktuellen Einträge hinzuzufügen oder zu entfernen,
verwenden Sie --add-servers oder --remove-servers.
--clear-servers
Entfernt alle Einträge aus der Liste der NIS-Server.
--add-servers<string>
Fügt der Liste der NIS-Server einen Eintrag hinzu. Wiederholen Sie die Eingabe dieser
Option, um mehrere Elemente anzugeben.
--remove-servers<string>
Entfernt einen Eintrag aus der Liste der NIS-Server. Wiederholen Sie die Eingabe
dieser Option, um mehrere Elemente anzugeben.
Aktiviert oder deaktiviert die Verwendung dieses Anbieters zu Authentifizierungs- und
Legt fest, dass dieser Anbieter bei jeder Anforderung eine Verbindung zu einem
zufällig ausgewählten Server herstellt.
<integer>[{Y | M | W | D | H | m | s}].
Aktiviert oder deaktiviert diesen Anbieter.
Gibt an, ob dieser Anbieter Gruppen enumerieren darf.
Gibt an, ob dieser Anbieter Benutzer enumerieren darf.
316
dieser Liste enthaltene Gruppen nicht aufgelöst werden. Mit dieser Option werden die
Einträge in der Liste der suchbaren Gruppen überschrieben. Um Gruppen ohne
Sie --add-findable-groups oder --remove-findable-groups.
Entfernt alle Einträge aus der Liste der suchbaren Gruppen.
dieser Liste enthaltene Benutzer nicht aufgelöst werden. Mit dieser Option werden
die Einträge in der Liste der suchbaren Benutzer überschrieben. Um Benutzer ohne
Sie --add-findable-users oder --remove-findable-users.
Entfernt alle Einträge aus der Liste der suchbaren Benutzer.
soll. Die Standarddomain für Gruppen lautet NIS_GROUPS.
--hostname-lookup {yes | no}
Aktiviert oder deaktiviert Suchen nach Hostnamen.
isi auth nis modify
317
dieser Liste enthaltene Gruppen nicht angezeigt werden. Mit dieser Option werden
die Einträge in der Liste der auflistbaren Gruppen überschrieben. Um Gruppen ohne
Sie --add-listable-groups oder --remove-listable-groups.
Fügt der Liste der anzeigbaren Gruppen, die geprüft wird, wenn --restrictlistable aktiviert ist, einen Eintrag hinzu. Wiederholen Sie die Eingabe dieser
dieser Liste enthaltene Benutzer nicht angezeigt werden. Mit dieser Option werden
die Einträge in der Liste der auflistbaren Benutzer überschrieben. Um Benutzer ohne
Sie --add-listable-users oder --remove-listable-users.
Fügt der Liste der anzeigbaren Benutzer, die geprüft wird, wenn --restrictlistable aktiviert ist, einen Eintrag hinzu. Wiederholen Sie die Eingabe dieser
--login-shell<path>
318
--request-timeout<integer>
Gibt das Intervall für das Anforderungs-Timeout in Sekunden an.
--retry-time<integer>
Legt den Timeout-Zeitraum in Sekunden fest, nach dem eine Anforderung erneut
gesendet wird.
Gibt eine Gruppe an, die nicht in diesem Anbieter gefunden werden kann, wenn -restrict-findable aktiviert ist. Wiederholen Sie die Eingabe dieser Option, um
Liste der nicht suchbaren Gruppen überschrieben. Um Gruppen ohne Auswirkung auf
die aktuellen Einträge hinzuzufügen oder zu entfernen, verwenden Sie --addunfindable-groups oder --remove-unfindable-groups.
--unfindable-users <string>
Gibt einen Benutzer an, der nicht in diesem Anbieter gefunden werden kann, wenn
Liste der nicht suchbaren Benutzer überschrieben. Um Benutzer ohne Auswirkung auf
die aktuellen Einträge hinzuzufügen oder zu entfernen, verwenden Sie --addunfindable-users oder --remove-unfindable-users.
isi auth nis modify
319
Gibt eine Gruppe an, die nicht in diesem Anbieter aufgelistet werden kann, wenn -restrict-listable aktiviert ist. Wiederholen Sie die Eingabe dieser Option, um
Liste der nicht auflistbaren Gruppen überschrieben. Um Gruppen ohne Auswirkung
auf die aktuellen Einträge hinzuzufügen oder zu entfernen, verwenden Sie --addunlistable-groups oder --remove-unlistable-groups.
Entfernt alle Einträge aus der Liste der nicht auflistbaren Gruppen.
Gibt einen Benutzer an, der nicht in diesem Anbieter aufgelistet werden kann, wenn
--add-unlistable-users <string>
soll. Die Standarddomain für Benutzer lautet NIS_USERS.
--ypmatch-using-tcp {yes | no}
Verwendet TCP für YP-Zuordnungsvorgänge.
{--verbose | -v}
320
isi auth nis view
Zeigt die Eigenschaften eines NIS-Anbieters an.
Syntax
isi auth nis view <provider-name>
Optionen
<provider-name>
isi auth privileges
Zeigt eine Liste der Systemberechtigungen an.
Syntax
isi auth privileges
[--no-header]
[--no-footer]
[--verbose]
Optionen
{--no-header | -a}
{--no-footer | -z}
{--verbose | -v}
Hinweis
Bei Verwendung der Option --verbose bedeutet die Ausgabe Read Write: No,
dass die Berechtigungen schreibgeschützt sind.
isi auth refresh
Aktualisiert die Konfigurationseinstellungen für das Authentifizierungssystem.
Syntax
isi auth refresh
Optionen
isi auth nis view
321
isi auth roles create
Erstellt eine benutzerdefinierte Rolle.
Mit diesem Befehl wird eine leere Rolle erstellt. Um Berechtigungen zuzuweisen und der
Rolle Mitglieder hinzuzufügen, führen Sie den Befehl isi auth roles modify aus.
Syntax
isi auth roles create <name>
[--description <string>]
[--verbose]
Optionen
<name>
Gibt den Namen der Rolle an.
--description<string>
Gibt eine Beschreibung der Rolle an.
{--verbose | -v}
isi auth roles delete
Löscht eine Rolle.
Syntax
isi auth roles delete <role>
[--force]
[--verbose]
Optionen
<role>
Gibt den Namen der zu löschenden Rolle an.
{--force | -f}
{--verbose | -v}
isi auth roles list
Zeigt eine Liste mit Rollen an.
Syntax
isi auth roles list
[--limit <integer>]
[--no-header]
[--no-footer]
[--verbose]
Optionen
322
{--no-header | -a}
{--no-footer | -z}
{--verbose | -v}
isi auth roles members list
Zeigt eine Liste der Mitglieder einer Rolle an.
Syntax
isi auth roles members list <role>
[--limit <integer>]
[--no-header]
[--no-footer]
[--verbose]
Optionen
<role>
Gibt eine Rolle nach Namen an.
{--no-header | -a}
{--no-footer | -z}
{--verbose | -v}
Beispiele
Um die Mitglieder der SystemAdmin-Rolle anzuzeigen, führen Sie den folgenden Befehl
aus:
isi auth roles members list systemadmin
In der folgenden Beispielausgabe enthält die SystemAdmin-Rolle derzeit ein Mitglied,
einen Benutzer namens „admin“:
Type Name
----------
isi auth roles members list
323
user admin
---------Total: 1
isi auth roles modify
Ändert eine Rolle.
Syntax
isi auth roles modify <role>
[--name <string>]
[--add-group <string>]
[--remove-group <string>]
[--add-gid <integer>]
[--remove-gid <integer>]
[--remove-uid <integer>]
[--add-user <string>]
[--remove-user <string>]
[--add-sid <string>]
[--remove-sid <string>]
[--add-wellknown <string>]
[--remove-wellknown <string>]
[--add-priv <string>]
[--add-priv-ro <string>]
[--remove-priv <string>]
[--verbose]
Optionen
<role>
Gibt den Namen der zu ändernden Rolle an.
--name<string>
Gibt einen neuen Namen für die Rolle an. Gilt nur für benutzerdefinierte Rollen.
Gibt eine Beschreibung der Rolle an.
--add-group<string>
Fügt der Rolle eine Gruppe mit dem angegebenen Namen hinzu. Wiederholen Sie die
Eingabe dieser Option, um weitere Elemente anzugeben.
--remove-group<string>
Entfernt eine Gruppe mit dem angegebenen Namen aus der Rolle. Wiederholen Sie
die Eingabe dieser Option, um weitere Elemente anzugeben.
--add-gid<integer>
Fügt der Rolle eine Gruppe mit der angegebenen GID hinzu. Wiederholen Sie die
--remove-gid<integer>
Entfernt eine Gruppe mit der angegebenen GID aus der Rolle. Wiederholen Sie die
--add-uid<integer>
Fügt der Rolle einen Benutzer mit der angegebenen UID hinzu. Wiederholen Sie die
--remove-uid<integer>
324
Entfernt einen Benutzer mit der angegebenen UID aus der Rolle. Wiederholen Sie die
--add-user<string>
Fügt der Rolle einen Benutzer mit dem angegebenen Namen hinzu. Wiederholen Sie
--remove-user<string>
Entfernt einen Benutzer mit dem angegebenen Namen aus der Rolle. Wiederholen Sie
--add-sid<string>
Fügt der Rolle einen Benutzer oder eine Gruppe mit der angegebenen SID hinzu.
Wiederholen Sie die Eingabe dieser Option, um weitere Elemente anzugeben.
--remove-sid<string>
Entfernt einen Benutzer oder eine Gruppe mit der angegebenen SID aus der Rolle.
--add-wellknown<string>
Fügt der Rolle eine bekannte SID mit dem angegeben Namen hinzu, z. B. „Everyone“.
--remove-wellknown<string>
Entfernt eine bekannte SID mit dem angegebenen Namen aus der Rolle. Wiederholen
Sie die Eingabe dieser Option, um weitere Elemente anzugeben.
--add-priv<string>
Fügt der Rolle eine Lese-/Schreibberechtigung hinzu. Gilt nur für benutzerdefinierte
Rollen. Wiederholen Sie die Eingabe dieser Option, um weitere Elemente anzugeben.
--add-priv-ro<string>
Fügt der Rolle eine Leseberechtigung hinzu. Gilt nur für benutzerdefinierte Rollen.
--remove-priv<string>
Entfernt eine Berechtigung aus der Rolle. Gilt nur für benutzerdefinierte Rollen.
{--verbose | -v}
isi auth roles privileges list
Zeigt eine Liste von Rechten an, die einer Rolle zugewiesen sind.
Syntax
isi auth roles privileges list <role>
[--limit <integer>]
[--no-header]
[--no-footer]
[--verbose]
Optionen
<role>
Gibt eine Rolle nach Namen an.
isi auth roles privileges list
325
{--no-header | -a}
{--no-footer | -z}
{--verbose | -v}
Beispiele
Um die Berechtigungen aufzulisten, die mit der integrierten SecurityAdmin-Rolle
verknüpft sind, führen Sie den folgenden Befehl aus:
isi auth roles privileges list securityadmin
ID
---------------------ISI_PRIV_LOGIN_CONSOLE
ISI_PRIV_LOGIN_PAPI
ISI_PRIV_LOGIN_SSH
ISI_PRIV_AUTH
ISI_PRIV_ROLE
---------------------Total: 5
isi auth roles view
Zeigt die Eigenschaften einer Rolle an.
Syntax
isi auth roles view <role>
Optionen
<role>
Gibt den Namen der anzuzeigenden Rolle an.
isi auth settings global modify
Ändert die globalen Authentifizierungseinstellungen.
Syntax
[{--send-ntlmv2 {yes | no} | --revert-send-ntlmv2}]
[{--space-replacement <character> | --revert-space-replacement}]
[{--workgroup <string> | --revert-workgroup}]
[--provider-hostname-lookup <string>]
[{--cache-cred-lifetime <duration> | --revert-cache-cred-lifetime}]
[{--cache-id-lifetime <duration> | --revert-cache-id-lifetime}]
[{--on-disk-identity {native | unix | sid}
| --revert-on-disk-identity}]
[{--rpc-max-requests <integer> | --revert-rpc-max-requests}]
326
[{--unknown-gid <integer> | --revert-unknown-gid}]
[{--unknown-uid <integer> | --revert-unknown-uid}]
[--verbose]
Optionen
--send-ntlmv2 {yes | no}
Gibt an, ob nur NTLMv2-Antworten an einen SMB-Client gesendet werden sollen. Der
Standardwert ist no. Gültige Werte sind yes, no. Der Standardwert ist no.
--revert-send-ntlmv2
Setzt die Einstellung --send-ntlmv2 auf den Systemstandardwert zurück.
--space-replacement<character>
Gibt für Clients, die Probleme bei der Analyse von Leerzeichen in Benutzer- und
Gruppennamen haben, ein Ersatzzeichen an. Achten Sie darauf, ein Zeichen
auszuwählen, das nicht verwendet wird.
--revert-space-replacement
Setzt die Einstellung --space-replacement auf den Systemstandardwert zurück.
--workgroup<string>
Gibt die NetBIOS-Arbeitsgruppe an. Der Standardwert ist WORKGROUP.
--revert-workgroup
Setzt die Einstellung --workgroup auf den Systemstandardwert zurück.
--provider-hostname-lookup<string>
Ermöglicht die Suche von Hostnamen über Authentifizierungsanbieter. Gilt nur für
NIS.
--alloc-retries<integer>
Gibt an, wie viele Versuche für eine ID-Zuweisung unternommen werden sollen, bevor
der Vorgang fehlschlägt.
--revert-alloc-retries
Setzt die Einstellung --alloc-retries auf den Systemstandardwert zurück.
--cache-cred-lifetime<duration>
Gibt an, wie lange Anmeldeantworten vom ID-Mapper zwischengespeichert werden
sollen. Hierbei wird das folgende Format verwendet: <integer>[{Y | M | W | D | H | m | s}].
--revert-cache-cred-lifetime
Setzt die Einstellung --cache-cred-lifetime auf den Systemstandardwert
zurück.
--cache-id-lifetime<duration>
Gibt an, wie lange ID-Antworten vom ID-Mapper zwischengespeichert werden sollen.
--revert-cache-id-lifetime
Setzt die Einstellung --cache-id-lifetime auf den Systemstandardwert zurück.
--on-disk-identity<string>
Steuert die bevorzugte Identität, die auf dem Laufwerk gespeichert wird. Wenn OneFS
nicht in der Lage ist, eine Identität in das bevorzugte Format zu konvertieren, wird
diese im aktuellen Format gespeichert. Diese Einstellung wirkt sich nicht auf
Identitäten aus, die bereits auf dem Laufwerk gespeichert sind.
327
Die zulässigen Werte sind nachfolgend aufgelistet.
native
Ermöglicht OneFS, die Identität zu bestimmen, die auf dem Laufwerk gespeichert
werden soll. Dies ist die empfohlene Einstellung.
unix
Speichert alle eingehenden UNIX-Kennungen (UIDs und GIDs) immer auf dem
Laufwerk.
sid
Speichert eingehende Windows-Sicherheitskennungen (SIDs) auf dem Laufwerk,
es sei denn, die SID wurde aus einer UNIX-Kennung erzeugt. Wenn die SID aus
einer UNIX-Kennung erzeugt wurde, konvertiert OneFS sie zurück zur UNIXKennung und speichert sie auf dem Laufwerk.
Hinweis
Um nach der Änderung der Identität auf dem Laufwerk Berechtigungsfehler zu
vermeiden, führen Sie isi job jobs start PermissionRepair unter
Angabe des Modus convert aus.
--revert-on-disk-identity
Legt die Einstellung --on-disk-identity auf den Systemstandardwert fest.
--rpc-max-requests<integer>
Gibt die maximale Anzahl der zulässigen gleichzeitigen ID-Mapper-Anforderungen an.
Der Standardwert ist 64.
--revert-rpc-max-requests
Legt die Einstellung --rpc-max-requests auf den Systemstandardwert fest.
--unknown-gid<integer>
Gibt die GID an, die für unbekannte (anonyme) Gruppen verwendet werden soll.
--revert-unknown-gid
Legt die Einstellung --unknown-gid auf den Systemstandardwert fest.
--unknown-uid<integer>
Gibt die UID an, die für unbekannte (anonyme) Benutzer verwendet werden soll.
--revert-unknown-uid
Legt die Einstellung --unknown-uid auf den Systemstandardwert fest.
{--verbose | -v}
isi auth settings global view
Zeigt die globalen Authentifizierungseinstellungen an.
Syntax
Optionen
328
Beispiele
Um die aktuellen Authentifizierungseinstellungen auf dem Cluster anzuzeigen, führen Sie
Send NTLMv2:
Space Replacement:
Workgroup:
Provider Hostname Lookup:
Alloc Retries:
Cache Cred Lifetime:
Cache ID Lifetime:
On Disk Identity:
RPC Block Time:
RPC Max Requests:
RPC Timeout:
System GID Threshold:
System UID Threshold:
GID Range Enabled:
GID Range Min:
GID Range Max:
UID Range Enabled:
UID Range Min:
UID Range Max:
Min Mapped Rid:
Group UID:
Null GID:
Null UID:
Unknown GID:
Unknown UID:
No
WORKGROUP
disabled
5
15m
15m
native
5s
16
30s
80
80
Yes
1000000
2000000
Yes
1000000
2000000
2147483648
4294967292
4294967293
4294967293
4294967294
4294967294
isi auth status
Zeigt den Anbieterstatus an, einschließlich verfügbarer Authentifizierungsanbieter und
der Information, welche Anbieter korrekt funktionieren.
Syntax
isi auth status [<zone><string>]
[--limit [-l | <integer>]
[--no-header]
[--no-footer]
[--verbose]
Optionen
<zone><string>
--limit [ -l | <integer>]
Gibt die Anzahl der anzuzeigenden Anbieter an.
Zeigt die Anbieter in einem der folgenden Formate an: Tabelle (Standard), JSON
{--no-header | -a}
{--no-footer | -z}
isi auth status
329
{--verbose | -v}
isi auth users create
Erstellt ein Benutzerkonto.
Syntax
isi auth users create <name>
[--expiry <timestamp>]
[--email <string>]
[--gecos <string>]
[--home-directory <path>]
[--password-expires {yes | no}]
[{--primary-group <name> | --primary-group-gid <integer>
| --primary-group-sid <string>}]
[--prompt-password-change {yes | no}]
[--shell <path>]
[--uid <integer>]
[--zone <string>]
[--set-password]
[--verbose]
[--force]
Optionen
<name>
Gibt den Benutzernamen an.
Aktiviert oder deaktiviert den Benutzer.
{--expiry | -x} <timestamp>
Gibt den Zeitpunkt, zu dem das Benutzerkonto abläuft, im Datumsformat <YYYY><MM>-<DD> oder im Datums-/Zeitformat <YYYY>-<MM>-<DD>T<hh>:<mm>[:<ss>] an.
--email<string>
Gibt die E-Mail-Adresse des Benutzers an.
--gecos<string>
Legt die Werte für die folgenden Gecos-Feldeinträge in der Passwortdatei des
Benutzers fest:
Full Name:
Office Location:
Office Phone:
Home Phone:
Other information:
Die Werte müssen als kommagetrennte Liste eingegeben werden. Werte, die
Leerzeichen enthalten, müssen in Anführungszeichen eingeschlossen werden.
Beispielsweise ergibt die Option --gecos="Jane Doe",Seattle,
555-5555,,"Temporary worker" mit diesen Werten die folgenden Einträge:
Full Name: Jane Doe
Office Location: Seattle
330
Office Phone: 555-5555
Home Phone:
Other information: Temporary worker
--home-directory<path>
Gibt den Pfad zum Stammverzeichnis des Benutzers an.
--password<string>
Legt das Passwort des Benutzers auf den angegebenen Wert fest. Diese Option kann
nicht zusammen mit der Option --set-password verwendet werden.
--password-expires {yes | no}
Gibt an, ob das Passwort ablaufen soll oder nicht.
--primary-group<name>
Gibt die primäre Gruppe des Benutzers nach Namen an.
--primary-group-gid<integer>
Gibt die primäre Gruppe des Benutzers nach GID an.
--primary-group-sid<string>
Gibt die primäre Gruppe des Benutzers nach SID an.
--prompt-password-change {yes | no}
Legt fest, dass der Benutzer bei der nächsten Anmeldung dazu aufgefordert wird, das
Passwort zu ändern.
--shell<path>
--uid<integer>
Setzt die automatische Zuweisung der UNIX-Benutzerkennung (UID) mit dem
angegebenen Wert außer Kraft. Die Festlegung dieser Option wird nicht empfohlen.
--zone<string>
Gibt die Zugriffszone an, in der der Benutzer erstellt werden soll.
--provider<string>
Gibt einen lokalen Authentifizierungsanbieter in der angegebenen Zugriffszone an.
--set-password
Legt das Passwort interaktiv fest. Diese Option kann nicht zusammen mit der Option
--password verwendet werden.
{--verbose | -v}
{--force | -f}
isi auth users delete
Löscht einen lokalen Benutzer aus dem System.
isi auth users delete
331
Syntax
isi auth users delete {<user> | --uid <integer> | --sid <string>}
[--zone <string>]
[--force]
[--verbose]
Optionen
Für diesen Befehl muss die Option <user>, --uid<integer> oder --sid<string> festgelegt
werden.
<user>
--uid<integer>
--sid<string>
--zone<string>
Gibt den Namen der Zugriffszone an, die den Benutzer enthält.
--provider<string>
Gibt den Namen des Authentifizierungsanbieters an, der den Benutzer enthält.
{--force | -f}
{--verbose | -v}
isi auth users flush
Löscht zwischengespeicherte Benutzerinformationen.
Syntax
isi auth users flush
Optionen
Beispiele
Um alle zwischengespeicherten Benutzerinformationen zu löschen, führen Sie den
isi auth user flush
isi auth users list
Zeigt eine Liste der Benutzer an. Wenn keine Optionen angegeben werden, werden alle
Benutzer in der Systemzugriffszone angezeigt.
Hinweis
Die Option --domain muss angegeben werden, damit Active Directory-Benutzer
aufgelistet werden.
332
Syntax
isi auth users list
[--domain <string>]
[--zone <string>]
[--limit <integer>]
[--no-header]
[--no-footer]
[--verbose]
Optionen
--domain<string>
Zeigt nur die Benutzer in der angegebenen Anbieterdomain an.
--zone<string>
Gibt die Zugriffszone an, deren Benutzer aufgelistet werden sollen. Die
Standardzugriffszone ist System.
--provider<string>
Zeigt nur die Benutzer im angegebenen Authentifizierungsanbieter an. Die Syntax für
die Angabe von Anbietern ist <provider-type>:<provider-name>. Stellen Sie sicher, dass
als Trennzeichen Doppelpunkte verwendet werden, zum Beispiel isi auth users
list --provider="lsa-ldap-provider:Unix LDAP".
{--limit | -l} <integer>.
{--no-header | -a}
{--no-footer | -z}
{--verbose | -v}
isi auth users modify
Ändert einen lokalen Benutzer.
Syntax
isi auth users modify {<user> | --uid <integer> | --sid <string>}
[--expiry <timestamp>]
[--unlock]
[--email <string>]
[--gecos <string>]
[--home-directory <path>]
[--password-expires {yes | no}]
[{--primary-group <string> | --primary-group-gid <integer>
| --primary-group-sid <string>}]
[--prompt-password-change {yes | no}]
333
[--shell <path>]
[--new-uid <integer>]
[--zone <string>]
[--add-group <name>]
[--add-gid <id>]
[--remove-group <name>]
[--remove-gid <id>]
[--set-password]
[--verbose]
[--force]
Optionen
werden.
<user>
--uid<integer>
--sid<string>
Aktiviert oder deaktiviert den Benutzer.
{--expiry | -x} <timestamp>
Gibt den Zeitpunkt, zu dem das Benutzerkonto abläuft, im Datumsformat <YYYY><MM>-<DD> oder im Datums-/Zeitformat <YYYY>-<MM>-<DD>T<hh>:<mm>[:<ss>] an.
--unlock
Entsperrt das Benutzerkonto, wenn es gesperrt ist.
--email<string>
Gibt die E-Mail-Adresse des Benutzers an.
--gecos<string>
Legt die Werte für die folgenden Gecos-Feldeinträge in der Passwortdatei des
Benutzers fest:
Vollständiger Name:
Office Location:
Office Phone:
Home Phone:
Other information:
Die Werte müssen als kommagetrennte Liste eingegeben werden. Werte, die
Leerzeichen enthalten, müssen in Anführungszeichen eingeschlossen werden.
Beispielsweise ergibt die Option --gecos="Jane Doe",Seattle,
555-5555,,"Temporary worker" mit diesen Werten die folgenden Einträge:
Vollständiger Name: Jane Doe
Office Location: Seattle
Office Phone: 555-5555
Home Phone:
Other information: Temporary worker
--home-directory<path>
334
Gibt den Pfad zum Stammverzeichnis des Benutzers an.
--password<string>
Legt das Passwort des Benutzers auf den angegebenen Wert fest. Diese Option kann
nicht zusammen mit der Option --set-password verwendet werden.
--password-expires {yes | no}
Gibt an, ob das Passwort ablaufen soll oder nicht.
--primary-group<name>
Gibt die primäre Gruppe des Benutzers nach Namen an.
--primary-group-gid<integer>
Gibt die primäre Gruppe des Benutzers nach GID an.
--primary-group-sid<string>
Gibt die primäre Gruppe des Benutzers nach SID an.
--prompt-password-change {yes | no}
Legt fest, dass der Benutzer bei der nächsten Anmeldung dazu aufgefordert wird, das
Passwort zu ändern.
--shell<path>
--new-uid<integer>
Gibt eine neue UID für den Benutzer an. Die Festlegung dieser Option wird nicht
empfohlen.
--zone<string>
--add-group<name>
Gibt den Namen einer Gruppe an, der der Benutzer hinzugefügt werden soll.
--add-gid<integer>
Gibt die GID einer Gruppe an, der der Benutzer hinzugefügt werden soll. Wiederholen
--remove-group<name>
Gibt den Namen einer Gruppe an, aus der der Benutzer entfernt werden soll.
--remove-gid<integer>
Gibt die GID einer Gruppe an, aus der der Benutzer entfernt werden soll. Wiederholen
--provider<string>
Gibt einen Authentifizierungsanbieter im Format <type>:<instance> an. Gültige
Anbietertypen sind ads, ldap, nis, file und local. Ein LDAP-Anbieter namens
„auth1“ kann beispielsweise als ldap:auth1 angegeben werden.
--set-password
Legt das Passwort interaktiv fest. Diese Option kann nicht zusammen mit der Option
--password verwendet werden.
{--verbose | -v}
335
{--force | -f}
isi auth users view
Zeigt die Eigenschaften eines Benutzers an.
Syntax
isi auth users view {<user> | --uid <integer> | --sid <string>}
[--cached]
[--show-groups]
[--resolve-names]
[--zone <string>]
Optionen
werden.
<user>
--uid<integer>
--sid<string>
--cached
Gibt nur zwischengespeicherte Informationen zurück.
--show-groups
Zeigt Gruppen an, in denen der Benutzer Mitglied ist.
--resolve-names
Löst die Namen aller zugehörigen Gruppen und Identitäten auf.
--zone<string>
--provider<string>
Gibt den Namen des Authentifizierungsanbieters, der den Benutzer enthält, im
folgenden Format an: <type>:<instance>. Gültige Werte für den Typ sind ads, ldap,
nis, file und local. Ein LDAP-Anbieter namens „auth1“ kann beispielsweise als
ldap:auth1 oder ein Active Directory-Anbieter als ads:YORK.east.com
angegeben werden.
336
KAPITEL 7
l
l
l
l
l
l
Überblick über das Identitätsmanagement.......................................................... 338
Identitätstypen....................................................................................................338
Zugriffstoken.......................................................................................................339
Erzeugen von Zugriffstoken................................................................................. 340
Managen von ID-Zuordnungen............................................................................ 347
Managen von Benutzeridentitäten.......................................................................350
337
Überblick über das Identitätsmanagement
In Umgebungen mit verschiedenen Arten von Verzeichnisservices ordnet OneFS die
Benutzer und Gruppen aus den separaten Services zu, um eine einzige einheitliche
Identität auf einem EMC Isilon-Cluster sowie eine einheitliche Zugriffskontrolle auf
Dateien und Verzeichnisse unabhängig vom eingehenden Protokoll zur Verfügung zu
stellen. Dieser Prozess wird als Identitätszuordnung bezeichnet.
Isilon-Cluster werden häufig in Multiprotokollumgebungen mit mehreren Arten von
Verzeichnisservices wie Active Directory und LDAP bereitgestellt. Wenn sich ein Benutzer
mit Konten in mehreren Verzeichnisservices bei einem Cluster anmeldet, kombiniert
OneFS die Identitäten und Berechtigungen des Benutzers aus allen Verzeichnisservices
in einem systemeigenen Zugriffstoken.
Sie können die OneFS-Einstellungen so konfigurieren, dass Benutzeridentitäten und berechtigungen mithilfe eine Liste von Regeln für die Manipulation von Zugriffstoken
gesteuert werden. Beispielsweise können Sie eine Benutzerzuordnungsregel einrichten,
mit der eine Active Directory-Identität und eine LDAP-Identität in einem einzigen Token
zusammengeführt werden, das für den Zugriff auf Dateien zuständig ist, die über SMB
und NFS gespeichert werden. Das Token kann Gruppen von Active Directory und LDAP
umfassen. Die von Ihnen erstellten Zuordnungsregeln können Identitätsprobleme lösen,
indem Zugriffstoken in vielerlei Hinsicht manipuliert werden, darunter die folgenden
Beispiele:
l
Authentifizierung eines Benutzer anhand von Active Directory, wobei der Benutzer
jedoch eine UNIX-Identität erhält
l
Auswahl einer primären Gruppe aus konkurrierenden Möglichkeiten in Active
Directory oder LDAP
l
Verweigern der Anmeldung von Benutzern, die nicht gleichzeitig in Active Directory
und LDAP vorhanden sind
Weitere Informationen zum Identitätsmanagement finden Sie im White Paper Managing
identities with the Isilon OneFS user mapping service des EMC Online Support.
Identitätstypen
OneFS unterstützt drei primäre Identitätstypen, die Sie direkt auf dem Dateisystem
speichern können. Identitätstypen sind die Benutzerkennung und die Gruppenkennung
für UNIX sowie die Sicherheitskennung für Windows.
Wenn Sie sich bei einem EMC Isilon-Cluster anmelden, erweitert die Benutzerzuordnung
Ihre Identität, um Ihre Identitäten aus allen Verzeichnisservices wie Active Directory,
LDAP und NIS einzuschließen. Nachdem OneFS Ihre Identitäten über die
Verzeichnisservices hinweg zugeordnet hat, wird ein Zugriffstoken erzeugt, das die
Identitätsinformationen enthält, die mit Ihren Konten verknüpft sind. Ein Token umfasst
die folgenden Kennungen:
338
l
Eine UNIX-Benutzerkennung (UID) und eine Gruppenkennung (GID). Eine UID oder GID
ist eine 32-Bit-Zahl mit einem maximalen Wert von 4.294.967.295.
l
Eine Sicherheitskennung (SID) für ein Windows-Benutzerkonto. Eine SID ist eine
Reihe von Autoritäten und Subautoritäten, die mit einer relativen 32-Bit-Kennung
(RID) enden. Die meisten SIDs weisen die Form S-1-5-21-<A>-<B>-<C>-<RID> auf, wobei
<A>, <B> und <C> spezifisch für eine Domain oder einen Computer sind und <RID> das
Objekt in der Domain bezeichnet.
l
Eine primäre Gruppen-SID für ein Windows-Gruppenkonto
l
Eine Liste von ergänzenden Identitäten, einschließlich aller Gruppen, in denen der
Benutzer Mitglied ist
Das Token enthält auch Berechtigungen, die von der administrativen rollenbasierten
Zugriffskontrolle stammen.
Auf einem Isilon-Cluster umfasst eine Datei Berechtigungen, die als ACL angezeigt
werden. Die ACL steuert den Zugriff auf Verzeichnisse, Dateien und andere zu sichernde
Systemobjekte.
Wenn ein Benutzer versucht, auf eine Datei zuzugreifen, vergleicht OneFS die Identitäten
im Zugriffstoken des Benutzers mit der ACL der Datei. OneFS gewährt den Zugriff, wenn
die ACL der Datei einen ACE (Zugriffskontrolleintrag) umfasst, der der Identität im Token
Zugriff auf die Datei ermöglicht und keinen ACE enthält, der der Identität den Zugriff
verweigert. OneFS vergleicht die Zugriffstoken eines Benutzers mit der ACL einer Datei.
Hinweis
Weitere Informationen zu ACLs, einschließlich einer Beschreibung der Berechtigungen
und deren Entsprechung zu POSIX-Modusbits finden Sie im White Paper EMC Isilon
multiprotocol data access with a unified security model auf der EMC Online SupportWebsite.
Wenn ein Name als Kennung angegeben wird, wird er in das entsprechende Benutzeroder Gruppenobjekt und den richtigen Identitätstyp konvertiert. Sie können einen Namen
auf verschiedene Weise eingeben oder anzeigen:
l
UNIX setzt eindeutige nach Groß- und Kleinschreibung unterscheidende Namespaces
für Benutzer und Gruppen voraus. So stellen beispielsweise „Name“ und „name“
unterschiedliche Objekte dar.
l
Windows stellt einen einzigen Namespace für alle Objekte bereit, bei dem die Großund Kleinschreibung nicht berücksichtigt wird, sowie ein Präfix für die Active
Directory-Domain, beispielsweise domain\name.
l
Kerberos und NFSv4 definieren Prinzipale, bei denen Namen auf dieselbe Art wie EMail-Adressen formatiert werden müssen, z. B. [email protected].
Mehrere Namen können sich auf dasselbe Objekt beziehen. Beispiel: Wenn der Name
„support“ und die Domain „example.com“ lautet, sind „support“ „EXAMPLE\support“
und „[email protected]“ Namen für ein einziges Objekt in Active Directory.
Zugriffstoken
Ein Zugriffstoken wird erstellt, wenn der Benutzer erstmals eine Zugriffsanforderung
stellt.
Zugriffstoken repräsentieren die Identität eines Benutzers bei der Ausführung von
Vorgängen auf dem Cluster und stellen die primären Eigentümer- und Gruppenidentitäten
während der Dateierstellung bereit. Zugriffstoken werden bei Autorisierungsprüfungen
auch mit ACLs oder Modusbits abgeglichen.
Während der Benutzerautorisierung vergleicht OneFS das Zugriffstoken, das während der
erstmaligen Verbindung erzeugt wird, mit den Autorisierungsdaten der Datei. Die
Benutzer- und Tokenidentitätszuordnung erfolgt während der Erzeugung des Tokens.
Während der Berechtigungsbewertung findet keine Zuordnung statt.
Ein Zugriffstoken umfasst alle UIDs, GIDs und SIDs für eine Identität, sowie alle OneFSBerechtigungen. OneFS liest die Informationen im Token, um zu ermitteln, ob ein
Benutzer Zugriff auf eine Ressource hat. Es ist wichtig, dass das Token die richtige Liste
von UIDs, GIDs und SIDs enthält. Ein Zugriffstoken wird aus einer der folgenden Quellen
erstellt:
Zugriffstoken
339
Quelle
Authentifizierung
Benutzername
l
SMB-Benutzerauthentifizierung
l
Kerberized NFSv3
l
Kerberized NFSv4
l
NFS-Exportbenutzerzuordnung
l
HTTP
l
FTP
l
HDFS
l
SMB NTLM
l
Active Directory-Kerberos
l
NFS AUTH_SYS-Zuordnung
PAC (Privilege Attribute Certificate)
Benutzer-ID (UID)
Erzeugen von Zugriffstoken
Für die meisten Protokolle wird das Zugriffstoken anhand des Benutzernamens oder der
Autorisierungsdaten erzeugt, die während der Authentifizierung abgerufen werden.
Die folgenden Schritte stellen eine vereinfachte Übersicht über den komplexen Prozess
dar, in dem ein Zugriffstoken erzeugt wird:
Schritt Prozess
Beschreibung
1
Mithilfe der Anfangsidentität erfolgt eine Suche nach dem
Benutzer bei allen konfigurierten Authentifizierungsanbietern
in der Zugriffszone, und zwar in der Reihenfolge, in der sie
aufgelistet sind, bis eine Übereinstimmung gefunden wird. Die
Benutzeridentität und die Gruppenliste werden vom
Authentifizierungsanbieter abgerufen. SIDs, UIDs oder GIDs
werden dem Anfangstoken hinzugefügt.
Suchen der
Benutzeridentität
Hinweis
Eine Ausnahme tritt ein, wenn der AD-Anbieter darauf
konfiguriert ist, andere Anbieter aufzurufen, beispielsweise
LDAP oder NIS.
340
2
ID-Zuordnung
Die Benutzerkennungen werden über Verzeichnisservices
hinweg zugeordnet. Alle SIDs werden in ihre Entsprechungen
von UID/GID konvertiert und umgekehrt. Diese ID-Zuordnungen
werden ebenfalls dem Zugriffstoken hinzugefügt.
3
Benutzerzuordnung
Zugriffstoken aus anderen Verzeichnisservices werden
miteinander kombiniert. Wenn der Benutzername einer
Benutzerzuordnungsregel entspricht, werden die Regeln
nacheinander verarbeitet, und das Token wird entsprechend
aktualisiert.
Schritt Prozess
Beschreibung
4
Die Standardidentität auf dem Laufwerk wird anhand des
Abschlusstokens und der globalen Einstellungen berechnet.
Diese Identitäten werden für neu erstellte Dateien verwendet.
Berechnung der
Identität auf dem
Laufwerk
ID-Zuordnung
Der ID-Zuordnungsservice bewahrt Informationen zu Beziehungen zwischen
zugeordneten Windows- und UNIX-Kennungen auf, um konsistente Zugriffskontrolle über
Dateifreigabeprotokolle innerhalb einer Zugriffszone bereitzustellen.
Hinweis
ID-Zuordnung und Benutzerzuordnung sind, trotz der Ähnlichkeit ihrer Namen,
unterschiedliche Services.
Während der Authentifizierung fragt der Authentifizierungs-Daemon
Identitätszuordnungen von dem ID-Zuordnungsservice ab, um Zugriffstoken zu erstellen.
Auf Anfrage gibt der ID-Zuordnungsservice Windows-Kennungen aus, die UNIXKennungen zugeordnet sind, oder UNIX-Kennungen, die Windows-Kennungen zugeordnet
sind. Wenn ein Benutzer sich bei einem Cluster über NFS mit einer UID oder GID
authentifiziert, gibt der ID-Zuordnungsservice die zugeordnete Windows-SID zurück und
erlaubt den Zugriff auf die Dateien, die ein anderer Benutzer über SMB gespeichert hat.
Wenn ein Benutzer sich bei einem Cluster über SMB mit einer SID authentifiziert, gibt der
ID-Zuordnungsservice die zugeordnete UNIX-UID oder -GID zurück und erlaubt den Zugriff
auf die Dateien, die ein anderer UNIX-Client über NFS gespeichert hat.
Zuordnungen zwischen UIDs oder GIDs und SIDs werden nach Zugriffszone in einer im
Cluster verteilten Datenbank gespeichert, die als ID-Zuordnung bezeichnet wird. Jede
Zuordnung wird in der ID-Zuordnung als Einwegbeziehung zwischen Quelle und
Zielidentitätstyp gespeichert. Bidirektionale Zuordnungen werden als ergänzende
Einwegzuordnungen gespeichert.
Zuordnung von Windows-IDs zu UNIX-IDs
Wenn ein Windows-Benutzer sich mit einer SID authentifiziert, sucht der
Authentifizierungs-Daemon den externen Active Directory-Anbieter, um den Benutzer
oder die Gruppe zu suchen, der oder die mit der SID verbunden ist. Wenn der Benutzer
oder die Gruppe nur eine SID im Active Directory hat, fordert der AuthentifizierungsDaemon eine Zuordnung vom ID-Zuordnungsservice an.
Hinweis
Benutzer- und Gruppenabfragen sind möglicherweise deaktiviert oder abhängig von den
Active Directory-Einstellungen eingeschränkt. Sie können Benutzer- und
Gruppenabfrageneinstellungen mit dem Befehl isi auth ads modify aktivieren.
Wenn der ID-Zuordnungsservice keine zugeordnete UID oder GID in der ID-Zuordnung
findet und zurückgibt, sucht der Authentifizierungs-Daemon andere externe
Authentifizierungsanbieter, die in derselben Zugriffszone für einen Benutzer konfiguriert
sind, der denselben Namen hat wie der Active Directory-Benutzer.
Wenn ein übereinstimmender Benutzername in einem anderen externen Anbieter
gefunden wird, fügt der Authentifizierungs-Daemon die UID oder GID des entsprechenden
Benutzers dem Zugriffstoken für den Active Directory-Benutzer hinzu und der IDZuordnungsservice erstellt eine Zuordnung zwischen der UID oder GID und der SID des
ID-Zuordnung
341
Active Directory-Benutzers in der ID-Zuordnung. Dies wird als externe Zuordnung
bezeichnet.
Hinweis
Wenn eine externe Zuordnung in der ID-Zuordnung gespeichert wird, wird die UID als die
Identität auf der Festplatte für diesen Benutzer angegeben. Wenn der IDZuordnungsservice eine generierte Zuordnung speichert, wird die SID als die Identität auf
der Festplatte angegeben.
Wenn kein übereinstimmender Benutzername in einem anderen externen Anbieter
gefunden wird, weist der Authentifizierungs-Daemon eine UID oder GID aus dem IDZuordnungsbereich der SID des Active Directory-Benutzers zu und der IDZuordnungsservice-speichert die Zuordnung in der ID-Zuordnung. Dies wird als erzeugte
Zuordnung bezeichnet. Der ID-Zuordnungsbereich ist ein Pool von UIDs und GIDs, die in
den Zuordnungseinstellungen zugewiesen werden.
Nachdem eine Zuordnung für einen Benutzer erstellt wurde, ruft der AuthentifizierungsDaemon bei späteren Suchen nach dem Benutzer die UID oder GID ab, die in der IDZuordnung gespeichert wurde.
Zuordnung von UNIX-IDs zu Windows-IDs
Der ID-Zuordnungsservice erstellt temporäre UID-zu-SID- und GID-zu-SID-Zuordnungen
nur dann, wenn noch keine Zuordnung vorhanden ist. Die UNIX-SIDs, die aus diesen
Zuordnungen resultieren, werden nie auf Festplatte gespeichert.
UIDs und GIDs verfügen über eine Reihe vordefinierter Zuordnungen zu und von SIDs.
Wenn während der Authentifizierung eine UID-zu-SID- oder GID-zu-SID-Zuordnung
angefordert wird, erzeugt der ID-Zuordnungsservice eine temporäre UNIX-SID im Format
S-1-22-1-<UID> oder S-1-22-2-<GID>, indem die folgenden Regeln angewendet werden:
l
Für UIDs generiert der ID-Zuordnungsservice eine UNIX-SID mit einer Domain von
S-1-22-1 und einer Ressourcen-ID (RID), die mit der UID übereinstimmt. Die UNIX-SID
für UID 600 lautet z. B. S-1-22-1-600.
l
Für GIDs generiert der ID-Zuordnungsservice eine UNIX-SID mit einer Domain von
S-1-22-2 und einer RID, die mit der GID übereinstimmt. Die UNIX-SID für GID 800
lautet z. B. S-1-22-2-800.
ID-Zuordnungsbereiche
In Zugriffszonen mit mehreren externen Authentifizierungsanbietern wie Active Directory
und LDAP ist es wichtig, dass das UIDs und GIDs von unterschiedlichen Anbietern, die in
derselben Zugriffszone konfiguriert sind, sich nicht überschneiden. Überschneidende
UIDs und GIDs von mehreren Anbietern innerhalb einer Zugriffszone hätten u. U. zur
Folge, dass einige Benutzer auf die Verzeichnisse und Dateien der anderen Benutzer
zugreifen könnten.
Der Bereich von UIDs und GIDs, der für generierte Zuordnungen zugewiesen werden kann,
ist in jeder Zugriffszone mit dem Befehl isi auth settings mappings modify
konfigurierbar. Der Standardbereich für UIDs und GIDs ist 1000000-2000000 in jeder
Zugriffszone.
Schließen Sie keine häufig verwendeten UIDs und GIDs in Ihre ID-Bereiche ein.
Beispielsweise sind UIDs und GIDs unter 1000 für Systemkonten reserviert und sollten
nicht Benutzern oder Gruppen zugewiesen werden.
342
Benutzerzuordnung
Die Benutzerzuordnung bietet eine Möglichkeit, Berechtigungen zu steuern, indem Sie für
einen Benutzer Sicherheits-, Benutzer- und Gruppenkennungen angeben. OneFS
verwendet die Kennungen, um die Datei- oder Gruppeneigentumsrechte zu prüfen.
Mit der Benutzerzuordnungsfunktion können Sie Regeln anwenden, um die von OneFS
verwendete Benutzeridentität zu ändern, ergänzende Benutzeridentitäten hinzuzufügen
und die Gruppenmitgliedschaft eines Benutzers zu ändern. Der
Benutzerzuordnungsservice kombiniert die Identitäten eines Benutzers aus mehreren
Verzeichnisservices in einem einzigen Zugriffstoken und ändert sie anschließend gemäß
den von Ihnen erstellten Regeln.
Hinweis
Sie können Zuordnungsregeln pro Zone konfigurieren. Zuordnungsregeln müssen in jeder
Zugriffszone, die diese Regeln verwendet, separat konfiguriert werden. OneFS ordnet
Benutzer nur während des Anmelde- oder Protokollzugriffs zu.
Standardbenutzerzuordnungen
Standardbenutzerzuordnungen bestimmen den Zugriff, wenn keine expliziten
Benutzerzuordnungsregeln erstellt wurden.
Wenn Sie keine Regeln konfigurieren, erhält ein Benutzer, der sich über einen
Verzeichnisservice authentifiziert, die Identitätsinformationen in anderen
Verzeichnisservices, wenn die Kontonamen identisch sind. Beispiel: Ein Benutzer, der
sich über eine Active Directory-Domain als Desktop\jane authentifiziert, erhält im
endgültigen Zugriffstoken automatisch Identitäten aus LDAP oder NIS für das
entsprechende UNIX-Benutzerkonto für „jane“.
Im gängigsten Szenario ist OneFS mit zwei Verzeichnisservices, Active Directory und LDAP
verbunden. In einem solchen Fall stellt die Standardzuordnung einem Benutzer die
folgenden Identitätsattribute bereit:
l
Eine UID aus LDAP
l
Die Benutzer-SID aus Active Directory
l
Eine SID aus der Standardgruppe in Active Directory
Die Gruppen des Benutzers stammen aus Active Directory und LDAP und die LDAPGruppen und die automatisch erzeugte Gruppen-GID werden zur Liste hinzugefügt. Um
Gruppen aus LDAP abzurufen, fragt der Zuordnungsservice das Attribut memberUid ab.
Das Stammverzeichnis sowie die GECOS- und Shell-Daten eines Benutzers stammen aus
Active Directory.
Elemente der Benutzerzuordnungsregeln
Sie kombinieren Operatoren mit Benutzernamen, um eine Benutzerzuordnungsregel zu
erstellen.
Die folgenden Elemente wirken sich darauf aus, wie eine Regel von der
Benutzerzuordnung angewendet wird:
l
Der Operator, der den Vorgang bestimmt, der von einer Regel durchgeführt wird
l
Felder für Benutzernamen
l
Optionen
l
Ein Parameter
Benutzerzuordnung
343
l
Platzhalter
Best Practices für die Benutzerzuordnung
Sie können Best Practices befolgen, um die Benutzerzuordnung zu vereinfachen.
Verwenden Sie Active Directory mit RFC 2307 und Windows-Dienste für UNIX.
Verwenden Sie Microsoft Active Directory mit Windows-Diensten für UNIX und
RFC 2307-Attribute, um Linux, UNIX und Windows-System zu managen. Durch
Integration von UNIX- und Linux-Systemen in Active Directory werden das
Identitätsmanagement zentralisiert und die Interoperabilität vereinfacht, sodass
weniger Benutzerzuordnungsregeln erforderlich sind. Stellen Sie sicher, dass auf
Ihren Domain-Controllern Windows Server 2003 oder höher ausgeführt wird.
Verwenden Sie eine konsistente Strategie für Benutzernamen.
Die einfachsten Konfigurationen benennen Benutzer konsistent, sodass jeder UNIXBenutzer einem ähnlich benannten Windows-Benutzer entspricht. Bei einer solchen
Konvention sind Regeln mit Platzhalterzeichen zulässig, sodass Namen ohne eine
explizite Angabe des Kontopaares abgeglichen und zugeordnet werden.
Verwenden Sie keine sich überschneidenden ID-Bereiche.
In Netzwerken mit mehreren Identitätsquellen, wie LDAP und Active Directory mit
RFC 2307-Attributen, sollten Sie sicherstellen, dass UID- und GID-Bereiche sich nicht
überschneiden. Es ist ebenfalls wichtig, dass der Bereich, aus dem von OneFS
automatisch UIDs und GIDs zugewiesen werden, sich mit keinem anderen ID-Bereich
überschneidet. OneFS weist automatisch UIDs und GIDs aus dem Bereich 1.000.000
bis 2.000.000 zu. Wenn UIDs und GIDs sich mit mehreren Verzeichnisservices
überschneiden, erhalten einige Benutzer möglicherweise Zugriff auf die
Verzeichnisse und Dateien von anderen Benutzern.
Vermeiden Sie häufig verwendete UIDs und GIDs.
Schließen Sie keine häufig verwendeten UIDs und GIDs in Ihre ID-Bereiche ein.
Beispielsweise sind UIDs und GIDs unter 1.000 für Systemkonten reserviert. Weisen
Sie diese nicht zu Benutzern oder Gruppen zu.
Verwenden Sie keine UPNs in Zuordnungsregeln.
Sie können keinen Benutzerprinzipalnamen (User Principal Name, UPN) in einer
Benutzerzuordnungsregel verwenden. Ein UPN besteht aus einer Active DirectoryDomain und einem Benutzernamen, die in einem internetähnlichen Namen mit
einem @-Symbol kombiniert werden, wie in einer E-Mail-Adresse: jane@example.
Wenn Sie einen UPN in eine Regel einschließen, wird dieser vom Zuordnungsservice
ignoriert und möglicherweise ein Fehler zurückgegeben. Geben Sie Namen
stattdessen im Format DOMAIN\user.com an.
344
Gruppieren Sie Regeln nach Typ und legen Sie eine Reihenfolge fest.
Das System verarbeitet standardmäßig alle Zuordnungsregeln. Dies kann zu
Problemen führen, wenn Sie die Regel deny-all anwenden, z. B. um allen
unbekannten Benutzern den Zugriff zu verweigern. Darüber hinaus können
Austauschregeln möglicherweise mit Regeln interagieren, die Platzhalter enthalten.
Um die Komplexität zu minimieren, wird empfohlen, dass Sie Regeln nach Typ
gruppieren und in der folgenden Reihenfolge anordnen:
1. Austauschregeln: Legen Sie als Erstes alle Regeln fest, die eine Identität
ersetzen, um sicherzustellen, dass alle Instanzen einer Identität durch OneFS
ersetzt werden.
2. Regeln zum Beitreten, Hinzufügen und Einfügen: Nachdem die Namen von den
Austauschvorgängen festgelegt wurden, legen Sie die Regeln zum Beitreten,
Hinzufügen und Einfügen fest, um zusätzliche Kennungen hinzuzufügen.
3. Regeln zum Gewähren und Verweigern: Legen Sie als letzten Schritt die Regeln
fest, die einen Zugriff gewähren oder verweigern.
Hinweis
Beenden Sie alle Verarbeitungsvorgänge, bevor Sie eine standardmäßige
Verweigerungsregel anwenden. Erstellen Sie hierzu eine Regel, die zulässige
Benutzer abgleicht, aber keine Vorgänge ausführt, z. B. ein add-Operator ohne
Feldoptionen, und die außerdem über die break-Option verfügt. Nach
Aufzählung aller zulässigen Benutzer können Sie am Ende die Option catchall
deny einfügen, um jeden nicht abgeglichenen Benutzer durch einen leeren
Benutzer zu ersetzen.
Um zu vermeiden, dass explizite Regeln übersprungen werden, ordnen Sie in jeder
Regelgruppe explizite Regeln vor Regeln mit Platzhalterzeichen ein.
Fügen Sie die primäre LDAP- oder NIS-Gruppe zu den zusätzlichen Gruppen hinzu.
Wenn ein Isilon-Cluster mit Active Directory und LDAP verbunden ist, ist eine Best
Practice, die primäre LDAP-Gruppe zur Liste der zusätzlichen Gruppen hinzuzufügen.
Auf diese Weise erkennt OneFS Gruppenberechtigungen auf Dateien an, die über
NFS erstellt oder aus anderen UNIX-Speichersystemen migriert wurden. Die gleiche
Vorgehensweise wird empfohlen, wenn ein Isilon-Cluster mit Active Directory und
NIS verbunden ist.
Identität auf dem Laufwerk
Nachdem die Benutzerzuordnung die Identität eines Benutzers aufgelöst hat, legt OneFS
eine autorisierende Kennung für diese fest, die sog. bevorzugte Identität auf dem
Laufwerk.
OnesFS speichert UNIX- oder Windows-Identitäten in Dateimetadaten auf der Festplatte.
Identitätstypen auf dem Laufwerk sind UNIX, SID und die systemeigene Identität.
Identitäten werden festgelegt, wenn eine Datei erstellt wird oder wenn die
Zugriffskontrolldaten einer Datei geändert werden. Fast alle Protokolle erfordern für einen
reibungslosen Betrieb ein gewisses Zuordnungslevel, sodass die Auswahl der
bevorzugten Identität für die Speicherung auf dem Laufwerk wichtig ist. Sie können
OneFS so konfigurieren, dass entweder die UNIX- oder die Windows-Identität gespeichert
wird, oder Sie können OneFS die optimale Identität ermitteln lassen.
Identitätstypen auf dem Laufwerk sind UNIX, SID und die systemeigene Identität. Auch
wenn Sie den Identitätstyp der Identität auf dem Laufwerk ändern können, ist die
systemeigene Identität für ein Netzwerk mit UNIX- und Windows-Systemen am besten
geeignet. Für den systemeigenen Identitätsmodus verbessert die Einstellung der UID als
Identität auf dem Laufwerk die NFS-Performance.
Identität auf dem Laufwerk
345
Hinweis
Die SID-Identität auf dem Laufwerk eignet sich für ein homogenes Netzwerk von
Windows-Systemen, die nur mit Active Directory gemanagt werden. Wenn Sie ein Upgrade
von einer Version vor OneFS 6.5 durchführen, ist die Identität auf dem Laufwerk auf UNIX
festgelegt. Wenn Sie ein Upgrade von OneFS 6.5 oder höher durchführen, bleibt die
Identität auf dem Laufwerk erhalten. Bei neuen Installationen wird die Identität auf dem
Laufwerk auf den systemeigenen Typ festgelegt.
Die systemeigene Identität auf dem Laufwerk ermöglicht es dem OneFSAuthentifizierungs-Daemon, die richtige Identität für die Speicherung auf der Festplatte
auszuwählen, indem die Identitätszuordnungstypen in der folgenden Reihenfolge geprüft
werden:
Reihenfolge Zuordnungstyp
Beschreibung
1
Algorithmische
Zuordnung
Eine SID, die S-1-22-1-UID oder S-1-22-2-GID in der internen
ID-Zuordnungsdatenbank entspricht, wird zurück in die
entsprechende UNIX‑Identität konvertiert, und die UID und
GID werden als Identität auf dem Laufwerk festgelegt.
2
Externe
Zuordnung
Für einen Benutzer mit einer expliziten in einem
Verzeichnisservice (z. B. Active Directory mit RFC 2307Attributen, LDAP, NIS oder dem OneFS-Dateianbieter oder
einem lokalen Anbieter) definierten UID und GID ist die
UNIX‑Identität als Identität auf dem Laufwerk festgelegt.
3
Dauerhafte
Zuordnung
Zuordnungen werden dauerhaft in der
Identitätszuordnungsdatenbank gespeichert. Eine Identität
mit einer dauerhaften Zuordnung in der
Identitätszuordnungsdatenbank verwendet das Ziel dieser
Zuordnung als Identität auf dem Laufwerk, was primär bei
manuellen ID-Zuordnungen auftritt. Beispiel: Bei einer IDZuordnung von GID:10000 zu S-1-5-32-545, wird bei einer
Festplattenspeicheranforderung von GID:10000 der Wert
S-1-5-32-545 zurückgegeben.
4
Keine Zuordnung
Wenn ein Benutzer auch nach Abfrage der anderen
Verzeichnisservices und Identitätsdatenbanken keine UID
oder GID hat, wird seine SID als Identität auf dem Laufwerk
festgelegt. Um darüber hinaus zu ermöglichen, dass ein
Benutzer über NFS auf Dateien zugreifen kann, weist OneFS
eine UID und GID aus einem voreingestellten Bereich von
1.000.000 bis 2.000.000 zu. Beim systemeigenen
Identitätstyp auf dem Laufwerk wird eine von OneFS erzeugte
UID oder GID nie als Identität auf dem Laufwerk festgelegt.
Hinweis
Wenn Sie den Identitätstyp auf dem Laufwerk ändern, müssen Sie den PermissionRepairJob im Konvertierungsmodus ausführen, um dafür zu sorgen, dass die
Festplattendarstellung aller Dateien mit der geänderten Einstellung konsistent ist.
346
Managen von ID-Zuordnungen
Sie können Identitätszuordnungen erstellen, bearbeiten und löschen und IDZuordnungseinstellungen konfigurieren.
Erstellen einer Identitätszuordnung
Sie können eine manuelle Identitätszuordnung zwischen Quell- und Zielidentität
erstellen oder automatisch eine Zuordnung für eine Quellidentität erzeugen.
Dieses Verfahren ist nur über die Befehlszeilenoberfläche verfügbar.
Vorgehensweise
2. Führen Sie den Befehl isi auth mapping create aus.
Mit dem folgenden Befehl werden die IDs der Quell- und Zielidentitäten in
Zugriffszone zone3 angegeben, um eine bidirektionale Zuordnung zwischen den
Identitäten zu erstellen:
isi auth mapping create --2way --source-sid=S-1-5-21-12345 \
--target-uid=5211 --zone=zone3
Ändern einer Identitätszuordnung
Sie können die Konfiguration einer Identitätszuordnung ändern.
Vorgehensweise
2. Führen Sie den Befehl isi auth mapping modify aus.
Mit dem folgenden Befehl wird die Zuordnung des Benutzers mit UID 4236 in
Zugriffszone zone3 so geändert, dass sie eine umgekehrte, bidirektionale Zuordnung
zwischen der Quell- und der Zielidentität umfasst:
isi auth mapping modify --source-uid=4236 \
--target-sid=S-1-5-21-12345 --zone=zone3 --2way
Löschen einer Identitätszuordnung
Sie können eine oder mehrere Identitätszuordnungen löschen.
Vorgehensweise
2. Führen Sie den Befehl isi auth mapping delete aus.
Mit dem folgenden Befehl werden alle Identitätszuordnungen in Zugriffszone zone3
gelöscht:
isi auth mapping delete --all --zone=zone3
Managen von ID-Zuordnungen
347
Mit dem folgenden Befehl werden alle Identitätszuordnungen in Zugriffszone zone3
gelöscht, die automatisch erstellt wurden und eine UID oder GID aus einer externen
Authentifizierungsquelle umfassen:
isi auth mapping delete --all --only-external --zone=zone3
Mit dem folgenden Befehl wird die Identitätszuordnung des Benutzers mit UID 4236 in
der Zugriffszone zone3 gelöscht:
isi auth mapping delete --source-uid=4236 --zone=zone3
Anzeigen einer Identitätszuordnung
Sie können die Zuordnungsinformationen zu einer bestimmten Identität anzeigen.
Vorgehensweise
2. Führen Sie den Befehl isi auth mapping view aus.
Mit dem folgenden Befehl werden Zuordnungen für den Benutzer mit der UID 4236 in
der Zugriffszone zone3 angezeigt:
isi auth mapping view --uid=4236 --zone=zone3
Name: user_36
On-disk: UID: 4236
Unix uid: 4236
Unix gid: -100000
SMB: S-1-22-1-4236
Leeren des Identitätszuordnungscache
Sie können den ID-Zuordnungscache leeren, um Kopien aller oder bestimmter
Identitätszuordnungen im Arbeitsspeicher zu löschen.
Änderungen an den ID-Zuordnungen können dazu führen, dass der Cache nicht mehr
synchron ist, und bei der Authentifizierung kann es zu Verzögerungen kommen. Sie
können den Cache leeren, um die Zuordnungen zu synchronisieren.
Vorgehensweise
2. Führen Sie den Befehl isi auth mapping flush aus.
Mit dem folgenden Befehl werden alle Identitätszuordnungen in dem EMC IsilonCluster gelöscht:
isi auth mapping flush --all
348
Mit dem folgenden Befehl wird die Zuordnung des Benutzers mit UID 4236 in der
Zugriffszone zone3 gelöscht:
isi auth mapping flush --source-uid-4236 --zone=zone3
Anzeigen eines Benutzertokens
Sie können die Inhalte eines Zugriffstokens anzeigen, das für einen Benutzer während
der Authentifizierung generiert wurde.
Vorgehensweise
2. Führen Sie den Befehl isi auth mapping token aus.
Mit dem folgenden Befehl wird das Zugriffstoken eines Benutzers mit UID 4236 in der
Zugriffszone zone3 angezeigt:
isi auth mapping token --uid=4236 --zone=zone3
User
Name: user_36
UID: 4236
SID: S-1-22-1-4236
On Disk: 4236
ZID: 3
Zone: zone3
Privileges: Primary Group
Name: user_36
GID: 4236
SID: S-1-22-2-4236
On Disk: 4236
Konfigurieren Identitätszuordnungseinstellungen
Sie können die automatische Zuordnung von UIDs und GIDS aktivieren oder deaktivieren
und den Bereich der ID-Werte in jeder Zugriffszone anpassen. Der Standardbereich
erstreckt sich von 1000000 bis 2000000.
Vorgehensweise
2. Führen Sie den Befehl isi auth settings mapping modify aus.
Mit dem folgenden Befehl wird die automatische Zuordnung sowohl der UIDs als auch
der GIDs in Zugriffszone zone3 aktiviert und ihr Zuordnungsbereich auf 25000-50000
festgelegt:
isi auth settings mapping modify --gid-range-enabled=yes \
--gid-range-min=25000 --gid-range-max=50000 --uid-rangeenabled=yes \
--uid-range-min=25000 --uid-range-max=50000 --zone=zone3
Anzeigen eines Benutzertokens
349
Anzeigen der Identitätszuordnungseinstellungen
Sie können die aktuelle Konfiguration von Identitätszuordnungseinstellungen in jeder
Zone anzeigen.
Vorgehensweise
2. Führen Sie den Befehl isi auth settings mapping view aus.
Mit dem folgenden Befehl werden die aktuellen Einstellungen für Zugriffszone zone3
angezeigt:
isi auth settings mapping view --zone=zone3
GID Range Enabled:
GID Range Min:
GID Range Max:
UID Range Enabled:
UID Range Min:
UID Range Max:
Yes
25000
50000
Yes
25000
50000
Managen von Benutzeridentitäten
Sie können Benutzeridentitäten managen, indem Sie Benutzerzuordnungsregeln
erstellen.
Wenn Sie Benutzerzuordnungsregeln erstellen, ist es wichtig, Folgendes zu beachten:
l
Sie können Benutzerzuordnungsregeln nur erstellen, wenn Sie über die Systemzone
mit dem EMC Isilon-Cluster verbunden sind. Sie können jedoch
Benutzerzuordnungsregeln auf bestimmte Zugriffszonen anwenden. Wenn Sie eine
Benutzerzuordnungsregel für eine bestimmte Zugriffszone erstellen, wird die Regel
nur im Kontext der Zone angewendet.
l
Wenn Sie eine Benutzerzuordnung auf einem Node ändern, überträgt OneFS die
Änderung auf die anderen Nodes.
l
Nachdem Sie eine Benutzerzuordnung geändert haben, lädt der OneFSAuthentifizierungsservice die Konfiguration neu.
Anzeigen der Benutzeridentität
Sie können die Identitäten und die Gruppenmitgliedschaft eines bestimmten Benutzers
in Active Directory- und LDAP-Verzeichnisservices anzeigen.
Hinweis
Das OneFS-Benutzerzugriffstoken enthält eine Kombination aus Identitäten von
Active Directory und LDAP, wenn beide Verzeichnisservices konfiguriert sind. Sie können
die folgenden Befehle ausführen, um die Identitäten zu erkennen, die sich innerhalb
eines Verzeichnisservice befinden.
350
Vorgehensweise
2. Zeigen Sie nur Benutzeridentitäten aus Active Directory an, indem Sie den Befehl isi
auth users view ausführen.
Mit dem folgenden Befehl wird die Identität eines Benutzers namens „stand“ in der
Active Directory-Domain namens „YORK“ angezeigt:
isi auth users view --user=YORK\\stand --show-groups
Name: YORK\stand
DN:
CN=stand,CN=Users,DC=york,DC=hull,DC=example,DC=com
DNS Domain: york.hull.example.com
Domain: YORK
Provider: lsa-activedirectory-provider:YORK.HULL.EXAMPLE.COM
Sam Account Name: stand
UID: 4326
SID: S-1-5-21-1195855716-1269722693-1240286574-591111
Primary Group
ID : GID:1000000
Name : YORK\york_sh_udg
Additional Groups: YORK\sd-york space group
YORK\york_sh_udg
YORK\sd-york-group
YORK\sd-group
YORK\domain users
3. Zeigen Sie nur Benutzeridentitäten aus LDAP an, indem Sie den Befehl isi auth
users view ausführen.
Mit dem folgenden Befehl wird die Identität eines LDAP-Benutzers namens „stand“
angezeigt:
isi auth user view --user=stand --show-groups
Name: stand
DN:
uid=stand,ou=People,dc=colorado4,dc=hull,dc=example,dc=com
DNS Domain: Domain: LDAP_USERS
Provider: lsa-ldap-provider:Unix LDAP
Sam Account Name: stand
UID: 4326
SID: S-1-22-1-4326
Primary Group
ID : GID:7222
Name : stand
Additional Groups: stand
sd-group
sd-group2
Erstellen einer Benutzerzuordnungsregel
Sie können Benutzerzuordnungsregeln erstellen, um Benutzeridentitäten auf dem Cluster
zu managen.
Sie können die erste Zuordnungsregel mit der Option --user-mapping-rules für den
Befehl isi zone zones modify System erstellen. Wenn Sie jedoch versuchen,
eine zweite Regel mit dem obigen Befehl hinzuzufügen, ersetzt diese die vorhandene
Erstellen einer Benutzerzuordnungsregel
351
Regel, anstatt dass die neue Regel der Liste der Regeln hinzugefügt wird. Um weitere
Regeln zur Liste der Regeln hinzuzufügen, müssen Sie die Option --add-usermapping-rules mit dem Befehl isi zone zones modify System verwenden.
Hinweis
Wenn Sie keine Zugriffszone angeben, werden Benutzerzuordnungsregeln in der
Systemzone erstellt.
Vorgehensweise
1. Um eine Regel zu erstellen, mit der der Active Directory-Benutzer mit einem LDAPBenutzer zusammengeführt wird, führen Sie den folgenden Befehl aus, wobei <user-a>
und <user-b> Platzhalter für die zusammenzuführenden Identitäten sind, z. B. Beispiel
„user_9440“ und „lduser_010“:
isi zone zones modify System --add-user-mapping-rules \
"<DOMAIN> <user-a> &= <user-b>"
Führen Sie den folgenden Befehl aus, um die Regel zu erstellen:
isi zone zones view System
Wenn der Befehl erfolgreich ausgeführt wird, zeigt das System die Zuordnungsregel
an, die in der Zeile „User Mapping Rules“ der Ausgabe angezeigt wird:
Name:
Cache Size:
Map Untrusted:
SMB Shares:
Auth Providers:
Local Provider:
NetBIOS Name:
All SMB Shares:
All Auth Providers:
User Mapping Rules:
Home Directory Umask:
Skeleton Directory:
Zone ID:
System
4.77M
Yes
Yes
Yes
<DOMAIN>\<user_a> &= <user_b>
0077
/usr/share/skel
1
2. Um die Änderungen am Token zu überprüfen, führen Sie einen Befehl wie den im
folgenden Beispiel aus:
isi auth mapping token <DOMAIN>\\<user-a>
Wenn der Befehl erfolgreich ausgeführt wird, ähnelt die Systemausgabe dem
folgenden Beispiel:
User
Name : <DOMAIN>\<user-a>
UID : 1000201
SID : S-1-5-21-1195855716-1269722693-1240286574-11547
ZID: 1
Zone: System
Privileges: Primary Group
Name : <DOMAIN>\domain users
GID : 1000000
SID : S-1-5-21-1195855716-1269722693-1240286574-513
Supplemental Identities
Name : Users
GID : 1545
352
SID : S-1-5-32-545
Name : lduser_010
UID : 10010
SID : S-1-22-1-10010
Name : example
GID : 10000
SID : S-1-22-2-10000
Name : ldgroup_20user
GID : 10026
SID : S-1-22-2-10026
Zusammenführen von Windows- und UNIX-Token
Sie können entweder den join- oder den append-Operator verwenden, um zwei
Benutzernamen in einem Token zusammenzuführen.
Wenn Windows- und UNIX-Benutzernamen in den verschiedenen Verzeichnisservices
nicht übereinstimmen, können Sie Benutzerzuordnungsregeln schreiben, die entweder
den join-Operator oder den append-Operator verwenden, um zwei Benutzernamen in
einem Token zusammenzuführen. Beispiel: Wenn der Windows-Benutzername eines
Benutzers „win_bob“ und der UNIX-Benutzername desselben Benutzers „UNIX_bob“,
können Sie diese zusammenführen oder einen Benutzernahmen an den anderen
anhängen.
Wenn Sie ein Konto an ein anderes Konto anhängen, fügt der append-Operator
Informationen von einer Identität zur anderen hinzu. OneFS fügt die Felder, die von den
Optionen aus der Quellidentität festgelegt werden, zur Zielidentität hinzu. OneFS fügt die
Kennungen zur Liste der zusätzlichen Gruppen hinzu.
Vorgehensweise
2. Schreiben Sie eine Regel ähnlich der im folgenden Beispiel, um die Windows- und
UNIX-Benutzernamen zusammenzuführen, wobei <win-username> und <UNIX-username>
Platzhalter für das Windows- und UNIX-Konto des Benutzers sind:
MYDOMAIN\<win-username> &= <UNIX-username> []
3. Schreiben Sie eine Regel ähnlich der im folgenden Beispiel, um das UNIX-Konto an
das Windows-Konto mit der Gruppenoption anzuhängen:
MYDOMAIN\<win-username> ++ <UNIX-username> [groups]
Abrufen der primären Gruppe von LDAP
Sie können eine Benutzerzuordnungsregel erstellen, um die Informationen der primären
LDAP-Gruppe in das Zugriffstoken eines Benutzers einzufügen oder an dieses
anzuhängen.
Standardmäßig führt der Benutzerzuordnungsservice Informationen aus AD und LDAP
zusammen, gibt den Informationen aus AD jedoch Vorrang. Mit Zuordnungsregeln wird
gesteuert, wie OneFS die Daten zusammengeführt. Sie können die Informationen über die
primäre Gruppe von LDAP anstelle von AD abrufen.
Vorgehensweise
Zusammenführen von Windows- und UNIX-Token
353
2. Schreiben Sie eine Regel ähnlich der im folgenden Beispiel, um Informationen von
LDAP in das Zugriffstoken eines Benutzers einzufügen:
*\* += * [group]
3. Schreiben Sie eine Regel ähnlich der im folgenden Beispiel, um Informationen von
LDAP an das Zugriffstoken eines Benutzers anzuhängen:
*\* ++ * [user,groups]
Optionen für Zuordnungsregeln
Zuordnungsregeln können Optionen enthalten, deren Ziel die Felder eines Zugriffstokens
sind.
Ein Feld stellt einen Aspekt eines domainübergreifenden Zugriffstokens dar, z. B. die
primäre UID und die primäre Benutzer-SID eines von Ihnen ausgewählten Benutzers. Sie
können einige der Felder in der OneFS-Webverwaltungsschnittstelle sehen. User in der
Webverwaltungsschnittstelle entspricht dem Benutzernamen. Sie können Felder in einem
Zugriffstoken auch anzeigen, indem Sie den Befehl isi auth mapping token
ausführen.
Wenn Sie eine Regel erstellen, können Sie eine Option hinzufügen, um festzulegen, wie
OneFS Aspekte von zwei Identitäten in einem einzigen Token kombiniert. Beispielsweise
kann mit einer Option durchgesetzt werden, dass von OneFS zusätzliche Gruppen an ein
Token angehängt werden.
Ein Token enthält die folgenden Felder, die Sie mit Benutzerzuordnungsregeln bearbeiten
können:
l
Benutzername
l
unix_name
l
primary_uid
l
primary_user_sid
l
primary_gid
l
primary_group_sid
l
additional_ids (enthält zusätzliche Gruppen)
Mit Optionen wird gesteuert, wie eine Regel Identitätsinformationen in einem Token
kombiniert. Die Option break ist die Ausnahme: Sie beendet die Verarbeitung
zusätzlicher Regeln durch OneFS.
Obwohl verschiedene Optionen auf eine Regel angewendet werden können, können nicht
alle Optionen auf alle Operatoren angewendet werden. In der folgenden Tabelle werden
die Auswirkungen jeder Option und die Operatoren, mit denen sie verwendet werden,
beschrieben.
354
Option
Operator
Beschreibung
Benutzer
insert, append
Kopiert die primäre UID und die primäre Benutzer-SID, falls
vorhanden, auf das Token
Gruppen
insert, append
Kopiert die primäre GID und die primäre Gruppen-SID, falls
vorhanden, auf das Token
Option
Operator
Beschreibung
Gruppen
insert, append
Kopiert alle zusätzliche Kennungen auf das Token. Die
zusätzlichen Kennungen schließen die primäre UID, die primäre
GID, die primäre Benutzer-SID und die die primäre Gruppen-SID
aus.
default_user Alle Operatoren
mit Ausnahme
von remove
groups
Wenn der Zuordnungsservice den zweiten Benutzer in einer
Regel nicht finden kann, versucht der Service, den
Benutzernamen des Standardbenutzers zu finden. Der Name
des Standardbenutzers darf keine Platzhalter enthalten. Wenn
Sie die Option für den Standardbenutzer in einer Regel über die
Befehlszeilenoberfläche festlegen, müssen Sie einen Unterstrich
verwenden: default_user.
break
Mit dieser Option wird die Anwendung von Regeln durch den
Zuordnungsservice nach Einfügen der Option break beendet.
Das letzte Token wird vom Zuordnungsservice am Einfügepunkt
der Option break erzeugt.
Alle Operatoren
Operatoren für Zuordnungsregeln
Der Operator bestimmt die Funktionsweise einer Zuordnungsregel.
Sie können die Benutzerzuordnungsregeln entweder über die
Webverwaltungsschnittstelle erstellen, in der die Operatoren in einer Liste aufgeführt
sind, oder über die Befehlszeilenoberfläche.
Wenn Sie eine Zuordnungsregel über die OneFS-Befehlszeilenoberfläche erstellen,
müssen Sie einen Operator mit einem Symbol angeben. Der Operator beeinflusst die
Richtung, in der der Zuordnungsservice eine Regel verarbeitet. Weitere Informationen zur
Erstellung einer Zuordnungsregel finden Sie im White Paper Managing identities with the
Isilon OneFS user mapping service. In der folgenden Tabelle werden die Operatoren
beschrieben, die Sie in einer Zuordnungsregel verwenden können.
Eine Zuordnungsregel kann nur einen Operator enthalten.
Operator Webschnittstelle
CLI Richtung
Beschreibung
++
Ändert ein Zugriffstoken durch
Hinzufügen von Feldern. Der
Zuordnungsservice fügt die in der Liste
der Optionen angegebenen Felder
(Benutzer, Gruppe, Gruppen) zur ersten
Identität in der Regel hinzu. Die Felder
werden von der zweiten Identität in der
Regel kopiert. Alle hinzugefügten
Kennungen werden Mitglieder der Liste
zusätzlicher Gruppen. Eine Anfügeregel
ohne eine Option führt nur eine Suche
durch. Sie müssen eine Option
einschließen, ein Token zu ändern.
append
Append fields
from a user
insert
Insert fields from a += Von links
nach rechts
user
Von links
nach rechts
Ändert ein vorhandenes Zugriffstoken
durch Hinzufügen von Feldern. Die in der
Optionsliste angegebenen Felder
(Benutzer, Gruppe, Gruppen) werden aus
der neuen Identität kopiert und in die
Operatoren für Zuordnungsregeln
355
Operator Webschnittstelle
CLI Richtung
Beschreibung
Identität im Token eingefügt. Wenn die
Regel einen primären Benutzer oder
einer primäre Gruppe einfügt, werden
diese zum neuen primären Benutzer und
zur neuen primären Gruppe im Token.
Der vorherige primäre Benutzer und die
vorherige primäre Gruppe werden auf die
Liste der zusätzlichen Kennungen
verschoben. Bei Änderung des primären
Benutzers bleibt der Benutzername des
Tokens unverändert. Wenn zusätzliche
Gruppen aus einer Identität eingefügt
werden, fügt der Service die neuen
Gruppen zu den vorhandenen Gruppen
hinzu.
356
ersetzen
Replace one user
with a different
user
remove
groups
-Remove
supplemental
groups from a user
join
Join two users
together
=>
Von links
nach rechts
Entfernt das Token und ersetzt es durch
das neue Token, das vom zweiten
Benutzernamen identifiziert wird. Wenn
der zweite Benutzername leer ist, wird
der erste Benutzername im Token vom
Zuordnungsservice entfernt, wodurch
das Token dann keinen Benutzernamen
mehr hat. Wenn ein Token keinen
Benutzernamen enthält, verweigert
OneFS den Zugriff mit der Fehlermeldung
no such user.
Unär
Ändert ein Token durch das Entfernen
von ergänzenden Gruppen
&= Bidirektional
Fügt die neue Identität in das Token ein
Wenn die neue Identität der zweite
Benutzer ist, wird diese vom
Zuordnungsservice nach der
vorhandenen Identität eingefügt.
Andernfalls wird die neue Identität vor
der vorhandenen Identität eingefügt. Der
Einfügepunkt ist von Bedeutung, wenn
es sich bei der vorhandenen Identität um
die erste Identität in der Liste handelt,
da OneFS die erste Identität dazu
verwendet, den Eigentümer neuer
Dateisystemobjekte zu bestimmen.
KAPITEL 8
Auditing
l
l
l
l
l
l
l
Auditingüberblick................................................................................................358
Protokollauditevents........................................................................................... 358
Unterstützte Eventtypen...................................................................................... 359
Unterstützte Audittools....................................................................................... 359
Managen von Auditeinstellungen........................................................................ 360
Integration in den EMC Common Event Enabler................................................... 362
Auditbefehle....................................................................................................... 364
Auditing
357
Auditing
Auditingüberblick
Sie können Audits für Systemkonfigurationsänderungen und SMB- und NFSProtokollaktivitäten auf einem EMC Isilon-Cluster durchführen. Alle Auditdaten werden im
Dateisystem des Clusters gespeichert und geschützt und nach Auditthemen organisiert.
Wenn Sie das Systemkonfigurationsauditing aktivieren oder deaktivieren, ist keine
weitere Konfiguration erforderlich. Wenn Sie das Konfigurationsauditing aktivieren,
werden alle Konfigurationsevents, die von der API verarbeitet werden, einschließlich
Schreibvorgängen, Änderungen und Löschungen, in den Auditthemaverzeichnissen von
config nachverfolgt und gespeichert.
Sie können das Protokollauditing für eine oder mehrere Zugriffszonen in einem Cluster
aktivieren und konfigurieren. Wenn Sie das Protokollauditing für eine Zugriffszone
aktivieren, werden Dateizugriffsevents des SMB- und NFS-Protokolls in den
Auditthemaverzeichnissen von protocol gespeichert. Die Auditprotokolldatei von
protocol kann von Auditinganwendungen verwendet werden, die den CEE (Common
Event Enabler) von EMC unterstützen, z. B. DatAdvantage for Windows von Varonis.
Standardmäßig protokolliert OneFS nur die Events, die von Varonis verarbeitet werden,
Sie können jedoch festlegen, welche Events in jeder Zugriffszone protokolliert werden.
Sie können beispielsweise den Standardsatz der Protokollevents in der
Systemzugriffszone prüfen, in einer anderen Zugriffszone aber nur erfolgreiche
durchgeführte Löschungen von Dateien.
Protokollauditevents
Standardmäßig verfolgen geprüfte Zugriffszonen nur die Events im EMC Isilon-Cluster, die
von Varonis DatAdvantage verwendet werden, einschließlich erfolgreicher und
fehlgeschlagener Versuche, auf Dateien oder Verzeichnisse zuzugreifen.
Obwohl aktuelle Versionen von Varonis DatAdvantage Lese- und Schreibversuche nicht
direkt überprüfen, wird die Lese- oder Schreibabsicht von den Zugriffsbits für ein
Erstellungsevent erfasst.
Die Namen von erzeugten Events basieren im Allgemeinen auf dem Windows-Modell des
I/O-Anforderungspakets (IRP), bei dem alle Vorgänge mit einem Erstellungsevent zum
Erhalt eines Datei-Handle beginnen. Allen Lösch-, Umbenennungs-, Lese-, Schreib- oder
set_security-Events muss ein Erstellungsevent vorangehen. Ein Schließevent markiert,
wenn der Client den Datei-Handle beendet hat, der durch ein Erstellungsevent produziert
wurde.
Diese intern gespeicherten Events werden in Events konvertiert, die über CEE an die
Auditanwendung weitergeleitet werden. Die CEE-Exportfunktionen in OneFS führen diese
Zuordnung durch.
Hierbei ist zu beachten, dass verschiedene SMB- und NFS-Clients verschiedene
Anforderungen ausgeben und dass sich eine Windows- oder Mac OS X-Version von
anderen unterscheiden kann. Beachten Sie außerdem, dass verschiedene Versionen
einer Anwendung wie Microsoft Word oder Explorer möglicherweise unterschiedliche
Protokollanforderungen stellen. Beispielsweise erzeugt ein Client mit einem offenen
Microsoft Explorer-Fenster mitunter viele Events, wenn eine automatisierte oder manuelle
Aktualisierung dieses Fensters stattfindet. Da Programme Anforderungen mit den
Anmeldedaten des angemeldeten Benutzers ausführen, kann die Untersuchung der
Auditevents des Dateisystems unter der Annahme, dass sie zweckmäßige
Benutzeraktivitäten waren, zu unerwarteten Ergebnissen führen.
358
Auditing
Unterstützte Eventtypen
Sie können die Eventtypen anzeigen oder ändern, die in einer Zugriffszone geprüft
werden. Standardmäßig prüft OneFS nur die Eventtypen, die von Varonis DatAdvantage
unterstützt werden.
Die folgenden Eventtypen sind standardmäßig auf jeder überwachten Zugriffszone
konfiguriert:
Eventname Beispielprotokollaktivität
create
close
l
Datei oder Verzeichnis erstellen
l
Datei, Verzeichnis oder Freigabe öffnen
l
Freigabe mounten
l
Datei löschen
l
Verzeichnis schließen
l
Geänderte oder nicht geänderte Datei schließen
rename
Datei oder Verzeichnis umbenennen
delete
Datei oder Verzeichnis löschen
set_security Versuch, Datei- oder Verzeichnisberechtigungen zu ändern
Die folgenden Eventtypen können über CEE weitergeleitet werden, werden aber von
Varonis DatAdvantage nicht unterstützt:
read
Die erste Leseanforderung auf einen geöffneten Datei-Handle
write
Die erste Schreibanforderung auf einen geöffneten Datei-Handle
Schließen
Abschluss des Clients mit einem geöffneten Datei-Handle
get_security Client liest Sicherheitsinformationen für einen geöffneten Datei-Handle
Die folgenden Protokollauditereignisse werden nicht von CEE exportiert und von Varonis
DatAdvantage nicht unterstützt:
logon
Anforderung zum Erstellen einer SMB-Sitzung von einem Client
logoff
Abmelden von der SMB-Sitzung
tree_connect Erster Versuch von SMB, auf eine Freigabe zuzugreifen
Unterstützte Audittools
Sie können OneFS so konfigurieren, dass Protokollauditprotokolle an Server gesendet
werden, die den EMC Common Event Enabler (CEE) unterstützen.
Unterstützte Eventtypen
359
Auditing
CEE wurde mit Varonis DatAdvantage for Windows und StealthAUDIT Management
Platform v6.3 getestet und überprüft. Unterstützte Funktionen und Auditereignisse für
Varonis DatAdvantage werden in der folgenden Tabelle aufgeführt:
Anwendung
Varonis DatAdvantage
for Windows
Unterstützte Funktionen
Auditereignisse
l
Nutzbares Zugriffsauditing
l
create
l
Empfehlungen, Analysen und Modellierung
l
close
l
Erkennung und Beteiligung von
Dateneigentümern
l
delete
l
rename
l
set_security
Hinweis
Es wird empfohlen, dass Sie Auditanwendungen von Drittanbietern installieren und
konfigurieren, bevor Sie die OneFS-Auditfunktion aktivieren. Andernfalls ist der
Rückstand für das Tool möglicherweise so groß, dass die Ergebnisse über einen längeren
Zeitraum hinweg nicht auf dem neuesten Stand sind.
Eine aktuelle Liste der unterstützten Audittools finden Sie im Isilon Third-Party Software &
Hardware Compatibility Guide.
Managen von Auditeinstellungen
Sie können die Auditeinstellungen für Systemkonfiguration und Protokollzugriff
aktivieren und deaktivieren sowie die Integration in den EMC Common Event Enabler
konfigurieren.
Aktivieren von Systemkonfigurationsaudits
Sie können die Audits von Änderungen an der Systemkonfiguration aktivieren oder
deaktivieren. Es sind keine weiteren Einstellungen verfügbar.
Hinweis
Wenn Sie eine Integration in eine Auditanwendung eines Drittanbieters vornehmen, wird
empfohlen, dass Sie die Auditanwendung des Drittanbieters installieren und
Vorgehensweise
1. Führen Sie den Befehl isi audit settings modify aus.
Mit dem folgenden Befehl wird das Audit für die Systemkonfiguration im Cluster
aktiviert:
isi audit settings modify --config-auditing-enabled=yes
360
Auditing
Aktivieren von Protokollzugriffsaudits
Sie können den SMB- und NFS-Protokollzugriff überprüfen, um Events pro Zugriffszone zu
erzeugen und die Events an den EMC Common Event Enabler (CEE) zum Export an
Produkte von Drittanbietern weiterzuleiten.
Die folgenden Protokollevents sind die einzigen Events, die von Varonis DatAdvantage
unterstützt werden, und werden standardmäßig für geprüfte Zugriffszonen erfasst: create,
delete, rename und set_security. Sie können den Satz von Events, die in einer
Zugriffszone geprüft werden, mit dem Befehl isi zone zones modify ändern.
Hinweis
Da jedes geprüfte Event Systemressourcen verbraucht, sollten Sie nur Zonen für Events
konfigurieren, die von Ihrer Auditanwendung benötigt werden. Es wird empfohlen, dass
Sie Auditanwendungen von Drittanbietern installieren und konfigurieren, bevor Sie die
OneFS-Auditfunktion aktivieren. Andernfalls ist der Rückstand für das Tool
möglicherweise so groß, dass die Ergebnisse über einen längeren Zeitraum hinweg nicht
auf dem neuesten Stand sind.
Vorgehensweise
1. Führen Sie den Befehl isi audit settings modify aus.
Mit dem folgenden Befehl wird das Audit für den SMB- und NFS-Protokollzugriff in der
Systemzugriffszone aktiviert und protokollierte Events werden an einen CEE-Server
weitergeleitet:
isi audit settings modify --protocol-auditing-enabled=yes \
--cee-server-uris=http://sample.com:12228/cee \
--hostname=cluster.domain.com --audited-zones=System
Auditeinstellungen
Die Grundeinstellungen für die Auditkonfiguration sind über den Befehl isi audit
modify verfügbar. Wenn Sie ein Audit für Protokollevents für eine Zugriffszone
durchführen, wird ein Standardsatz von Auditevents protokolliert. Sie können die Liste
der zu protokollierenden Auditevents ändern, indem Sie den Befehl isi zone zones
modify<zone> ausführen, wobei <zone> der Name einer geprüften Zugriffszone ist,
beispielsweise die Systemzone.
Optionen
--protocol-auditing-enabled {yes | no}
Aktiviert oder deaktiviert das Audit von I/O-Events.
--audited-zones<zones>
Gibt eine oder mehrere Zugriffszonen (durch Kommas getrennt) an, die bei
aktiviertem Protokollaudit geprüft werden. Mit dieser Option werden alle Einträge in
der Liste der Zugriffszonen überschrieben. Um Zugriffszonen ohne Auswirkung auf die
aktuellen Einträge hinzuzufügen oder zu entfernen, verwenden Sie --addaudited-zones oder --remove-audited-zones.
--clear-audited-zones
Löscht die Liste der Zugriffszonen für das Audit.
--add-audited-zones<zones>
Fügt der Liste der Zonen eine oder mehrere Zugriffszonen (durch Kommas getrennt)
hinzu, die bei aktiviertem Protokollaudit geprüft werden.
Aktivieren von Protokollzugriffsaudits
361
Auditing
--remove-audited-zones<zones>
Entfernt eine oder mehrere Zugriffszonen (durch Kommas getrennt), die bei
aktiviertem Protokollaudit geprüft werden.
--cee-server-uris<uris>
Gibt einen oder mehrere CEE-Server-URIs (durch Kommas getrennt) an, an die
Auditprotokolle bei aktiviertem Protokollaudit weitergeleitet werden. Mit dieser
Option werden alle Einträge in der Liste der CEE-Server-URIs überschrieben. Um URIs
ohne Auswirkung auf die aktuellen Einträge hinzuzufügen oder zu entfernen,
verwenden Sie --add-cee-server-uris oder --remove-cee-server-uris.
--clear-cee-server-uris
Löscht die Liste der CEE-Server-URIs, an die Auditprotokolle weitergeleitet werden.
--add-cee-server-uris<uris>
Fügt einen oder mehrere CEE-Server-URIs (durch Kommas getrennt) hinzu, an die
Auditprotokolle bei aktiviertem Protokollaudit weitergeleitet werden.
--remove-cee-server-uris<uris>
Entfernt einen oder mehrere CEE-Server-URIs (durch Kommas getrennt) aus der Liste
der URIs, an die Auditprotokolle bei aktiviertem Protokollaudit weitergeleitet werden.
--cee-log-time<Datum>
Gibt ein Datum an, nach dem der Audit-CEE-Absender Protokolle weiterleitet. Um
SMB- oder NFS-Datenverkehrsprotokolle weiterzuleiten, geben Sie protocol an.
Geben Sie <date> im folgenden Format ein:
[protocol]@<YYYY>-<MM>-<DD> <HH>:<MM>:<SS>
--syslog-log-time<Datum>
Gibt ein Datum an, nach dem der Audit-syslog-Absender Protokolle weiterleitet. Um
SMB- oder NFS-Datenverkehrsprotokolle weiterzuleiten, geben Sie protocol an. Um
Konfigurationsänderungsprotokolle weiterzuleiten, geben Sie config an. Geben Sie
<date> im folgenden Format ein:
[protocol|config]@<YYYY>-<MM>-<DD> <HH>:<MM>:<SS>
--hostname<string>
Gibt den Hostnamen dieses Clusters für das Reporting von Protokollevents an CEEServer an. Dabei handelt es sich in der Regel um den Namen der SmartConnect-Zone.
Der Hostname wird zur Erstellung des UNC-Pfads für die geprüften Dateien und
Verzeichnisse verwendet, zum Beispiel \\hostname\ifs\data\file.txt.
--config-auditing-enabled {yes | no}
Aktiviert oder deaktiviert das Audit von Anforderungen zur Änderung der APIKonfigurationseinstellungen.
{--verbose | -v}
Integration in den EMC Common Event Enabler
Die OneFS Integration in den EMC Common Event Enabler (CEE) von EMC ermöglicht es
Drittanbieteranwendungen wie Varonis DatAdvantage, SMB- und NFS-Auditprotokolle zu
erfassen und zu analysieren.
362
Auditing
OneFS unterstützt die CEPA-Komponente (Common Event Publishing Agent) von CEE für
Windows. Für die Integration in OneFS müssen Sie CEE für Windows auf einem
unterstützten Windows-Client installieren und konfigurieren.
Hinweis
Es wird empfohlen, dass Sie Auditanwendungen von Drittanbietern installieren und
Installieren von CEE für Windows
Um CEE in OneFS zu integrieren, müssen Sie zunächst CEE auf einem Computer
installieren, auf dem das Windows-Betriebssystem ausgeführt wird.
Bevor Sie beginnen
Dazu müssen Sie Dateien aus der Datei .iso extrahieren, wie in den folgenden Schritten
beschrieben. Wenn Sie nicht mit dem Prozess vertraut sind, sollten Sie eine der
folgenden Methoden auswählen:
l
Installieren Sie WinRAR oder ein anderes geeignetes Archivierungsprogramm,
das .iso-Dateien als Archiv öffnen kann, und kopieren Sie die Dateien.
l
Brennen Sie das Image auf eine CD-ROM und kopieren Sie dann die Dateien.
l
Installieren Sie SlySoft Virtual CloneDrive, um ein ISO-Image als Laufwerk zu
mounten, von dem Sie Dateien kopieren können.
Hinweis
Sie sollten mindestens zwei Server installieren. Es wird empfohlen, CEE v6.2 oder höher
zu installieren.
Vorgehensweise
1. Laden Sie die CEE-Framework-Software vom EMC Online Support herunter:
a. Öffnen Sie in einem Webbrowser https://support.emc.com/search/.
b. Geben Sie im Feld Search Support Common Event Enabler for Windows ein
und klicken Sie dann auf das Suchsymbol.
c. Klicken Sie auf Common Event Enabler <Version> for Windows, wobei <Version>
6.0.0 oder höher ist, und befolgen Sie die Anweisungen zum Öffnen oder
Speichern der .iso-Datei.
2. Extrahieren Sie aus der .iso-Datei die benötigte ausführbare EMC_CEE_Pack-Datei
(32-Bit oder 64-Bit).
Nachdem die Datei extrahiert wurde, wird der Installationsassistent für den EMC
Common Event Enabler geöffnet.
3. Klicken Sie auf Next, um die Seite mit der License Agreement aufzurufen.
4. Aktivieren Sie die Option I accept..., um die Bedingungen der Lizenzvereinbarung zu
akzeptieren, und klicken Sie dann auf Next.
5. Geben Sie auf der Seite Customer Information Ihren Benutzernamen und Ihr
Unternehmen ein, wählen Sie die gewünschten Installationseinstellungen aus und
klicken Sie dann auf Next.
6. Klicken Sie auf der Seite Setup Type auf Complete und anschließend auf Next.
Installieren von CEE für Windows
363
Auditing
7. Klicken Sie auf Install, um die Installation zu starten.
Auf der Seite Installing EMC Common Event Enabler wird der Installationsfortschritt
angezeigt. Wenn die Installation abgeschlossen ist, wird die Seite InstallShield
Wizard Completed angezeigt.
8. Klicken Sie auf Fertig stellen, um den Assistenten zu beenden.
9. Starten Sie das System neu.
Konfigurieren von CEE für Windows
Nachdem Sie CEE für Windows auf einem Clientcomputer installiert haben, müssen Sie
zusätzliche Einstellungen über den Windows-Registrierungs-Editor konfigurieren
(regedit.exe).
Vorgehensweise
1. Öffnen Sie den Windows-Registrierungs-Editor.
2. Konfigurieren Sie die folgenden Registrierungsschlüssel:
Einstellun
g
Registrierungspfad
Schlüssel
Wert
CEE-HTTPAbhörport
[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE
\Configuration]
HttpPort
12228
Remoteend
punkte für
Audit
aktivieren
[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP
\Audit\Configuration]
Aktiviert
1
Remoteend
punkte
prüfen
[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP
\Audit\Configuration]
EndPoint
<EndPoint>
Hinweis
l
Der Wert für „HttpPort“ muss dem Port in den CEE-URIs entsprechen, den Sie
während der Konfiguration des OneFS Protokollaudits angeben.
l
Der Wert für „EndPoint“ muss im Format <EndPoint_Name>@<IP_Address> vorliegen.
Sie können mehrere Endpunkte angeben, indem Sie die Werte jeweils durch ein
Semikolon (;) trennen.
So geben Sie einen einzigen Remoteendpunkt an:
[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration] EndPoint =
[email protected]
So geben Sie mehrere Remoteendpunkte an:
[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration] EndPoint =
[email protected];[email protected]
3. Schließen Sie den Windows-Registrierungs-Editor.
Auditbefehle
Sie können ein Audit für Systemkonfigurationsevents und SMB- und NFSProtokollzugriffsevents auf dem EMC Isilon-Cluster durchführen. Alle Auditdaten werden
364
Auditing
in Dateien gespeichert, die als Auditthemen bezeichnet werden und
Protokollinformationen erfassen. Diese Informationen können Sie mithilfe von Audittools
wie Varonis DatAdvantage for Windows weiter verarbeiten.
isi audit settings modify
Aktiviert oder deaktiviert das Audit von Änderungen an der Systemkonfiguration und am
Protokollzugriff und konfiguriert zusätzliche Protokollauditeinstellungen.
Legen Sie die Option --config-auditing-enabled auf yes fest, um das Audit von
Änderungen an der Systemkonfiguration zu aktivieren. Es sind keine anderen Optionen
verfügbar.
Um das Audit für den Protokollzugriff zu aktivieren, müssen Sie die Option -protocol-auditing-enabled auf yes festlegen. Außerdem müssen Sie über die
Option --audited-zones angeben, für welche Zugriffszonen ein Audit durchgeführt
werden soll.
Hinweis
Wenn Sie eine Integration in eine Auditanwendung eines Drittanbieters vornehmen, wird
empfohlen, dass Sie die Auditanwendung des Drittanbieters installieren und
Syntax
[--protocol-auditing-enabled {yes | no} ]
[--audited-zones <zones> | --clear-audited-zones]
[--add-audited-zones <zones>]
[--remove-audited-zones <zones>]
[--cee-server-uris <uris> | --clear-cee-server-uris]
[--add-cee-server-uris <uris>]
[--remove-cee-server-uris <uris>]
[--hostname <string>]
[--config-auditing-enabled {yes | no}]
[--config-syslog-enabled {yes | no}]
[--verbose]
Optionen
--protocol-auditing-enabled {yes | no}
Aktiviert oder deaktiviert das Audit von Datenzugriffsanforderungen über das SMBund NFS-Protokoll.
--audited-zones<zones>
Gibt eine oder mehrere Zugriffszonen (durch Kommas getrennt) an, die bei
aktiviertem Protokollaudit geprüft werden. Mit dieser Option werden alle Einträge in
der Liste der Zugriffszonen überschrieben. Um Zugriffszonen ohne Auswirkung auf die
aktuellen Einträge hinzuzufügen oder zu entfernen, verwenden Sie --addaudited-zones oder--remove-audited-zones.
--clear-audited-zones
Löscht die Liste der Zugriffszonen für das Audit.
--add-audited-zones<zones>
Fügt der Liste der Zonen eine oder mehrere Zugriffszonen (durch Kommas getrennt)
hinzu, die bei aktiviertem Protokollaudit geprüft werden.
365
Auditing
--remove-audited-zones<zones>
Entfernt eine oder mehrere Zugriffszonen (durch Kommas getrennt), die bei
aktiviertem Protokollaudit geprüft werden.
--cee-server-uris<uris>
Gibt einen oder mehrere CEE-Server-URIs (durch Kommas getrennt) an, an die
Auditprotokolle bei aktiviertem Protokollaudit weitergeleitet werden. Der CEEExportservice von OneFS verwendet den Round-Robin-Lastenausgleich für den Export
von Events an mehrere CEE-Server. Mit dieser Option werden alle Einträge in der Liste
der CEE-Server-URIs überschrieben. Um URIs ohne Auswirkung auf die aktuellen
Einträge hinzuzufügen oder zu entfernen, verwenden Sie --add-cee-serveruris oder --remove-cee-server-uris.
--clear-cee-server-uris
Löscht die Liste der CEE-Server-URIs, an die Auditprotokolle weitergeleitet werden.
--add-cee-server-uris<uris>
Fügt der Liste der URIs, an die Auditprotokolle weitergeleitet werden, einen oder
mehrere CEE-Server-URIs (durch Kommas getrennt) hinzu.
--remove-cee-server-uris<uris>
Entfernt einen oder mehrere CEE-Server-URIs (durch Kommas getrennt) aus der Liste
der URIs, an die Auditprotokolle weitergeleitet werden.
--cee-log-time<Datum>
Gibt ein Datum an, nach dem der Audit-CEE-Absender Protokolle weiterleitet. Um
SMB- oder NFS-Datenverkehrsprotokolle weiterzuleiten, geben Sie protocol an.
Geben Sie <date> im folgenden Format ein:
[protocol]@<YYYY>-<MM>-<DD> <HH>:<MM>:<SS>
--syslog-log-time<Datum>
Gibt ein Datum an, nach dem der Audit-syslog-Absender Protokolle weiterleitet. Um
SMB- oder NFS-Datenverkehrsprotokolle weiterzuleiten, geben Sie protocol an. Um
Konfigurationsänderungsprotokolle weiterzuleiten, geben Sie config an. Geben Sie
<date> im folgenden Format ein:
[protocol|config]@<YYYY>-<MM>-<DD> <HH>:<MM>:<SS>
--hostname<string>
Gibt den Namen des Speicherclusters an, das beim Weiterleiten von Protokollevents
verwendet wird – in der Regel ist dies der SmartConnect-Zonenname. Wenn
SmartConnect nicht implementiert wird, muss der Wert mit dem Hostnamen des
Clusters übereinstimmen, wie Varonis ihn erkennt. Wenn das Feld leer gelassen wird,
werden Events von jedem Node mit dem Node-Namen (Clustername + lnn) ausgefüllt.
Diese Einstellung ist nur erforderlich, wenn dies von der Auditanwendung des
Drittanbieters benötigt wird.
--config-auditing-enabled {yes | no}
Aktiviert bzw. deaktiviert das Audit von Anforderungen nach Änderungen an der
Systemkonfiguration, die über die API erfolgen.
--config-syslog-enabled {yes | no}
Aktiviert bzw. deaktiviert das Weiterleiten von Änderungen an der
Systemkonfiguration an Syslog.
{--verbose | -v}
366
Auditing
Hinweis
Standardmäßig erfasst OneFS die folgenden Protokollevents für überprüfte Zugriffszonen:
create, close, delete, rename und set_security. Nur diese Events werden von
Varonis DatAdvantage verarbeitet. Mit dem Befehl isi zone zones modify können
Sie festlegen, für welche erfolgreichen und fehlgeschlagenen Events in einer Zugriffszone
ein Audit durchgeführt werden soll. Da jedes überprüfte Event Systemressourcen
verbraucht, sollten Sie nur die Events protokollieren, die von Ihrer Auditanwendung
unterstützt werden.
isi audit settings view
Zeigt Auditkonfigurationseinstellungen an.
Syntax
Optionen
Beispiele
Um die aktuellen Auditeinstellungen anzuzeigen, führen Sie den folgenden Befehl aus:
Die Systemausgabe ähnelt dem folgenden Text:
Protocol Auditing Enabled: Yes
Audited Zones: System, zoneA
CEE Server URIs: http://example.com:12228/cee
Hostname: mycluster
Config Auditing Enabled: Yes
Config Syslog Enabled: Yes
isi audit topics list
Zeigt eine Liste der konfigurierten Auditthemen an, bei denen es sich um interne
Sammlungen von Auditdaten handelt.
Syntax
isi audit topics list
[--limit <integer>]
[--no-header]
[--no-footer]
[--verbose]
Optionen
367
Auditing
{--no-header | -a}
{--no-footer | -z}
{--verbose | -v}
isi audit topics modify
Ändert die Eigenschaften eines Auditthemas.
Syntax
isi audit topics modify <name>
[--max-cached-messages <integer>]
[--verbose]
Optionen
<name>
Gibt den Namen des zu ändernden Auditthemas an. Gültige Werte sind protocol
und config.
--max-cached-messages<integer>
Gibt die maximale Anzahl von Auditmeldungen an, die zwischengespeichert werden,
bevor sie in einen dauerhaften Speicher geschrieben werden. Je größer der Wert,
desto effizienter können Auditereignisse verarbeitet werden. Wenn Sie 0 angeben,
wird jedes Auditereignis synchron gesendet.
{--verbose | -v}
isi audit topics view
Zeigt die Eigenschaften eines Auditthemas an.
Syntax
isi audit topics view <name>
Optionen
<name>
Legt den Namen des Auditthemas fest, dessen Eigenschaften Sie anzeigen möchten.
Gültige Werte sind protocol und config.
368
KAPITEL 9
Dateifreigabe
l
l
l
l
l
l
l
l
l
l
l
l
l
l
l
l
l
l
l
Überblick über Dateifreigaben.............................................................................370
SMB.................................................................................................................... 370
NFS..................................................................................................................... 375
HTTP und HTTPS.................................................................................................. 377
FTP...................................................................................................................... 377
Umgebungen mit verschiedenen Protokollen.......................................................378
Schreibcaching mit SmartCache.......................................................................... 378
Managen von SMB-Einstellungen........................................................................ 379
Managen von SMB-Freigaben.............................................................................. 382
Managen des NFS-Service................................................................................... 389
Managen von NFS-Exporten.................................................................................390
Managen von NFS-Aliasse................................................................................... 393
Anzeigen von FTP-Einstellungen.......................................................................... 395
Aktivieren von FTP-Dateifreigaben....................................................................... 396
Konfigurieren von FTP-Dateifreigaben.................................................................. 396
Aktivieren und Konfigurieren von HTTP................................................................ 397
SMB-Befehle....................................................................................................... 398
NFS-Befehle........................................................................................................ 423
FTP-Befehle......................................................................................................... 466
Dateifreigabe
369
Dateifreigabe
Überblick über Dateifreigaben
Die Multiprotokollunterstützung in OneFS ermöglicht, dass über SMB für WindowsDateifreigaben, NFS für UNIX-Datenfreigaben, SSH (Secure Shell), FTP und HTTP auf
Dateien und Verzeichnisse im Isilon-Cluster zugegriffen werden kann. Standardmäßig
sind nur die SMB- und NFS-Protokolle aktiviert.
OneFS erstellt das Verzeichnis /ifs, d. h. das Stammverzeichnis für alle
Dateisystemdaten auf dem Cluster. Das Verzeichnis /ifs ist standardmäßig als SMBFreigabe und NFS-Export konfiguriert. Sie können zusätzliche Freigaben und Exporte in
der Verzeichnisstruktur /ifs erstellen.
Hinweis
Es wird empfohlen, dass Sie keine Daten im Root-Dateipfad /ifs speichern, sondern in
den Verzeichnissen unter /ifs. Das Design Ihrer Datenspeicherstruktur sollte sorgfältig
geplant werden. Eine gut durchdachte Verzeichnisstruktur optimiert die Performance und
die Administration des Clusters.
Sie können Windows- und UNIX-basierte Berechtigungen für OneFS-Dateien und Verzeichnisse festlegen. Benutzer, die über die erforderlichen Berechtigungen
Administratorrechte verfügen, können über eines oder mehrere der unterstützten
Dateifreigabeprotokolle Daten auf dem Cluster erstellen, ändern und lesen.
l
SMB: Ermöglicht Microsoft Windows- und Mac OS X-Clients den Zugriff auf Dateien,
die auf dem Cluster gespeichert sind.
l
NFS: Ermöglicht Linux- und UNIX-Clients, die die RFC1813 (NFSv3)- und RFC3530
(NFSv4)-Spezifikationen erfüllen, den Zugriff auf Dateien, die in dem Cluster
gespeichert werden.
l
HTTP und HTTPS (mit optionalem DAV): Ermöglicht Clients über einen Webbrowser
den Zugriff auf Dateien, die auf dem Cluster gespeichert sind.
l
FTP: Ermöglicht einem Client, der mit einem FTP-Clientprogramm ausgestattet ist,
über das FTP-Protokoll den Zugriff auf Dateien, die auf dem Cluster gespeichert sind.
SMB
OneFS enthält einen konfigurierbaren SMB-Service, mit dem SMB-Freigaben erstellt und
gemanagt werden können. SMB-Freigaben bieten Windows-Clients Netzwerkzugriff auf
die Dateisystemressourcen des Clusters. Sie können Benutzern und Gruppen
Berechtigungen für die Ausführung von Vorgängen wie Lesen, Schreiben und Festlegen
von Zugriffsberechtigungen auf SMB-Freigaben gewähren.
Das Verzeichnis /ifs ist als SMB-Freigabe konfiguriert und ist standardmäßig aktiviert.
OneFS unterstützt Benutzer- und anonyme Sicherheitsmodi. Wenn der
Benutzersicherheitsmodus aktiviert ist, müssen Benutzer, die von einem SMB-Client auf
eine Freigabe zugreifen, einen gültigen Benutzernamen mit ordnungsgemäßen
Anmeldedaten angeben.
Das SMB-Protokoll verwendet SIDs (Sicherheitsidentifikatoren) als Autorisierungsdaten.
Alle Identitäten werden während des Abrufens in SIDs konvertiert und wieder in ihre
Darstellungsform auf der Festplatte zurückkonvertiert, bevor sie auf dem Cluster
gespeichert werden.
Wenn eine Datei oder ein Verzeichnis erstellt wird, prüft OneFS die ACL des
übergeordneten Verzeichnisses. Wenn die ACL vererbbare ACEs enthält, wird eine neue
370
Dateifreigabe
ACL anhand dieser ACEs erzeugt. Andernfalls erstellt OneFS eine ACL anhand der
kombinierten Datei- und Verzeichniserstellungsmaske sowie der
Erstellungsmoduseinstellungen.
OneFS unterstützt die folgenden SMB-Clients:
SMB-Version
Unterstützte Betriebssysteme
1.0
Windows 2000 oder höher
Windows XP oder höher
Mac OS X 10.5 oder höher
2.0
Windows Vista oder höher
Windows Server 2008 oder höher
Mac OS X 10.9 oder höher
2.1
Windows 7 oder höher
Windows Server 2008 R2 oder höher
3.0 (nur Multichannel) Windows 8 oder höher
Windows Server 2012 oder höher
SMB-Freigaben in Zugriffszonen
Sie können SMB-Freigaben innerhalb von Zugriffszonen erstellen und managen.
Sie können Zugriffszonen erstellen, die den Speicher auf dem EMC Isilon-Cluster in
mehrere virtuelle Container partitionieren. Zugriffszonen unterstützen alle
Konfigurationseinstellungen für die Authentifizierung sowie
Identitätsmanagementservices auf dem Cluster, sodass Sie auf Zonenbasis
Authentifizierungsanbieter konfigurieren und SMB-Freigaben bereitstellen können. Wenn
Sie eine Zugriffszone erstellen, wird automatisch ein lokaler Anbieter erstellt, der es
Ihnen ermöglicht, jede Zugriffszone mit einer Liste lokaler Benutzer und Gruppen zu
konfigurieren. Sie können die Authentifizierung auch in jeder Zugriffszone von einem
anderen Active Directory-Anbieter durchführen lassen und Sie können den Datenzugriff
steuern, indem Sie eingehende Verbindungen zur Zugriffszone von einer bestimmten IPAdresse in einem Pool lenken. Durch die Verknüpfung einer Zugriffszone mit einem IPAdressenpool wird die Authentifizierung in der zugehörigen Zugriffszone eingeschränkt
und die Anzahl der verfügbaren und zugänglichen SMB-Freigaben wird verringert.
Die folgende Liste enthält einige Beispiele, wie das SMB-Management mit Zugriffszonen
vereinfacht werden kann:
l
Sie können mehrere SMB-Server, wie Windows-Dateiserver oder NetApp-Filer, auf ein
einziges Isilon-Cluster migrieren. Sie können dann separate Zugriffszonen für jeden
SMB-Server konfigurieren.
l
Sie können jede Zugriffszone mit einem eindeutigen Satz von SMB-Freigabenamen
konfigurieren, die nicht mit anderen Freigabenamen in anderen Zugriffszonen
kollidieren, und anschließend jede Zugriffszone einer anderen Active DirectoryDomain hinzufügen.
l
Sie können die Anzahl der zu managenden verfügbaren und zugänglichen Freigaben
reduzieren, indem Sie einen IP-Adressenpool mit einer Zugriffszone verknüpfen, um
die Authentifizierung auf die Zone zu beschränken.
l
Sie können die für alle Freigaben in einer Zugriffszone geltenden
Standardeinstellungen der SMB-Freigabe konfigurieren.
SMB-Freigaben in Zugriffszonen
371
Dateifreigabe
Das Isilon-Cluster umfasst eine integrierte Zugriffszone mit der Bezeichnung „System“, in
der Sie alle Aspekte des Clusters und anderer Zugriffszonen managen. Wenn Sie beim
Management von SMB-Freigaben keine Zugriffszone angeben, verwendet OneFS
standardmäßig die Zone „System“.
SMB Multichannel
SMB Multichannel unterstützt die Einrichtung einer einziger SMB-Sitzung über mehrere
Netzwerkverbindungen.
SMB Multichannel ist eine Funktion des SMB 3.0-Protokolls und bietet die folgende
Funktionen:
Gesteigerter Durchsatz
OneFS kann mithilfe mehrerer Verbindungen zu einem Client über
Hochgeschwindigkeitsnetzwerkadapter oder über mehrere Netzwerkadapter mehr
Daten übertragen.
Verbindungsfehlertoleranz
Wenn eine SMB Multichannel-Sitzung über mehrere Netzwerkverbindungen
hergestellt wird, geht die Sitzung nicht verloren, wenn eine der Verbindungen einen
Netzwerkfehler aufweist, sodass der Client weiter funktioniert.
Automatische Erkennung
SMB Multichannel erkennt automatisch unterstützte Hardwarekonfigurationen mit
mehreren verfügbaren Netzwerkpfaden auf dem Client und verhandelt über mehrere
Netzwerkverbindungen eine Sitzung und richtet diese ein. Sie müssen keine
Komponenten, Rollen, Rollenservices oder Funktionen installieren.
SMB Multichannel-Anforderungen
Die Software- und NIC-Konfigurationsbedingungen müssen erfüllt werden, damit SMB
Multichannel auf dem EMC Isilon-Cluster unterstützt wird.
OneFS kann SMB Multichannel nur dann unterstützen, wenn die folgenden
Softwareanforderungen erfüllt sind:
l
Windows Server 2012, 2012 R2 oder Windows 8, 8.1-Clients
l
SMB Multichannel muss sowohl auf dem EMC Isilon-Cluster als auch auf dem
Windows-Clientcomputer aktiviert sein. Auf dem Isilon-Cluster erfolgt die Aktivierung
standardmäßig.
SMB Multichannel stellt eine einzige SMB-Sitzung über mehrere Netzwerkverbindungen
nur auf unterstützten NIC-Konfigurationen her. SMB Multichannel erfordert mindestens
eine der folgenden NIC-Konfigurationen auf dem Clientcomputer:
l
Zwei oder mehr Netzwerkschnittstellenkarten.
l
Eine oder mehrere Netzwerkschnittstellenkarten, die RSS (Receive Side Scaling)
unterstützen.
l
Eine oder mehrere Netzwerkschnittstellenkarten, die mit Linkzusammenfassung
konfiguriert sind. Mit der Linkzusammenfassung können Sie die Bandbreite von
mehreren NICs auf einem Node in einer einzigen logischen Schnittstelle verbinden.
Von SMB Multichannel unterstützte clientseitige NIC-Konfigurationen
SMB Multichannel erkennt automatisch unterstützte Hardwarekonfigurationen mit
mehreren verfügbaren Netzwerkpfaden auf dem Client.
Jeder Node auf dem EMC Isilon-Cluster verfügt über mindestens eine RSS-fähige
Netzwerkschnittstellenkarte (NIC). Ihre clientseitige NIC-Konfiguration legt fest, wie SMB
Multichannel gleichzeitige Netzwerkverbindungen pro SMB-Sitzung erstellt.
372
Dateifreigabe
Clientseitige NICKonfiguration
Beschreibung
Einzige RSS-fähige
NIC
SMB Multichannel stellt über die NIC maximal vier Netzwerkverbindungen
zum Isilon-Cluster her. Die Verbindungen sind eher über mehrere CPUKerne verteilt, wodurch sich die Wahrscheinlichkeit von
Performanceengpässen verringert und die Geschwindigkeit der NIC
maximal ausgenutzt wird.
Mehrere NICs
Wenn die NICs RSS-fähig sind, stellt SMB Multichannel über jede NIC
maximal vier Netzwerkverbindungen zum Isilon-Cluster her. Wenn die
clientseitigen NICs nicht RSS-fähig sind, stellt SMB Multichannel über jede
NIC jeweils eine Netzwerkverbindung zum Isilon-Cluster her. Beide
Konfigurationen ermöglichen es SMB Multichannel, die kombinierte
Bandbreite von mehreren NICs zu nutzen und Verbindungsfehlertoleranz
zu bieten, wenn eine Verbindung oder eine NIC ausfällt.
Hinweis
SMB Multichannel kann maximal acht gleichzeitige Netzwerkverbindungen
pro Sitzung herstellen. In einer Konfiguration mit mehreren NICs begrenzt
dies möglicherweise die Anzahl an zulässigen Verbindungen pro NIC. Wenn
beispielsweise die Konfiguration drei RSS-fähige NICs umfasst, stellt SMB
Multichannel unter Umständen drei Verbindungen über die erste NIC, drei
Verbindungen über die zweite NIC und zwei Verbindungen über die dritte
NIC her.
Aggregierte NICs
SMB Multichannel stellt mehrere Netzwerkverbindungen zum IsilonCluster über aggregierte NICs her, wodurch ausgeglichene Verbindungen
über CPU-Kerne, eine effektive Auslastung der kombinierten Bandbreite
und Verbindungsfehlertoleranz erzielt werden.
Hinweis
Die aggregierte NIC-Konfiguration bietet grundsätzlich NIC-Fehlertoleranz,
die nicht von SMB abhängig ist.
SMB-Freigabemanagement mithilfe der Microsoft Management Console (MMC)
OneFS unterstützt das Snap-in „Freigegebene Ordner“ für die Microsoft Management
Console (MMC), mit dem SMB-Freigaben auf dem EMC Isilon-Cluster mithilfe des MMCTools gemanagt werden können.
In der Regel melden Sie sich bei der Zone des globalen Systems über die
Webverwaltungsschnittstelle oder die Befehlszeilenoberfläche an, um Freigaben zu
managen und zu konfigurieren. Wenn Sie Zugriffszonen konfigurieren, können Sie
mithilfe des MMC-Snap-in „Freigegebene Ordner“ auf eine Zone zugreifen, um alle
Freigaben in dieser Zone direkt zu managen.
Sie können mithilfe des MMC-Snap-in „Freigegebene Ordner“ eine Verbindung mit einem
Isilon-Node herstellen und die folgenden SMB-Freigabemanagementaufgaben ausführen:
l
Erstellen und Löschen von freigegebenen Ordnern
l
Konfigurieren von Berechtigungen für den Zugriff auf eine SMB-Freigabe
l
Anzeigen einer Liste aktiver SMB-Sitzungen
l
Schließen offener SMB-Sitzungen
l
Anzeigen einer Liste offener Dateien
SMB-Freigabemanagement mithilfe der Microsoft Management Console (MMC)
373
Dateifreigabe
l
Schließen geöffneter Dateien
Wenn Sie mithilfe des MMC-Snap-in „Freigegebene Ordner“ auf eine Zone zugreifen,
können Sie alle dieser Zone zugewiesenen SMB-Freigaben anzeigen und managen. Sie
können jedoch nur aktive SMB-Sitzungen und offene Dateien auf dem jeweiligen Node
anzeigen, auf den Sie in dieser Zone zugreifen. Änderungen, die Sie mithilfe des MMCSnap-in „Freigegebene Ordner“ an Freigaben vornehmen, werden im gesamten Cluster
weitergegeben.
MMC-Verbindungsanforderungen
Sie können mithilfe des MMC-Snap-in „Freigegebene Ordner“ eine Verbindung mit einem
EMC Isilon-Cluster herstellen, wenn Sie die Zugriffsanforderungen erfüllen.
Die folgenden Bedingungen müssen erfüllt werden, um eine Verbindung mithilfe des
MMC-Snap-in „Freigegebene Ordner“ herstellen zu können:
l
Sie müssen die Microsoft Management Console (MMC) auf einer Windows
Workstation ausführen, die mit der Domain eines auf dem Cluster konfigurierten ADAnbieters (Active Directory) verknüpft ist.
l
Sie müssen Mitglied der lokalen <cluster>\Administratorgruppe sein.
Hinweis
Rollenbasierte Zugriffskontrollberechtigungen (Role-based access control, RBAC)
gelten für die MMC nicht. Eine Rolle mit SMB-Berechtigungen ist für den Zugriff nicht
ausreichend.
l
Sie müssen sich bei einer Windows Workstation als Active Directory-Benutzer
anmelden, der Mitglied der lokalen <cluster>\Administratorgruppe ist.
Symbolische Links in SMB
Mit OneFS können SMB2-Clients nahtlos auf symbolische Links zugreifen.
In einer SMB-Freigabe ist ein symbolischer Link (auch Symlink oder Softlink) eine Datei,
die einen Pfad zu einer Zieldatei oder einem Zielverzeichnis enthält. Symbolische Links
sind für Anwendungen, die auf den SMB-Clients ausgeführt werden, transparent und
funktionieren genauso wie Dateien und Verzeichnisse. Eine symbolische Verknüpfung,
die auf eine Netzwerkdatei oder ein Netzwerkverzeichnis verweist, das sich nicht im Pfad
der aktiven SMB-Sitzung befindet, wird u. U. als Wide- oder Remotelink bezeichnet.
OneFS stellt symbolische Links durch das SMB-Protokoll bereit und ermöglicht den SMBClients, die Links aufzulösen, statt sich darauf zu verlassen, dass OneFS die Links für die
Clients auflöst. Zur Querung eines symbolischen Links oder eines Wide-Links muss der
SMB-Client gegenüber den SMB-Freigaben authentifiziert werden, durch die der Link
verfolgt werden kann. Wenn der SMB-Client keine Berechtigung zum Zugriff auf die
Freigabe hat, wird der Zugriff auf das Ziel verweigert und Windows ruft den Benutzer nicht
zur Eingabe der Benutzeranmeldedaten auf.
Sie können symbolische Links mithilfe des Windows-Befehls mklink von einem SMBClient aus erstellen. Sie können symbolische Links auf Dateien mithilfe des WindowsBefehls del löschen. Wenn ein symbolischer Link erstellt wird, wird er als Dateilink oder
Verzeichnislink gekennzeichnet. Sobald der Link festgelegt ist, kann die Kennzeichnung
nicht mehr geändert werden. Pfade für symbolische Links können als relative oder
absolute Pfade formatiert werden.
Unterstützung für symbolische Links und Wide-Links werden vom SMB-Client aktiviert.
Die spezifische Konfiguration hängt vom Typ und von der Version des Clients ab.
Im folgenden Beispiel unterstützt Windows die folgenden Linktypen:
374
Dateifreigabe
l
Lokal zu lokal
l
Lokal zu remote
l
Remote zu lokal
l
Remote zu remote
Um Windows-SMB-Clients die Querung jedes Typs symbolischer Verknüpfungen zu
ermöglichen, muss der Typ auf dem Client aktiviert sein. Mit dem folgenden WindowsBefehl werden alle vier Linktypen aktiviert:
fsutil behavior set SymlinkEvaluation L2L:1 R2R:1 L2R:1 R2L:1
In einem anderen Beispiel müssen die folgenden Optionen in der SambaKonfigurationsdatei (smb.conf) aktiviert werden, damit Samba-Clients symbolische
Links und Wide-Links queren können:
l
follow symlinks=yes
l
wide links=yes
Weitere Informationen finden Sie in den Konfigurationsinformationen zu symbolischen
Links für den jeweiligen SMB-Client und die jeweilige Version.
Anonymer Zugriff auf SMB-Shares
Sie können anonymen Zugriff auf SMB-Shares konfigurieren, indem Sie den lokalen
Guest-Benutzer aktivieren und die Verkörperung des Guest-Benutzers zulassen.
Wenn Sie z. B. Dateien wie ausführbare Browserdateien oder andere Daten gespeichert
haben, die im Internet öffentlich sind, ermöglicht ein anonymer Zugriff allen Benutzern
den Zugriff auf SMB-Shares ohne Authentifizierung.
NFS
OneFS bietet einen NFS-Server, sodass Sie Dateien auf dem Cluster mit NFS-Clients
gemeinsam nutzen können, die den Spezifikationen RFC1813 (NFSv3) und RFC3530
(NFSv4) entsprechen.
In OneFS wird der NFS-Server vollständig als Multi-Thread-Service optimiert, der im
Benutzerspeicherplatz anstatt im Kernel ausgeführt wird. Diese Architektur führt einen
Lastenausgleich für den NFS-Service über alle Nodes des Clusters hinweg aus und bietet
so die Stabilität und Skalierbarkeit, die erforderlich sind, um bis zu Tausende von
Verbindungen zwischen mehreren NFS-Clients zu managen.
NFS-Mounts werden schnell ausgeführt und aktualisiert und der Server überwacht
ständig die wechselnden Anforderungen an NFS-Services und nimmt über alle Nodes
Anpassungen vor, um eine kontinuierliche, zuverlässige Performance zu ermöglichen.
OneFS verwendet einen integrierten Prozessplaner und ermöglicht so eine angemessene
Zuweisung von Node-Ressourcen, damit kein Client mehr als seinen zugewiesenen Anteil
der NFS-Services in Anspruch nehmen kann.
Der NFS-Server unterstützt zudem Zugriffszonen, die in OneFS definiert sind, sodass
Clients nur auf die Exporte zugreifen können, die für die jeweilige Zone geeignet sind.
Wenn beispielsweise NFS-Exporte für Zone 2 angegeben sind, können nur Clients, die
Zone 2 zugewiesen sind, auf diese Exporte zugreifen.
Um Clientverbindungen zu vereinfachen, insbesondere für Exporte mit langen
Pfadnamen, unterstützt der NFS-Server auch Aliasnamen, die Verknüpfungen zu den
Mount-Punkten darstellen, die Clients direkt angeben können.
OneFS unterstützt NIS- und LDAP-Authentifizierungsanbieter für sicheres NFS-Filesharing.
Anonymer Zugriff auf SMB-Shares
375
Dateifreigabe
NFS-Exporte
Sie können einzelne NFS-Exportregeln managen, die für NFS-Clients verfügbare MountPunkte (Pfade) definieren, wie die Performance des Servers mit diesen Clients sein soll.
In OneFS können Sie NFS-Exporte erstellen, löschen, auflisten, anzeigen, bearbeiten und
neu laden.
NFS-Exportregeln erkennen Zonen. Jeder Export ist mit einer Zone verknüpft, kann nur von
Clients in dieser Zone gemountet werden und nur Pfade unter der Zonen-Root preisgeben.
Standardmäßig gilt jeder Exportbefehl für die aktuelle Zeitzone des Clients.
Jede Regel muss über mindestens einen Pfad (Mount-Punkt) verfügen und kann
zusätzliche Pfade enthalten. Sie können auch festlegen, dass alle Unterverzeichnisse des
angegebenen Pfads oder der Pfade mountfähig sind. Ansonsten werden nur die
angegebenen Pfade exportiert und untergeordnete Verzeichnisse können nicht
gemountet werden.
Eine Exportregel kann einen bestimmten Satz Clients angeben, wodurch Sie den Zugriff
auf bestimmte Mount-Punkte begrenzen oder einen einmaligen Satz Optionen auf diese
Clients anwenden können. Wenn die Regel keine Clients angibt, gilt die Regel für alle
Clients, die sich mit dem Server verbinden. Wenn die Regel Clients angibt, dann gilt diese
Regel nur für diese Clients.
NFS-Aliasse
Sie können Aliasse als Verknüpfungen für Verzeichnispfadnamen in OneFS erstellen und
managen. Wenn diese Pfadnamen als NFS-Exporte definiert werden, können NFS-Clients
die Aliasse als NFS-Mount-Punkte festlegen.
NFS-Aliasse sind darauf ausgelegt, funktionale Parität mit SMB-Share-Namen im Kontext
von NFS zu bieten. Jedes Alias ordnet einen eindeutigen Namen zu einem Pfad in dem
Dateisystem zu. NFS-Clients können den Aliasnamen dann anstelle des Pfads beim
Mounten verwenden.
Aliasse müssen als Unix-Pfadnamen der höchsten Ebene gebildet werden und einen
einzigen Schrägstrich gefolgt vom Namen enthalten. Sie können z. B. ein Alias
namens /q4 erstellen, das zu /ifs/data/finance/accounting/winter2013
zugeordnet ist (einem Pfad in OneFS). Ein NFS-Client konnte dieses Verzeichnis auf eine
der folgenden Methoden mounten:
mount cluster_ip:/q4
mount cluster_ip:/ifs/data/finance/accounting/winter2013
Aliasse und Exporte sind vollständig unabhängig. Sie können ein Alias erstellen, ohne es
mit einem NFS-Export zu verknüpfen. Entsprechend erfordert ein NFS-Export kein Alias.
Jedes Alias muss auf einen gültigen Pfad in dem Dateisystem verweisen. Während dieser
Pfad absolut ist, muss er auf einen Standort unter dem Zonen-Root-Verzeichnis
verweisen (/ifs in der Systemzone). Wenn das Alias auf einen Pfad verweist, der in dem
Dateisystem nicht vorhanden ist, wird jedem Client, der versucht, das Alias zu mounten,
auf gleiche Weise abgewiesen wie bei dem Versuch, einen ungültigen vollständigen
Pfadnamen zu mounten.
NFS-Aliasse erkennen Zonen. Standardmäßig gilt ein Alias für die aktuelle Zugriffszone
des Clients. Um dies zu ändern, können Sie eine alternative Zugriffszone als Teil der
Erstellung oder Änderung eines Alias angeben.
376
Dateifreigabe
Jedes Alias kann nur von Clients in dieser Zone eingesetzt werden und nur für Pfade
unterhalb der Zonen-Root gelten. Aliasnamen sind pro Zone eindeutig, aber derselbe
Name kann in verschiedenen Zonen verwendet werden, z. B. /home.
Wenn Sie ein Alias in der Webverwaltungsschnittstelle erstellen, zeigt die Aliasliste den
Status des Alias an. In ähnlicher Weise können Sie mit der Option --check des Befehls
isi nfs aliases den Status eines NFS-Alias überprüfen. Der Status kann einen
intakten Pfad, einen ungültigen Pfad, einen Namenskonflikt, keinen Export oder einen
nicht gefundenen Pfad bedeuten.
NFS-Protokolldateien
OneFS schreibt Protokollmeldungen im Zusammenhang mit NFS-Events in einen Satz
Dateien in /var/log.
Mit der Protokollleveloption können Sie angeben, wie detailliert Protokollmeldungen in
die Protokolldateien ausgegeben werden. In der folgenden Tabelle werden die
Protokolldateien im Zusammenhang mit NFS beschrieben.
Protokolldatei
Beschreibung
nfs.log
Primäre NFS-Serverfunktion (v3, v4, Mount)
rpc_lockd.log
NFSv3-Sperrevents über das NLM-Protokoll
rpc_statd.log
NFSv3-Neustarterkennung über das NSM-Protokoll
isi_netgroup_d.log
Netzwerkgruppenauflösung und Caching
HTTP und HTTPS
OneFS enthält einen konfigurierbaren HTTP-Service, mit dem Dateien angefordert werden,
die auf dem Cluster gespeichert sind. Außerdem wird der Service für die Interaktion mit
der Webverwaltungsschnittstelle verwendet.
OneFS unterstützt sowohl HTTP als auch dessen sichere Variante HTTPS. Jeder Node im
Cluster führt eine Instanz des Apache-HTTP-Webservers aus, um HTTP-Zugriff
bereitzustellen. Sie können den HTTP-Service so konfigurieren, dass er in verschiedenen
Modi ausgeführt wird.
Für die Dateiübertragung werden HTTP und HTTPS unterstützt, für Plattform-API-Aufrufe
wird jedoch nur HTTPS unterstützt. Die reine HTTPS-Anforderung gilt auch für die
Webverwaltungsschnittstelle. Darüber hinaus unterstützt OneFS eine Form des
webbasierten Protokolls DAV (WebDAV), mit dem Benutzer Dateien auf
Remotewebservern ändern und managen können. OneFS führt Distributed Authoring
durch, unterstützt jedoch keine Versionierung und führt keine Sicherheitsprüfungen
durch. Sie können DAV in der Webverwaltungsschnittstelle aktivieren.
FTP
OneFS bietet mit vsftpd einen sicheren FTP-Service, wobei vsftpd für Very Secure FTP
Daemon steht. Diesen können Sie für Standard-FTP- und FTPS-Dateiübertragungen
konfigurieren.
NFS-Protokolldateien
377
Dateifreigabe
Umgebungen mit verschiedenen Protokollen
Das Verzeichnis /ifs ist das Stammverzeichnis für alle Dateisystemdaten im Cluster und
dient als SMB-Freigabe, NFS-Export und als Dokumentenstammverzeichnis. Sie können
zusätzliche Freigaben und Exporte in der Verzeichnisstruktur /ifs erstellen. Sie können
Ihr OneFS-Cluster so konfigurieren, dass nur SMB oder NFS verwendet wird. Sie können
gleichfalls HTTP, FTP und SSH aktivieren.
Zugriffsrechte werden konsistent über Zugriffsprotokolle auf allen Sicherheitsmodellen
durchgesetzt. Einem Benutzer werden die gleichen Rechte an einer Datei gewährt oder
verweigert, unabhängig davon, ob er SMB oder NFS verwendet. Cluster, die auf OneFS
ausgeführt werden, unterstützen globale Policy-Einstellungen, die es ermöglichen, die
Standard-ACL und UNIX-Berechtigungseinstellungen anzupassen.
OneFS ist mit Standard-UNIX-Berechtigungen in der Dateistruktur konfiguriert. Mithilfe
von Windows Explorer oder OneFS-Administrationstools können Sie jeder beliebigen
Datei oder jedem Verzeichnis eine ACL zuordnen. Zusätzlich zu WindowsDomainbenutzern und -gruppen können ACLs in OneFS lokale, NIS- und LDAP-Benutzer
und -Gruppen enthalten. Wenn einer Datei eine ACL zugeordnet ist, werden die
Modusbits nicht mehr durchgesetzt und bestehen nur noch als Schätzung der
tatsächlichen Berechtigungen.
Hinweis
Es wird empfohlen, dass Sie ACL- und UNIX-Berechtigungen nur dann konfigurieren, wenn
Sie eingehende Kenntnisse bezüglich ihrer Interaktion haben.
Schreibcaching mit SmartCache
Schreibcaching beschleunigt den Prozess des Schreibens von Daten in das Cluster.
OneFS umfasst die Schreibcachingfunktion SmartCache, die standardmäßig für alle
Dateien und Verzeichnisse aktiviert ist.
Wenn Schreibcaching aktiviert ist, schreibt OneFS die Daten in einen Write-Back-Cache,
anstatt sie direkt auf die Festplatte zu schreiben. OneFS kann die Daten dann auf die
Festplatte schreiben, wenn dies am günstigsten ist.
Hinweis
Es wird empfohlen, dass Sie Schreibcaching aktiviert lassen. Sie sollten Schreibcaching
ebenfalls für alle Dateipool-Policies aktivieren.
OneFS interpretiert Schreibvorgänge in das Cluster je nach Clientspezifikation als
synchrone oder asynchrone Schreibvorgänge. Die Auswirkungen und Risiken von
Schreibcaching hängen davon ab, welche Protokolle Clients für Schreibvorgänge in das
Cluster verwenden, und ob die Schreibvorgänge als synchron oder asynchron interpretiert
werden. Wenn Sie Schreibcaching deaktivieren, werden Clientspezifikationen ignoriert
und alle Schreibvorgänge werden synchron ausgeführt.
In der folgenden Tabelle wird erläutert, wie Clientspezifikationen gemäß Protokoll
interpretiert werden.
378
Protokoll Synchron
Asynchron
NFS
Das stabile Feld wird auf unstable
gesetzt.
Das stabile Feld wird auf data_sync
oder file_sync gesetzt.
Dateifreigabe
Protokoll Synchron
Asynchron
SMB
Das Flag write-through wurde nicht
angewendet.
Das Flag write-through wurde
angewendet.
Schreibcaching für asynchrone Schreibvorgänge
Asynchrones Schreiben mit Schreibcaching ist die schnellste Methode für das Schreiben
von Daten in das Cluster.
Das Schreibcaching für asynchrone Schreibvorgänge erfordert weniger Clusterressourcen
als das Schreibcaching für synchrone Schreibvorgänge und verbessert die allgemeine
Clusterperformance für die meisten Workflows. Es gibt jedoch bei asynchronen
Schreibvorgänge auch die Gefahr eines Datenverlusts.
Die folgende Tabelle beschreibt das Risiko von Datenverlusten für jedes Protokoll, wenn
Schreibcaching für asynchrone Schreibvorgänge aktiviert ist:
Protokoll Risiko
NFS
Wenn ein Node ausfällt, gehen keine Daten verloren, es sei denn, es tritt der
unwahrscheinliche Fall ein, dass ein Client dieses Node ebenfalls ausfällt, bevor die
Verbindung mit dem Cluster wiederhergestellt werden kann. In diesem Fall gehen
asynchrone Schreibvorgänge, die nicht auf die Festplatte geschrieben wurden,
verloren.
SMB
Wenn ein Node ausfällt, gehen asynchrone Schreibvorgänge, die nicht auf die
Festplatte geschrieben wurden, verloren.
Unabhängig von dem für Schreibvorgänge verwendeten Protokoll wird empfohlen,
Schreibcaching nicht zu deaktivieren. Wenn Sie asynchrone Schreibvorgänge für das
Cluster verwenden und Ihnen das Risiko eines Datenverlusts zu groß erscheint, empfiehlt
es sich, die Clients für die Verwendung synchroner Schreibvorgänge zu konfigurieren,
anstatt das Schreibcaching zu deaktivieren.
Schreibcaching für synchrone Schreibvorgänge
Schreibcaching für synchrone Schreibvorgänge kostet Clusterressourcen, einschließlich
einer geringen Menge an Speicherplatz. Obgleich nicht so schnell wie Schreibcaching mit
asynchronen Schreibvorgängen, sofern Clusterressourcen nicht extrem eingeschränkt
sind, ist das Schreibcaching mit synchronen Schreibvorgängen schneller als
Schreibvorgänge auf das Cluster ohne Schreibcaching.
Schreibcaching wirkt sich nicht auf die Integrität synchroner Schreibvorgänge aus. Wenn
ein Cluster oder ein Node ausfällt, erfolgt kein Datenverlust im Write-Back-Cache für
synchrone Schreibvorgänge.
Managen von SMB-Einstellungen
Sie können den SMB-Service aktivieren oder deaktivieren, die globalen Einstellungen für
den SMB-Service konfigurieren und die für jede Zugriffszone spezifischen
Standardeinstellungen für SMB-Freigaben konfigurieren.
Schreibcaching für asynchrone Schreibvorgänge
379
Dateifreigabe
Anzeigen von globalen SMB-Einstellungen
Sie können die globalen SMB-Einstellungen anzeigen, die für alle Nodes auf dem EMC
Isilon-Cluster angewendet werden.
Vorgehensweise
1. Führen Sie den Befehl isi smb settings global view aus.
Access Based Share Enum:
Dot Snap Accessible Child:
Dot Snap Accessible Root:
Dot Snap Visible Child:
Dot Snap Visible Root:
Enable Security Signatures:
Guest User:
Ignore Eas:
Onefs Cpu Multiplier:
Onefs Num Workers:
Require Security Signatures:
Server String:
Srv Cpu Multiplier:
Srv Num Workers:
Support Multichannel:
Support NetBIOS:
Support Smb2:
No
Yes
Yes
No
Yes
No
nobody
No
4
0
No
Isilon Server
4
0
Yes
No
Yes
Konfigurieren globaler SMB-Einstellungen
Sie können globale Einstellungen für die SMB-Dateifreigabe konfigurieren.
ACHTUNG
Eine Änderung der globalen Einstellungen für die SMB-Dateifreigabe kann zu
Funktionsausfällen führen. Beachten Sie die potenziellen Konsequenzen, bevor Sie
Änderungen an diesen Einstellungen vornehmen.
Vorgehensweise
1. Führen Sie den Befehl isi smb settings global modify aus.
Mit dem folgenden Beispielbefehl wird festgelegt, dass schreibgeschützte Dateien
nicht aus den SMB-Freigaben gelöscht werden können:
isi smb settings global modify --allow-delete-readonly=no
Aktivieren oder Deaktivieren des SMB-Services
Der SMB-Service ist standardmäßig aktiviert.
Hinweis
Sie können festlegen, ob der Service aktiviert oder deaktiviert ist, indem Sie den Befehl
isi services -l ausführen.
Vorgehensweise
1. Führen Sie den Befehl isi services aus.
Mit dem folgenden Befehl wird der SMB-Service deaktiviert:
isi services smb disable
380
Dateifreigabe
Mit dem folgenden Befehl wird der SMB-Service aktiviert:
isi services smb enable
Aktivieren oder Deaktivieren von SMB-Multichannel
SMB-Multichannel ist für mehrere gleichzeitige SMB-Sitzungen von einem WindowsClientcomputer auf einen Node in einem EMC Isilon-Cluster erforderlich. SMBMultichannel ist auf dem Isilon-Cluster standardmäßig aktiviert.
Sie können SMB-Multichannel nur über die Befehlszeilenoberfläche aktivieren oder
deaktivieren.
Vorgehensweise
Mit dem folgenden Befehl wird SMB-Multichannel auf dem EMC Isilon-Cluster
aktiviert:
isi smb settings global modify –-support-multichannel=yes
deaktiviert:
isi smb settings global modify –-support-multichannel=no
Anzeigen von Standardeinstellungen für SMB-Freigaben
Sie können die Standardeinstellungen für SMB-Freigaben anzeigen, die zu einer
bestimmten Zugriffszone gehören.
Vorgehensweise
1. Führen Sie den Befehl isi smb settings shares view aus.
Mit dem folgenden Beispielbefehl werden die Standardeinstellungen für die SMBFreigabe für „zone5“ angezeigt:
isi smb settings shares view --zone=zone5
Access Based Enumeration: No
Access Based Enumeration Root Only:
Allow Delete Readonly:
Allow Execute Always:
Change Notify:
Create Permissions:
Directory Create Mask:
Directory Create Mode:
File Create Mask:
File Create Mode:
Hide Dot Files:
Host ACL:
Impersonate Guest:
Impersonate User:
Mangle Byte Start:
Mangle Map:
Ntfs ACL Support:
No
No
No
norecurse
default acl
0700
0000
0700
0100
No
never
0XED00
0x01-0x1F:-1
Yes
381
Dateifreigabe
Oplocks: Yes
Strict Flush: Yes
Strict Locking: No
Konfigurieren von Standardeinstellungen für SMB-Freigaben
Sie können Standardeinstellungen für SMB-Freigaben für die einzelnen Zugriffszonen
konfigurieren.
Die Standardeinstellungen werden auf alle neuen Freigaben angewendet, die der
Zugriffszone hinzugefügt werden.
ACHTUNG
Wenn Sie die Standardeinstellungen ändern, werden die Änderungen auf alle
vorhandenen Freigaben in der Zugriffszone angewendet.
Vorgehensweise
1. Führen Sie den Befehl isi smb settings shares modify aus.
Mit dem folgenden Befehl wird angegeben, dass Gäste nie Zugriff auf die Freigaben in
„zone5“ erhalten:
isi smb settings global modify --zone=zone5 --impersonateguest=never
SMB-Multichannel ist für mehrere gleichzeitige SMB-Sitzungen von einem WindowsClientcomputer auf einen Node in einem EMC Isilon-Cluster erforderlich. SMBMultichannel ist auf dem Isilon-Cluster standardmäßig aktiviert.
Sie können SMB-Multichannel nur über die Befehlszeilenoberfläche aktivieren oder
deaktivieren.
Vorgehensweise
aktiviert:
isi smb settings global modify –-support-multichannel=yes
deaktiviert:
isi smb settings global modify –-support-multichannel=no
Managen von SMB-Freigaben
Sie können die Regeln sowie andere Einstellungen konfigurieren, die die Interaktion
zwischen dem Windows-Netzwerk und einzelnen SMB-Freigaben im Cluster steuern.
OneFS unterstützt die variablen Erweiterungen %U, %D, %Z, %L, %0, %1, %2 und %3
und automatisiertes Provisioning von Benutzerstammverzeichnissen.
Sie können die Benutzer und Gruppen konfigurieren, die mit einer SMB-Freigabe
verknüpft sind, und deren Berechtigungen auf Freigabelevel anzeigen oder ändern.
382
Dateifreigabe
Hinweis
Es wird empfohlen, dass Sie erweiterte SMB-Freigabeeinstellungen nur dann
konfigurieren, wenn Sie ein solides Grundwissen über das SMB-Protokoll haben.
Erstellen einer SMB-Freigabe
Wenn Sie eine SMB-Freigabe erstellen, können Sie die Standardberechtigungen sowie
Performance- und Zugriffseinstellungen außer Kraft setzen. Sie können das SMBStammverzeichnis-Provisioning konfigurieren, indem Sie Erweiterungsvariablen in den
Freigabepfad aufnehmen, sodass Benutzer automatisch erstellt und zu ihren eigenen
Stammverzeichnissen umgeleitet werden.
Bevor Sie beginnen
Sie müssen einen Pfad für die SMB-Freigabe angeben. Freigaben gelten nur für
bestimmte Zugriffszonen und der Freigabepfad muss unter dem Zonenpfad vorhanden
sein. Sie können einen vorhandenen Pfad angeben oder bei der Erstellung der Freigabe
einen Pfad erstellen. Erstellen Sie Zugriffszonen, bevor Sie SMB-Freigaben erstellen.
Sie können eine oder mehrere Erweiterungsvariablen im Verzeichnispfad angeben. Die
Flags für die Parameter --allow-variable-expansion und --auto-createdirectory müssen jedoch auf „true“ gesetzt werden. Wenn Sie diese Einstellungen
nicht angeben, wird die Zeichenfolge für die Erweiterungsvariable vom System
buchstäblich interpretiert.
Vorgehensweise
1. Führen Sie den Befehl isi smb shares create aus.
Mit den folgenden Befehlen werden ein Verzeichnis unter /ifs/zone5/data/
share1 und eine Freigabe namens „share1“ unter diesem Pfad erstellt. Außerdem
wird die Freigabe der vorhandenen Zugriffszone „zone5“ hinzugefügt:
mkdir /ifs/data/share1 isi smb shares create \
--name=share1 --path=/ifs/data/share1 --zone=zone5\
--browsable=true --description="Example Share 1"
Hinweis
Freigabenamen können bis zu 80 Zeichen enthalten. Sie dürfen nur alphanumerische
Zeichen, Bindestriche und Leerzeichen umfassen. Wenn die Clusterzeichencodierung
außerdem nicht auf UTF-8 festgelegt ist, wird bei SMB-Freigabenamen zwischen Großund Kleinschreibung unterschieden.
Mit dem folgenden Befehl wird ein Verzeichnis unter /ifs/data/share2 erstellt
und in eine SMB-Freigabe konvertiert. Außerdem wird die Freigabe der
Standardsystemzone hinzugefügt, da keine Zone angegeben ist:
isi smb shares create share2 --path=/ifs/data/share2 \
--create-path --browsable=true --description="Example Share 2"
Mit dem folgenden Befehl wird ein Verzeichnis unter /ifs/data/share3 erstellt
und dieses in eine SMB-Freigabe konvertiert. Der Befehl wird außerdem auf eine ACL
auf der Freigabe angewendet:
isi smb shares create share3 --path=/ifs/data/share3 \
--create-path --browsable=true --description="Example Share 3" \
--inheritable-path-acl=true --create-permissions="default acl"
Erstellen einer SMB-Freigabe
383
Dateifreigabe
Hinweis
Wenn keine Standard-ACL konfiguriert ist und das übergeordnete Verzeichnis keine
übernehmbare ACL enthält, wird die ACL für die Freigabe mit den Einstellungen
directory-create-mask und directory-create-mode erstellt.
Mit dem folgenden Befehl wird das Verzeichnis /ifs/data/share4 erstellt und in
eine nicht durchsuchbare SMB-Freigabe konvertiert. Des Weiteren wird mit diesem
Befehl die Verwendung von Modusbits für die Berechtigungskontrolle konfiguriert:
isi smb shares create --name=share4 --path=/ifs/data/share4 \
--create-path --browsable=false --description="Example Share 4" \
--inheritable-path-acl=true --create-permissions="use create mask
\
and mode"
2. Mit dem folgenden Befehl werden auf Basis der NetBIOS-Domain und des
Benutzernamens des Benutzers Stammverzeichnisse für jeden Benutzer erstellt, der
eine Verbindung zu der Freigabe herstellt.
Wenn sich in diesem Beispiel ein Benutzer in einer Domain mit dem Namen DOMAIN
befindet und sein Benutzername „user_1“ lautet, wird der Pfad /ifs/home/%D/%U
zu /ifs/home/DOMAIN/user_1 erweitert.
isi smb shares modify HOMEDIR --path=/ifs/home/%D/%U \
--allow-variable-expansion=yes --auto-create-directory=yes
Mit dem folgenden Befehl wird eine Freigabe namens „HOMEDIR“ mit dem
vorhandenen Pfad /ifs/share/home erstellt:
isi smb shares create HOMEDIR /ifs/share/home
3. Führen Sie den Befehl isi smb shares permission modify aus, um den
Zugriff auf die Freigabe zu aktivieren.
Mit dem folgenden Befehl werden dem bekannten Benutzer „Everyone“ volle
Berechtigungen für die Freigabe „HOMEDIR“ gewährt:
isi smb shares permission modify HOMEDIR --wellknown Everyone \
--permission-type allow --permission full
Ändern einer SMB-Freigabe
Sie können die Einstellungen einzelner SMB-Freigaben ändern.
Bevor Sie beginnen
SMB-Freigaben sind zonenspezifisch. Wenn Sie eine Freigabe ändern, müssen Sie die
Zugriffszone ermitteln, zu der die Freigabe gehört. Wenn Sie keine Zugriffszone ermitteln,
wählt OneFS standardmäßig die Systemzone aus. Wenn die Freigabe, die Sie ändern
möchten, denselben Namen hat wie eine Freigabe in der Systemzone, wird die Freigabe
in der Systemzone geändert.
Vorgehensweise
1. Führen Sie den Befehl isi smb shares modify aus.
Im folgenden Beispiel verweist der Pfad für „share1“ in „zone5“ auf /ifs/zone5/
data. Mit den folgenden Befehlen wird den Dateipfad von „share1“ in /ifs/
384
Dateifreigabe
zone5/etc geändert, bei dem es sich um ein anderes Verzeichnis im Pfad für
„zone5“ handelt:
isi smb shares modify share1 --zone=zone5 \
--path=/ifs/zone5/etc
Hinweis
Wenn die Clusterzeichencodierung nicht auf UTF-8 gesetzt ist, wird bei SMBFreigabenamen zwischen Groß- und Kleinschreibung unterschieden.
Löschen einer SMB-Freigabe
Sie können nicht mehr benötigte SMB-Freigaben löschen.
Bevor Sie beginnen
SMB-Freigaben sind zonenspezifisch. Wenn Sie eine Freigabe löschen, müssen Sie die
Zugriffszone ermitteln, zu der die Freigabe gehört. Wenn Sie keine Zugriffszone ermitteln,
wählt OneFS standardmäßig die Systemzone aus. Wenn die Freigabe, die Sie löschen
möchten, denselben Namen hat wie eine Freigabe in der Systemzone, wird die Freigabe
in der Systemzone gelöscht.
Wenn Sie eine SMB-Freigabe löschen, wird der Freigabepfad gelöscht, das von dieser
Freigabe referenzierte Verzeichnis ist jedoch weiterhin vorhanden. Wenn Sie eine neue
Freigabe mit demselben Pfad wie die gelöschte Freigabe erstellen, kann über die neue
Freigabe erneut auf das von der vorherigen Freigabe referenzierte Verzeichnis zugegriffen
werden.
Vorgehensweise
1. Führen Sie den Befehl isi smb shares delete aus.
Mit dem folgenden Befehl wird eine Freigabe namens „Share1“ aus der Zugriffszone
„zone-5“ gelöscht:
isi smb shares delete Share1 --zone=zone-5
2. Geben Sie in der Bestätigungsaufforderung yes ein.
Einschränken des Zugriffs auf /ifs-Freigaben für das Konto „Everyone“
Standardmäßig ist das Stammverzeichnis /ifs als SMB-Freigabe in der
Systemzugriffszone konfiguriert. Es wird empfohlen, das Konto „Everyone“ dieser
Freigabe auf einen schreibgeschützten Zugriff einzuschränken.
Vorgehensweise
1. Führen Sie den Befehl isi smb shares permission modify aus.
Im folgenden Beispiel werden die Berechtigungen für das Konto „Everyone“ in der für
das Verzeichnis /ifs konfigurierten SMB-Freigabe auf einen schreibgeschützten
Zugriff festgelegt:
isi smb shares permission modify ifs --wellknown=Everyone \
-d allow -p read
Löschen einer SMB-Freigabe
385
Dateifreigabe
2. (Optional) Überprüfen Sie die Änderung, indem Sie folgenden Befehl ausführen, um
die Berechtigungen auf der Freigabe anzuzeigen:
isi smb shares permission list ifs
Konfigurieren des anonymen Zugriffs auf eine einzelne SMB-Share
Sie können anonymen Zugriff auf Daten, die auf einer einzigen Share gespeichert sind,
durch Guest-Benutzeridentitätswechsel konfigurieren.
Vorgehensweise
1. Aktivieren Sie das Guest-Benutzerkonto in der Zugriffszone, die die gewünschte Share
enthält, indem Sie den Befehl isi auth users modify ausführen.
Mit dem folgenden Befehl wird der Guest-Benutzer in der Zugriffszone zone3 aktiviert:
isi auth users modify Guest --enabled=yes --zone=zone3
2. Legen Sie den Guest-Identitätswechsel in der Freigabe fest, zu der Sie anonymen
Zugang erlauben möchten, indem Sie den Befehl isi smb share modify
ausführen.
Mit dem folgenden Befehl wird der Guest-Identitätswechsel in einer Share namens
share1 in zone3 konfiguriert:
isi smb share modify share1 --zone=zone3 \
--impersonate-guest=always
3. Prüfen Sie, ob das Guest-Benutzerkonto berechtigt ist, auf die Share zugreifen, indem
Sie den Befehl isi smb share permission list ausführen.
Mit dem folgenden Befehl werden alle Berechtigungen für share1 in zone3 aufgeführt:
isi smb share permission list share1 --zone=zone3
Die Systemausgabe ähnelt dem folgenden Beispiel
Account
Account Type
Run as Root
Permission Type
Permission
---------------------------------------------------------------Everyone wellknown
False
allow
read
Guest
user
False
allow
full
----------------------------------------------------------------
Konfigurieren des anonymen Zugriffs auf alle SMB-Shares in einer Zugriffszone
Sie können anonymen Zugriff auf Daten, die in einer Zugriffszone gespeichert sind, durch
Guest-Benutzeridentitätswechsel konfigurieren.
Vorgehensweise
1. Aktivieren Sie das Guest-Benutzerkonto in der Zugriffszone, die die gewünschte Share
enthält, indem Sie den Befehl isi auth users modify ausführen.
Mit dem folgenden Befehl wird der Guest-Benutzer in der Zugriffszone zone3 aktiviert:
isi auth users modify Guest --enabled=yes --zone=zone3
2. Legen Sie den Guest-Identitätswechsel als Standardwert für alle Shares in der
Zugriffszone fest, indem Sie den Befehl isi smb settings share modify
ausführen.
386
Dateifreigabe
Mit dem folgenden Befehl wird der Guest-Identitätswechsel für alle Shares in zone3
konfiguriert:
isi smb settings share modify --zone=zone3 \
--impersonate-guest=always
3. Prüfen Sie, ob das Guest-Benutzerkonto berechtigt ist, auf jede Share in der
Zugriffszone zugreifen, indem Sie den Befehl isi smb share permission
list ausführen.
Mit dem folgenden Befehl werden alle Berechtigungen für share1 in zone3 aufgeführt:
isi smb share permission list share1 --zone=zone3
Die Systemausgabe ähnelt dem folgenden Beispiel
Account
Account Type
Run as Root
Permission Type
Permission
---------------------------------------------------------------Everyone wellknown
False
allow
read
Guest
user
False
allow
full
----------------------------------------------------------------
Für Benutzer, die auf diese Freigabe über FTP oder SSH zugreifen, können Sie einstellen,
dass ihr Stammverzeichnispfad immer gleich ist, egal ob sie die Verbindung über SMB
herstellen oder sich über FTP oder SSH anmelden.
Dieser Befehl veranlasst die SMB-Freigabe zur Verwendung der
Stammverzeichnisvorlage, die im Authentifizierungsanbieter des Benutzers angegeben
ist. Dieses Verfahren ist nur über die Befehlszeilenoberfläche verfügbar.
Vorgehensweise
2. Führen Sie den folgenden Befehl aus, wobei <homedir_share> der Name der SMBFreigabe ist:
isi smb share modify <homedir_share> --path=""
Unterstützte Erweiterungsvariablen
Sie können Erweiterungsvariablen in einen SMB-Freigabepfad oder in die
Stammverzeichnisvorlage eines Authentifizierungsanbieters einbeziehen.
OneFS unterstützt die folgenden Erweiterungsvariablen. Sie können die Performance
verbessern und die Anzahl der zu managenden Freigaben reduzieren, indem Sie
Freigaben mit Erweiterungsvariablen konfigurieren. Sie können beispielsweise die
Variable %U in eine Freigabe einbeziehen, anstatt eine Freigabe für jeden Benutzer zu
erstellen. Wenn die Variable %U im Namen enthalten ist, sodass der Pfad jedes
Benutzers unterschiedlich ist, bleibt die Sicherheit weiterhin gegeben, da jeder Benutzer
nur sein eigenes Stammverzeichnis anzeigen und darauf zugreifen kann.
Hinweis
Wenn Sie eine SMB-Freigabe über die Webverwaltungsschnittstelle erstellen, müssen Sie
das Kontrollkästchen Allow Variable Expansion aktivieren, da die Zeichenfolge ansonsten
vom System buchstäblich interpretiert wird.
387
Dateifreigabe
Variable Wert
Beschreibung
%U
Benutzername (z. B. user_001) Blendet den Benutzernamen ein, damit
unterschiedliche Benutzer verschiedene
Stammverzeichnisse verwenden können. Diese
Variable wird in der Regel am Ende des Pfads
angeführt. Beispiel: Für den Benutzer „user1“ wird
der Pfad /ifs/home/%U zugeordnet zu /ifs/
home/user1.
%D
NetBIOS-Domainnamen (z. B.
YORK für
YORK.EAST.EXAMPLE.COM)
Blendet den Domainnamen des Benutzers auf
Grundlage des Authentifizierungsanbieters ein:
l
Bei Active Directory-Benutzern wird %D als Active
Directory-NetBIOS-Name eingeblendet.
l
Bei lokalen Benutzern wird %D als Clustername
in Großbuchstaben eingeblendet. Beispiel: Für
das Cluster „cluster1“ wird %D als CLUSTER1
eingeblendet.
l
Für Benutzer im Systemdateianbieter wird %D
als UNIX_USERS eingeblendet.
l
Für Benutzer in anderen Dateianbietern wird %D
als FILE_USERS eingeblendet.
l
Für LDAP-Benutzer wird %D als LDAP_USERS
eingeblendet.
l
Für NIS-Benutzer wird %D als NIS_USERS
eingeblendet.
%Z
Zonenname (z. B. ZoneABC)
Wird als Zugriffszonenname eingeblendet. Wenn
mehrere Zonen aktiviert sind, ist diese Variable zur
Differenzierung von Benutzern in separaten Zonen
nützlich. Beispiel: Für den Benutzer „user1“ in der
Systemzone wird der Pfad /ifs/home/%Z/%U
zugeordnet zu /ifs/home/System/user1.
%L
Hostname (Clusterhostname in Wird als Hostname des Clusters, normalisiert in
Kleinbuchstaben)
Kleinbuchstaben, eingeblendet. Eingeschränkte
Verwendung.
%0
Erstes Zeichen des
Benutzernamens
Wird auf das erste Zeichen des Benutzernamens
erweitert
%1
Zweites Zeichen des
Benutzernamens
Wird auf das zweite Zeichen des Benutzernamens
erweitert
%2
Drittes Zeichen des
Benutzernamens
Wird auf das dritte Zeichen des Benutzernamens
erweitert
Hinweis
Wenn der Benutzername weniger als drei Zeichen umfasst, werden die Variablen %0, %1
und %2 zusammengefasst. Beispiel: Für einen Benutzer mit dem Namen „ab“ werden die
Variablen a, b bzw. a zugeordnet. Für einen Benutzer mit dem Namen „a“ werden alle drei
Variablen a zugeordnet.
388
Dateifreigabe
Managen des NFS-Service
Sie können den NFS-Service aktivieren oder deaktivieren und die zu unterstützenden
NFS-Versionen angeben, einschließlich NFSv3 und NFSv4. NFS-Einstellungen werden auf
alle Nodes im Cluster angewendet.
Anzeigen von NFS-Einstellungen
Sie können die globalen NFS-Einstellungen anzeigen, die auf alle Nodes im Cluster
angewendet werden.
Vorgehensweise
1. Führen Sie den Befehl isi nfs settings global view aus.
Lock Protection Level:
NFSv3 Enabled:
NFSv4 Enabled:
NFS Service Enabled:
2
Yes
No
Ja
Konfigurieren von NFS-Dateifreigaben
Sie können das Sperrschutzlevel und den NFS-Versionssupport festlegen.
Diese Einstellungen werden auf alle Nodes im Cluster angewendet.
Vorgehensweise
1. Führen Sie den Befehl isi nfs settings global modify aus.
Mit dem folgenden Befehl wird das Sperrschutzlevel auf 4 festgelegt:
isi nfs settings global modify --lock-protection=4
Mit dem folgenden Befehl wird der NFSv4-Support aktiviert:
isi nfs settings global modify --nfsv4-enabled=yes
Aktivieren oder Deaktivieren des NFS-Services
In OneFS ist der NFSv3-Service standardmäßig aktiviert. Sie können auch NFSv4
aktivieren.
Hinweis
Sie können bestimmen, ob NFS-Services aktiviert oder deaktiviert sind, indem Sie den
Befehl isi nfs settings global view ausführen.
Vorgehensweise
1. Führen Sie den Befehl isi nfs settings global modify aus.
Mit dem folgenden Befehl wird der NFSv3-Service deaktiviert:
isi nfs settings global modify --nfsv3-enabled no
Managen des NFS-Service
389
Dateifreigabe
Mit dem folgenden Befehl wird der NFSv4-Service aktiviert:
isi nfs settings global modify --nfsv4-enabled yes
Managen von NFS-Exporten
Sie können NFS-Exporteinstellungen erstellen, anzeigen und ändern sowie Exporte
löschen, die nicht mehr benötigt werden.
Das Verzeichnis /ifs ist das Verzeichnis der obersten Ebene für den Datenspeicher in
OneFS und ist auch der im Standardexport definierte Pfad. Standardmäßig erlaubt der /
ifs-Export nicht den Root-Zugriff, ermöglicht es aber UNIX-Clients, dieses Verzeichnis
und alle Unterverzeichnisse darunter zu mounten.
Hinweis
Es wird empfohlen, den Standardexport zu ändern, um den Zugriff auf vertrauenswürdige
Clients zu beschränken oder vollständig einzuschränken. Um sicherzustellen, dass
vertrauliche Daten nicht gefährdet sind, sollten andere von Ihnen erstellte Exporte in der
OneFS-Dateihierarchie niedriger sein und können durch Zugriffszonen geschützt oder
nach Bedarf auf bestimmte Clients mit Root-, Lese-/Schreib- oder schreibgeschützten
Zugriff beschränkt werden.
Konfigurieren von NFS-Standardexporteinstellungen
Die NFS-Standardexporteinstellungen werden auf neue NFS-Exportvorgänge angewendet.
Sie können diese Einstellungen außer Kraft setzen, wenn Sie einen Export erstellen oder
ändern.
Sie können die aktuellen Standardexporteinstellungen anzeigen, indem Sie den Befehl
isi nfs settings export view ausführen.
ACHTUNG
Es wird empfohlen, dass Sie Standardexporteinstellungen nicht ändern, es sei denn,
dass Sie bezüglich des Ergebnisses sicher sind.
Vorgehensweise
1. Führen Sie den Befehl isi nfs settings export modify aus.
Mit dem folgenden Befehl wird eine maximale Exportdateigröße von einem Terabyte
festgelegt:
isi nfs settings export modify --max-file-size 1099511627776
Sie könnten für die maximale Exportdateigröße auch den Systemstandard
wiederherstellen, indem Sie den folgenden Befehl verwenden:
isi nfs settings export modify --revert-max-file-size
Erstellen einer Root-Squash-Regel für einen Export
Standardmäßig implementiert der NFS-Service eine Root-Squash-Regel für den StandardNFS-Export. Dies verhindert, dass Root-Benutzer auf NFS-Clients Root-Berechtigungen auf
dem NFS-Server ausführen.
390
Dateifreigabe
In OneFS ist der Standard-NFS-Export /ifs, das oberste Verzeichnis, in dem
Clusterdaten gespeichert werden.
Vorgehensweise
1. Mit dem Befehl isi nfs exports view können Sie die aktuellen Einstellungen
einer des Standardexports anzeigen.
Mit dem folgenden Befehl werden die Einstellungen des Standardexports angezeigt:
isi nfs exports view 1
2. Bestätigen Sie die folgenden Standardwerte für diese Einstellungen, die zeigen, dass
root niemandem zugeordnet ist. Dadurch wird der Root-Zugriff beschränkt:
Map Root
Enabled:
User:
Primary Group:
Secondary Groups:
True
Nobody
-
3. Wenn die Root-Squash-Regel aus irgendeinem Grund nicht gültig ist, können Sie sie
für den Standard-NFS-Export implementieren, indem Sie den Befehl isi nfs
export modify folgendermaßen ausführen:
isi nfs exports modify 1 --map-root-enabled true --map-root nobody
Ergebnisse
Mit diesen Einstellungen, unabhängig von die Benutzeranmeldedaten auf dem NFSClient, könnten Benutzer keine Root-Berechtigungen auf dem NFS-Server erhalten.
Erstellen eines NFS-Exports
Sie können die NFS-Exporte erstellen, die erforderlich sind, um die Anforderungen Ihres
Unternehmens zu erfüllen.
Bevor Sie beginnen
Jeder Verzeichnispfad, den Sie für einen Export bestimmen, muss bereits in der /ifsVerzeichnisstruktur vorhanden sein.
Ein Verzeichnispfad kann von mehr als einem Export verwendet werden, sofern diese
Exporte nicht dieselben Clients haben.
Vorgehensweise
1. Führen Sie den Befehl isi nfs exports create aus.
Mit dem folgenden Befehl wird ein den Export unterstützender Clientzugriff auf
mehrere Pfade und deren Unterverzeichnisse erstellt:
isi nfs exports create /ifs/data/projects,/ifs/home --all-dirs=yes
2. (Optional) Um die Export-ID anzuzeigen, die zur Änderung oder Löschung des Exports
erforderlich ist, führen Sie den Befehl isi nfs exports list aus.
Fehlerprüfung von NFS-Exporten
Sie können NFS-Exporte auf Fehler überprüfen, z. B. in Konflikt stehende Exportregeln,
ungültige Pfade und nicht auflösbare Hostnamen und Netzwerkgruppen.
Erstellen eines NFS-Exports
391
Dateifreigabe
Vorgehensweise
1. Führen Sie den Befehl isi nfs exports check aus.
Im folgenden Ausgabebeispiel wurden keine Fehler gefunden:
ID Message
------------------Total: 0
Im folgenden Beispiel enthält Export 1 einen Verzeichnispfad, der momentan nicht
vorhanden ist:
ID
Message
----------------------------------1
'/ifs/test' does not exist
----------------------------------Total: 1
Ändern eines NFS-Exports
Sie können die Einstellungen für einen einzelnen NFS-Export ändern.
Vorgehensweise
1. Führen Sie den Befehl isi nfs exports modify aus.
Mit dem folgenden Befehl wird ein Client mit Lese-/Schreibzugriff zu NFS-Export 2
hinzugefügt.
isi nfs exports modify 2 --add-read-write-clients 10.1.249.137
Mit diesem Befehl wird die Zugriffsbeschränkungseinstellung des Exports außer Kraft
gesetzt, wenn es zu einem Konflikt kommt. Beispiel: Wenn der Export mit
deaktiviertem Lese- und Schreibzugriff erstellt wurde, hätte der Client 10.1.249.137
weiterhin Lese-/Schreibberechtigungen für den Export.
Löschen eines NFS-Exports
Sie können nicht mehr benötigte NFS-Exporte löschen.
Bevor Sie beginnen
Sie benötigen die Export-ID-Nummer, um den Export zu löschen. Um eine Liste der
Exporte und ihrer ID-Nummern anzuzeigen, können Sie den Befehl isi nfs exports
list ausführen.
Vorgehensweise
1. Führen Sie den Befehl isi nfs exports delete aus.
Mit dem folgenden Befehl wird ein Export mit der ID 2 gelöscht:
isi nfs exports delete 2
Mit dem folgenden Befehl wird ein Export mit der ID 3 gelöscht, ohne dass eine
Bestätigungsaufforderung angezeigt wird. Gehen Sie mit Bedacht vor, wenn Sie die
Option --force verwenden.
isi nfs exports delete 3 --force
392
Dateifreigabe
2. Wenn Sie die Option --force nicht angegeben haben, geben Sie in der
Bestätigungsaufforderung yes ein.
Managen von NFS-Aliasse
Sie können NFS-Aliasse erstellen, um Exporte zu vereinfachen, mit denen Clients sich
verbinden. Ein NFS-Alias ordnet einen absoluten Pfad zu einem einfachen
Verzeichnispfad zu.
Angenommen, Sie haben einen NFS-Export unter /ifs/data/hq/home/archive/
first-quarter/finance erstellt. Sie können das Alias /finance1 erstellen, um es
diesem Verzeichnispfad zuzuordnen.
NFS-Aliasse können in jeder beliebigen Zugriffszone, einschließlich der Systemzone,
erstellt werden.
Erstellen eines NFS-Alias
Sie können ein NFS Alias erstellen, um einen langen Verzeichnispfad einem einfachen
Pfadnamen zuzuordnen.
Aliasse müssen als einfacher Verzeichnispfad im Unix-Stil gebildet werden,
beispielsweise /home.
Vorgehensweise
1. Führen Sie den Befehl isi nfs aliases create aus.
Mit dem folgenden Befehl wird ein Alias zu einem vollständigen Pfadnamen in OneFS
in einer Zugriffszone namens hq-home erstellt:
isi nfs aliases create /home /ifs/data/offices/hq/home --zone hqhome
Wenn Sie ein NFS-Alias erstellen, führt OneFS eine Integritätsprüfung durch. Wenn
z. B. der von Ihnen angegebene vollständige Pfad kein gültiger Pfad ist, gibt OneFS
eine Warnmeldung aus:
Warnung: health check on alias '/home' returned 'path not found'
Dennoch wird das Alias erstellt, und Sie können das Verzeichnis später erstellen, auf
das das Alias verweist.
Ändern eines NFS-Alias
Sie können ein NFS-Alias ändern, z. B. wenn sich ein Exportverzeichnispfad geändert hat.
Aliasse müssen als einfacher Verzeichnispfad im Unix-Stil gebildet werden,
beispielsweise /home.
Vorgehensweise
1. Führen Sie den Befehl isi nfs aliases modify aus.
Mit dem folgenden Befehl wird der Name eines Alias in der Zugriffszone hq-home
geändert:
isi nfs aliases modify /home --zone hq-home --name /home1
Managen von NFS-Aliasse
393
Dateifreigabe
Wenn Sie ein NFS-Alias ändern, führt OneFS eine Integritätsprüfung durch. Wenn z. B.
der Pfad zu dem Alias kein gültiger Pfad ist, gibt OneFS eine Warnmeldung aus:
Warnung: health check on alias '/home' returned 'not exported'
Dennoch wird das Alias geändert und Sie können den Export zu einem späteren
Zeitpunkt erstellen.
Löschen eines NFS-Alias
Sie können ein NFS-Alias löschen.
Wenn ein NFS-Alias einem NFS-Export zugeordnet ist, kann durch die Löschung des Alias
die Verbindung mit Clients getrennt werden, die das Alias dazu verwendet haben, eine
Verbindung zum Export zu herzustellen.
Vorgehensweise
1. Führen Sie den Befehl isi nfs aliases delete aus.
Mit dem folgenden Befehl wird das Alias /home in einer Zugriffszone namens hq
home gelöscht:
isi nfs aliases delete /home --zone hq-home
Wenn Sie ein NFS-Alias löschen, fordert OneFS Sie auf, den Vorgang zu bestätigen:
Are you sure you want to delete NFS alias /home? (yes/[no])
2. Geben Sie yes ein und drücken Sie die Eingabetaste.
Das Alias wird entfernt, wenn keine Fehlerbedingung gefunden wurde, z. B. der Name
des Alias falsch eingegeben wurde.
Auflisten von NFS-Aliassen
Sie können eine Liste von NFS-Aliassen anzeigen, die bereits für eine bestimmte Zone
definiert wurden. Aliasse werden standardmäßig in der Systemzone aufgeführt.
Vorgehensweise
1. Führen Sie den Befehl isi nfs aliases list aus.
Mit dem folgenden Befehl werden Aliasse aufgelistet, die in der Systemzone erstellt
wurden (Standard):
isi nfs aliases list
Mit diesem Befehl werden Aliasse aufgelistet, die in einer Zugriffszone namens hqhome erstellt wurden.
isi nfs aliases list --zone hq-home
Die Ausgabe des Befehls ähnelt dem folgenden Beispiel:
Zone
Name
Path
------------------------------------------------hq-home /home
/ifs/data/offices/newyork
hq-home /root_alias
/ifs/data/offices
hq-home /project
/ifs/data/offices/project
394
Dateifreigabe
------------------------------------------------Total: 3
Anzeigen eines NFS-Alias
Sie können die Einstellungen eines NFS-Alias in der angegebenen Zugriffszone anzeigen.
Vorgehensweise
1. Führen Sie den Befehl isi nfs aliases view aus.
Mit dem folgenden Befehl werden Informationen zu einem Alias in der Zugriffszone
hq-home einschließlich der Integrität des Alias angezeigt:
isi nfs aliases view /projects --zone hq-home --check
Die Ausgabe des Befehls ähnelt dem folgenden Beispiel:
Zone
Name
Path
Health
-------------------------------------------------------hq-home /projects
/ifs/data/offices/project good
-------------------------------------------------------Total: 1
Anzeigen von FTP-Einstellungen
Sie können eine Liste der aktuellen FTP-Konfigurationseinstellungen anzeigen.
Vorgehensweise
1. Führen Sie den Befehl isi ftp list aus.
accept-timeout
allow-anon-access
allow-anon-upload
allow-dirlists
allow-downloads
allow-local-access
allow-writes
always-chdir-homedir
anon-chown-username
anon-root-path
anon-umask
ascii-mode
connect-timeout
data-timeout
dirlist-localtime
dirlist-names
file-create-perm
local-root-path
local-umask
server-to-server
session-support
session-timeout
user-config-dir
denied-user-list
limit-anon-passwords
anon-password-list
chroot-local-mode
inactive
chroot-exception-list
60
NO
YES
YES
YES
YES
YES
YES
root
/ifs/home/ftp
077
off
60
300
NO
hide
0666
local user home directory
077
NO
YES
300
(none)
NO
(disabled)
No local users chrooted; exception list
(none)
Anzeigen eines NFS-Alias
395
Dateifreigabe
Aktivieren von FTP-Dateifreigaben
Der FTP-Service, vsftpd, ist standardmäßig deaktiviert.
Hinweis
Sie können festlegen, ob der Service aktiviert oder deaktiviert ist, indem Sie den Befehl
isi services -l ausführen.
Vorgehensweise
isi services vsftpd enable
Das System zeigt die folgende Bestätigungsmeldung an:
The service 'vsftpd' has been enabled.
Weitere Erfordernisse
Konfigurieren Sie die FTP-Einstellungen, indem Sie den Befehl isi ftp ausführen.
Konfigurieren von FTP-Dateifreigaben
Sie können den FTP-Service so einrichten, dass jeder Node im Cluster über ein
Standardbenutzerkonto auf FTP-Anforderungen reagiert.
Bevor Sie beginnen
Sie müssen den FTP-Service aktivieren, bevor Sie ihn verwenden können.
Sie können die Übertragung von Dateien zwischen Remote-FTP-Servern sowie einen
anonymen FTP-Service auf der Stammebene aktivieren, indem Sie einen lokalen Benutzer
namens „anonymous“ oder „ftp“ erstellen.
Achten Sie bei der Konfiguration des FTP-Zugriffs darauf, dass der angegebene FTPStamm das Stammverzeichnis des Benutzers ist, der sich anmeldet. Beispielsweise
lautet der FTP-Stamm für den lokalen Benutzer „jsmith“ ifs/home/jsmith.
Vorgehensweise
1. Führen Sie den Befehl isi ftp<action> aus.
Dieser Befehl muss für jede Aktion separat ausgeführt werden.
Mit dem folgenden Befehl werden Server-zu-Server-Übertragungen aktiviert:
isi ftp server-to-server=yes
Mit dem folgenden Befehl werden anonyme Uploads deaktiviert:
isi ftp allow-anon-upload=no
396
Dateifreigabe
Aktivieren und Konfigurieren von HTTP
Sie können HTTP und DAV so konfigurieren, dass Benutzer Dateien über
Remotewebserver gemeinsam bearbeiten und managen können.
Dieses Verfahren ist nur über die Webverwaltungsschnittstelle verfügbar.
Vorgehensweise
1. Klicken Sie auf Protocols > HTTP Settings.
2. Wählen Sie unter Service eine der folgenden Optionen aus:
Option
Beschreibung
Enable HTTP
Ermöglicht HTTP-Zugriff für die Verwaltung des Clusters und das
Durchsuchen des Clusterinhalts
Disable HTTP and Ermöglicht nur den Administratorzugriff auf die
redirect to the web Webverwaltungsschnittstelle. Dies ist die Standardeinstellung.
interface
Disable HTTP
entirely
Schließt den HTTP-Port, der für den Dateizugriff verwendet wird.
Benutzer können weiterhin auf die Webverwaltungsschnittstelle
zugreifen, indem sie die Portnummer in der URL angeben. Der
Standardport ist 8080.
3. Geben Sie im Feld Document root directory den Verzeichnisnamen ein oder klicken
Sie auf Browse, um zu einem vorhandenen Verzeichnis unter /ifs zu navigieren, oder
klicken Sie auf File System Explorer, um ein neues Verzeichnis zu erstellen und
dessen Berechtigungen festzulegen.
Hinweis
Der HTTP-Server wird als Daemon-Benutzer und -Gruppe ausgeführt. Um
Zugriffskontrollen ordnungsgemäß durchzusetzen, müssen Sie dem DaemonBenutzer oder der Daemon-Gruppe Lesezugriff auf sämtliche Dateien unter dem
Dokumentstamm gewähren und dem HTTP-Server die Querung des Dokumentstamms
ermöglichen.
4. Geben Sie im Feld Server hostname den HTTP-Servernamen ein. Der Hostname muss
ein voll qualifizierter SmartConnect-Zonenname und gültiger DNS-Name sein. Der
Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Ziffern und
Bindestriche (-) enthalten.
5. Geben Sie im Feld Administrator email address eine E-Mail-Adresse des
Hauptansprechpartners für Probleme bei der Bereitstellung von Dateien ein.
6. Wählen Sie in der Liste Active Directory Authentication eine
Authentifizierungseinstellung aus:
Option
Beschreibung
Aus
Deaktiviert die HTTP-Authentifizierung
Basic Authentication Only
Aktiviert die grundlegende HTTP-Authentifizierung.
Benutzeranmeldedaten werden als reine Textdatei
gesendet.
Aktivieren und Konfigurieren von HTTP
397
Dateifreigabe
Option
Beschreibung
Integrated Authentication
Only
Aktiviert die HTTP-Authentifizierung über NTLM,
Kerberos oder beides
Integrated and Basic
Authentication
Aktiviert die grundlegende und integrierte
Authentifizierung
Basic Authentication with
Access Controls
Aktiviert die HTTP-Authentifizierung über NTLM und
Kerberos und aktiviert den Apache-Webserver zur
Ausführung von Zugriffsprüfungen
Integrated and Basic Auth
with Access Controls
Aktiviert die grundlegende HTTP-Authentifizierung und
die integrierte Authentifizierung und aktiviert die
Zugriffsprüfungen über den Apache-Webserver
7. Aktivieren Sie das Kontrollkästchen Enable DAV. Auf diese Weise können mehrere
Benutzer Dateien über Remotewebserver gemeinsam managen und ändern.
8. Aktivieren Sie das Kontrollkästchen Disable access logging.
9. Klicken Sie auf Senden.
SMB-Befehle
Sie können über die SMB-Befehle auf den SMB-Dateifreigabeservice zugreifen und
diesen mithilfe der Befehle konfigurieren.
isi smb log-level
Konfiguriert die Einstellungen des Protokolllevels für SMB-Freigaben auf dem Node.
Syntax
isi smb log-level
[{--set | -s} <string>]
[{--last-packets | -l} <integer>]
Optionen
{--set | -s} <string>
Gibt die Datenebene an, die für SMB-Freigaben auf dem Node protokolliert wird.
Geben Sie eine der folgenden gültigen Optionen an:
l
always
l
error
l
warning
l
info
l
verbose
l
debug
l
trace
{--last-packets | -l} <integer>
Gibt die letzte Anzahl von Paketen an, die protokolliert werden sollen, wenn eine
SMB-Sitzung auf dem Node geschlossen wird.
398
Dateifreigabe
isi smb log-level add
Gibt einen Filter auf Protokolllevel für SMB-Freigabeinformationen auf dem Node an.
Syntax
[{--level | -l} <string>]
[{--ip | -i} <ip-address>]
[{--smb-op | -o} <string>]
Optionen
{--level | -l} <string>
Legt die zu protokollierenden Levelinformationen fest. Die folgenden Werte sind
gültig:
l
always
l
error
l
warning
l
info
l
verbose
l
debug
l
trace
{--ip | -i} <ip-address>
Gibt Filter für IP-Adressen an. Das gültige Format ist x.x.x.x in einer
kommagetrennten Liste oder x:x:x:x:x:x:x:x.
{--smb-op | -o} <string>
Gibt Vorgangsfilter an. Die folgenden Werte sind gültig:
l
read
l
write
l
session-setup
l
logoff
l
flush
l
notify
l
tree-connect
l
tree-disconnect
l
create
l
delete
l
oplock
l
locking
l
set-info
l
query
l
close
l
create-directory
399
Dateifreigabe
l
delete-directory
isi smb log-level delete
Entfernt einen Filter auf Protokolllevel für SMB-Freigabeinformationen auf dem Node.
Syntax
isi smb log-level delete
[--id <string>]
Optionen
{--id | -i} <string>
Gibt die ID des Filters auf Protokolllevel an, der aus dem Node gelöscht werden soll.
isi smb log-level list
Zeigt aktuelle Protokolllevel- und Protokollinformationen an.
Syntax
isi smb log-level list
Optionen
isi smb openfiles close
Schließt eine geöffnete Datei.
Hinweis
Um eine Liste der geöffneten Dateien anzuzeigen, führen Sie den Befehl isi smb
openfiles list aus.
Syntax
isi smb openfiles close <id>
[--force]
Optionen
<id>
Gibt die ID der geöffneten Datei an, die geschlossen werden soll.
{--force | -f}
Beispiele
Mit dem folgenden Befehl wird eine Datei mit der ID 32 geschlossen:
isi smb openfiles close 32
isi smb openfiles list
Zeigt eine Liste der Dateien an, die in SMB-Freigaben geöffnet sind.
400
Dateifreigabe
Syntax
isi smb openfiles list
[--limit <integer>]
[--no-header]
[--no-footer]
[--verbose]
Optionen
Zeigt nicht mehr als die angegebene Anzahl von geöffneten SMB-Dateien an.
{--no-header | -a}
{--no-footer | -z}
{--verbose | -v}
isi smb sessions delete
Löscht SMB-Sitzungen, die zuerst nach Computer und dann optional nach Benutzer
gefiltert werden.
Hinweis
Alle offenen Dateien werden automatisch geschlossen, bevor eine SMB-Sitzung gelöscht
wird.
Syntax
isi smb sessions delete <computer-name>
[{--user <name> | --uid <id> | --sid <sid>}]
[--force]
[--verbose]
Optionen
<computer-name>
Erforderlich. Gibt den Computernamen an. Wenn weder die Option --user, --uid
noch --sid angegeben wird, löscht das System alle SMB-Sitzungen, die mit diesem
Computer verbunden sind.
--user<string>
Gibt den Namen des Benutzers an. Löscht nur die SMB-Sitzungen auf dem Computer,
die mit dem angegebenen Benutzer verknüpft sind.
--uid<id>
Gibt eine numerische Benutzerkennung an. Löscht nur die SMB-Sitzungen auf dem
Computer, die mit der angegebenen Benutzerkennung verknüpft sind.
--sid<sid>
isi smb sessions delete
401
Dateifreigabe
Gibt eine Sicherheitskennung an. Löscht nur die SMB-Sitzungen auf dem Computer,
die mit der Sicherheitskennung verknüpft sind.
{--force | -f}
Gibt an, dass der Befehl ohne Bestätigungsaufforderung ausgeführt wird.
Beispiele
Mit dem folgenden Befehl werden alle SMB-Sitzungen gelöscht, die mit einem Computer
namens „computer1“ verknüpft sind:
isi smb sessions delete computer1
Mit dem folgenden Befehl werden alle SMB-Sitzungen gelöscht, die mit einem Computer
namens „computer1“ und einem Benutzer namens „user1“ verknüpft sind:
isi smb sessions delete computer1 --user=user1
isi smb sessions delete-user
Löscht SMB-Sitzungen, die zuerst nach Benutzer und dann optional nach Computer
gefiltert werden.
Hinweis
Alle offenen Dateien werden automatisch geschlossen, bevor eine SMB-Sitzung gelöscht
wird.
Syntax
isi smb sessions delete-user {<user> | --uid <id> | --sid <sid> }
[--computer-name <string>]
[--force]
[--verbose]
Optionen
<user>
Erforderlich. Gibt den Benutzernamen an. Wenn die Option --computer-name
ausgelassen wird, löscht das System alle SMB-Sitzungen, die diesem Benutzer
zugewiesen sind.
{--computer-name | -C} <string>
Löscht nur die SMB-Sitzungen des Benutzers, die dem angegebenen Computer
zugewiesen sind.
{--force | -f}
{--verbose | -v}
Beispiele
Mit dem folgenden Befehl werden sämtliche SMB-Sitzungen gelöscht, die einem namens
„user1“ zugewiesen sind:
isi smb sessions delete-user user1
402
Dateifreigabe
Mit dem folgenden Befehl werden sämtliche SMB-Sitzungen gelöscht, die einem
Benutzer namens „user1“ und einem Computer namens „computer1“ zugewiesen sind:
isi smb sessions delete-user user1 \
--computer-name=computer1
isi smb sessions list
Zeigt eine Liste offener SMB-Sitzungen an.
Syntax
[--limit <integer>]
[--no-header]
[--no-footer]
[--verbose]
Optionen
Gibt die maximale Anzahl der aufzulistenden SMB-Sitzungen an.
{--no-header | -a}
{--no-footer | -z}
{--verbose | -v}
isi smb settings global modify
Ändert globale SMB-Einstellungen.
Syntax
[--access-based-share-enum {yes | no}]
[--revert-access-based-share-enum]
[--dot-snap-accessible-child {yes | no}]
[--revert-dot-snap-accessible-child]
[--dot-snap-accessible-root]
[--revert-dot-snap-accessible-root]
[--dot-snap-visible-child {yes | no}]
[--revert-dot-snap-visible-child]
[--dot-snap-visible-root {yes | no}]
[--revert-dot-snap-visible-root]
[--enable-security-signatures {yes | no}]
[--revert-enable-security-signatures]
[--guest-user <string>]
[--revert-guest-user]
[--ignore-eas {yes | no}]
[--revert-ignore-eas]
[--onefs-cpu-multiplier <integer>]
[--revert-onefs-cpu-multiplier]
[--onefs-num-workers <integer>]
403
Dateifreigabe
[--revert-onefs-num-workers]
[--require-security-signatures {yes | no}]
[--revert-require-security-signatures]
[--server-string <string>]
[--revert-server-string]
[--srv-cpu-multiplier <integer>]
[--revert_srv-cpu-multiplier]
[--srv-num-workers <integer>]
[--revert-srv-num-workers]
[--support-multichannel {yes | no}]
[--revert-support-multichannel]
[--support-netbios {yes | no}]
[--revert-support-netbios]
[--support-smb2 {yes | no}]
[--revert-support-smb2]
[--verbose]
Optionen
--access-based-share-enum {yes | no}
Zählt nur die Dateien und Ordner auf, auf die der anfordernde Benutzer Zugriff hat.
--revert-access-based-share-enum
Legt den Wert für --access-based-share-enum auf den Systemstandard fest.
--dot-snap-accessible-child {yes | no}
Gibt an, ob das Verzeichnis /ifs/.snapshot in den Unterverzeichnissen des
Stammverzeichnisses der Freigabe sichtbar sein soll. Die Standardeinstellung ist no.
--revert-dot-snap-accessible-child
Legt den Wert für --dot-snap-accessible-child auf den Systemstandard
fest.
--dot-snap-accessible-root {yes | no}
Gibt an, ob ein Zugriff auf das Verzeichnis /ifs/.snapshot im Stammverzeichnis
der Freigabe möglich sein soll. Die Standardeinstellung ist yes.
--revert-dot-snap-accessible-root
Legt den Wert für --dot-snap-accessible-root auf den Systemstandard fest.
--dot-snap-visible-child {yes | no}
Gibt an, ob das Verzeichnis /ifs/.snapshot in den Unterverzeichnissen des
Stammverzeichnisses der Freigabe sichtbar sein soll. Die Standardeinstellung ist no.
--revert-dot-snap-visible-child
Legt den Wert für --dot-snap-visible-child auf den Systemstandard fest.
--dot-snap-visible-root {yes | no}
Gibt an, ob das Verzeichnis /ifs/.snapshot im Stammverzeichnis der Freigabe
sichtbar sein soll. Die Standardeinstellung ist no.
--revert-dot-snap-visible-root
Legt den Wert für --dot-snap-visible-root auf den Systemstandard fest.
--enable-security-signatures {yes | no}
Gibt an, ob der Server signierte SMB-Pakete unterstützt.
--revert-enable-security-signatures
Legt den Wert für --enable-security-signatures auf den Systemstandard
fest.
404
Dateifreigabe
--guest-user<integer>
Gibt den vollständig qualifizierten Benutzer an, der für den Gastzugriff verwendet
werden soll.
--revert-guest-user
Legt den Wert für --guest-user auf den Systemstandard fest.
--ignore-eas {yes | no}
Gibt an, ob EAs auf Dateien ignoriert werden sollen.
--revert-ignore-eas
Legt den Wert für --ignore-eas auf den Systemstandard fest.
--onefs-cpu-multiplier<integer>
Gibt die Anzahl der zu konfigurierenden OneFS Worker Threads auf der Basis der
Anzahl der CPUs an. Gültige Werte sind 1-4.
--revert-onefs-cpu-multiplier
Legt den Wert für --onefs-cpu-multiplier auf den Systemstandard fest.
--onefs-num-workers<integer>
Gibt die Anzahl der OneFS Worker Threads an, die konfiguriert werden dürfen. Gültige
Werte sind 0-1024. Wenn diese Option auf 0 festgelegt ist, entspricht die Anzahl der
SRV-Worker dem durch --onefs-cpu-multiplier angegebenen Wert
multipliziert mit der Anzahl der CPUs.
--revert-onefs-num-workers
Legt den Wert für --onefs-num-workers auf den Systemstandard fest.
--require-security-signatures {yes | no}
Gibt an, ob eine Paketsignierung erforderlich ist. Wenn diese Option auf yes
festgelegt wird, ist die Signierung immer erforderlich. Wenn diese Option auf no
festgelegt wird, ist die Signierung nicht erforderlich, Clients, die eine Signierung
anfordern, können sich jedoch verbinden, wenn die Option --enable-securitysignatures auf yes festgelegt wird.
--revert-require-security-signatures
Legt den Wert für --require-security-signatures auf den Systemstandard
fest.
--server-string<string>
Stellt eine Beschreibung des Servers bereit.
--revert-server-string
Legt den Wert für --revert-server-string auf den Systemstandard fest.
--srv-cpu-multiplier<integer>
Gibt die Anzahl der SRV Worker Threads an, die pro CPU konfiguriert werden. Gültige
Zahlen sind 1-8.
--revert_srv-cpu-multiplier
Legt den Wert für --srv-cpu-multiplier auf den Systemstandard fest.
--srv-num-workers<integer>
Gibt die Anzahl der OneFS Worker Threads an, die konfiguriert werden dürfen. Gültige
Werte sind 0-1024. Wenn diese Option auf 0 festgelegt wird, entspricht die Anzahl der
405
Dateifreigabe
SRV-Worker dem durch --srv-cpu-multiplier angegebenen Wert multipliziert
mit der Anzahl der CPUs.
--revert-srv-num-workers
Legt den Wert für --revert-srv-num-workers auf den Systemstandard fest.
--support-multichannel {yes | no}
Gibt an, ob Multichannel für SMB 3.0 auf dem Cluster aktiviert ist. SMB Multichannel
ist standardmäßig aktiviert.
--revert-support-multichannel
Setzt den Wert von --support-multichannel zurück auf den
Standardsystemwert.
--support-netbios {yes | no}
Gibt an, ob das NetBIOS-Protokoll unterstützt wird.
--revert-support-netbios
Legt den Wert für --support-netbios auf den Systemstandard fest.
--support-smb2 {yes | no}
Gibt an, ob das SMB 2.0-Protokoll unterstützt wird. Die Standardeinstellung ist yes.
--revert-support-smb2
Legt den Wert für --support-smb2 auf den Systemstandard fest.
isi smb settings global view
Zeigt die Standardeinstellungen für die SMB-Konfiguration an.
Syntax
isi smb settings global view
Optionen
isi smb settings shares modify
Ändert Standardeinstellungen für SMB-Freigaben.
Syntax
[--access-based-enumeration {yes | no}]
[--revert-access-based-enumeration]
[--access-based-enumeration-root-only {yes | no}]
[--revert-access-based-enumeration-root-only]
[--allow-delete-readonly {yes | no}]
[--revert-allow-delete-readonly]
[--allow-execute-always {yes | no}]
[--revert-allow-execute-always]
[--change-notify {all | norecurse | none}]
[--revert-change-notify]
[--create-permissions {"default acl" | "inherit mode bits" | "use
create mask and mode"}]
[--revert-create-permissions]
[--directory-create-mask <integer>]
[--revert-directory-create-mask]
[--directory-create-mode <integer>]
406
Dateifreigabe
[--revert-directory-create-mode]
[--file-create-mask <integer>]
[--revert-file-create-mask]
[--file-create-mode <integer>]
[--revert-file-create-mode]
[--hide-dot-files {yes | no}]
[--revert-hide-dot-files]
[--host-acl <host-acl>]
[--revert-host-acl]
[--clear-host-acl]
[--add-host-acl <string>]
[--remove-host-acl <string>]
[--impersonate-guest {always | "bad user" | never}]
[--revert-impersonate-guest]
[--impersonate-user <string>]
[--revert-impersonate-user]
[--mangle-byte-start <integer>]
[--revert-mangle-byte-start]
[--mangle-map <mangle-map>]
[--revert-mangle-map]
[--clear-mangle-map]
[--add-mangle-map <string>]
[--remove-mangle-map <string>]
[--ntfs-acl-support {yes | no}]
[--revert-ntfs-acl-support]
[--oplocks {yes | no}]\
[--revert-oplocks]
[--strict-flush {yes | no}]
[--revert-strict-flush]
[--strict-locking {yes | no}]
[--revert-strict-locking]
[--zone <string>]
Optionen
--access-based-enumeration {yes | no}
Gibt an, ob Access-Based Enumeration aktiviert ist.
--revert-access-based-enumeration
Legt den Wert für --access-based-enumeration auf den Systemstandard fest.
--access-based-enumeration-root-only {yes | no}
Gibt an, ob Access-Based Enumeration nur im Stammverzeichnis der Freigabe
aktiviert ist.
--revert-access-based-enumeration-root-only
Legt den Wert für --access-based-enumeration-root-only auf den
Systemstandard fest.
--allow-delete-readonly {yes | no}
Gibt an, ob schreibgeschützte Dateien gelöscht werden können.
--revert-allow-delete-readonly
Legt den Wert für --allow-delete-readonly auf den Systemstandard fest.
--allow-execute-always {yes | no}
Gibt an, ob ein Benutzer mit Lesezugriff für eine Datei die Datei auch ausführen kann.
--revert-allow-execute-always
Legt den Wert für --allow-execute-always auf den Systemstandard fest.
--change-notify {norecurse | all | none}
407
Dateifreigabe
Definiert die Einstellung für die Benachrichtigung bei Änderungen. Akzeptierte Werte
sind norecurse, all und none.
--revert-change-notify
Legt den Wert für --change-notify auf den Systemstandard fest.
--create-permissions {"default acl" | "inherit mode bits" | "use
create mask and mode"}
Legt fest, dass bei der Erstellung einer Datei oder eines Verzeichnisses die
Standardberechtigungen angewendet werden.
--revert-create-permissions
Legt den Wert für --create-permissions auf den Systemstandard fest.
--directory-create-mask<integer>
Definiert, welche Maskenbits bei der Erstellung eines Verzeichnisses angewendet
werden.
--revert-directory-create-mask
Legt den Wert für --directory-create-mask auf den Systemstandard fest.
--directory-create-mode<integer>
Definiert, welche Modusbits bei der Erstellung eines Verzeichnisses angewendet
werden.
--revert-directory-create-mode
Legt den Wert für --directory-create-mode auf den Systemstandard fest.
--file-create-mask<integer>
Definiert, welche Maskenbits bei der Erstellung einer Datei angewendet werden.
--revert-file-create-mask
Legt den Wert für --file-create-mask auf den Systemstandard fest.
--file-create-mode<integer>
Definiert, welche Modusbits bei der Erstellung einer Datei angewendet werden.
--revert-file-create-mode
Legt den Wert für --file-create-mode auf den Systemstandard fest.
--hide-dot-files {yes | no}
Gibt an, ob Dateien ausgeblendet werden, die mit einem Punkt beginnen, zum
Beispiel UNIX-Konfigurationsdateien.
--revert-hide-dot-files
Legt den Wert für --hide-dot-files auf den Systemstandard fest.
--host-acl<string>
Gibt an, welchen Hosts Zugriff gewährt wird. Geben Sie für jede weitere Host-ACLKlausel --host-acl an. Hierdurch werden alle vorhandenen ACLs ersetzt.
--revert-host-acl
Legt den Wert für --host-acl auf den Systemstandard fest.
--clear-host-acl<string>
Löscht den Wert für eine ACL, die ausdrückt, welchen Hosts Zugriff gewährt wird.
--add-host-acl<string>
408
Dateifreigabe
Fügt der bereits vorhandenen Host-ACL eine ACL hinzu. Geben Sie --add-hostacl für jede weitere Host ACL-Klausel an, die hinzugefügt werden soll.
--remove-host-acl<string>
Entfernt eine ACL aus der bereits vorhandenen Host-ACL. Geben Sie --removehost-acl für jede weitere Host ACL-Klausel an, die entfernt werden soll.
--impersonate-guest {always | "bad user" | never}
Ermöglicht Gastzugriff auf die Freigabe. Akzeptierte Werte sind always, "bad
user" und never.
--revert-impersonate-guest
Legt den Wert für --impersonate-guest auf den Systemstandard fest.
--impersonate-user<string>
Ermöglicht, dass der gesamte Dateizugriff als ein bestimmter Benutzer durchgeführt
wird. Der Wert muss ein vollständig qualifizierter Benutzername sein.
--revert-impersonate-user
Legt den Wert für --impersonate-user auf den Systemstandard fest.
--mangle-byte-start<string>
Gibt den wchar_t-Startpunkt für die automatische Änderung ungültiger Bytes an.
--revert-mangle-byte-start
Legt den Wert für --mangle-byte-start auf den Systemstandard fest.
--mangle-map<string>
Ordnet Zeichen zu, die in OneFS gültig, in SMB-Namen jedoch ungültig sind.
--revert-mangle-map
Legt den Wert für --mangle-map auf den Systemstandard fest.
--clear-mangle-map<string>
Löscht die Werte für die Zeichenänderungszuordnung.
--add-mangle-map<string>
Fügt eine Zeichenänderungszuordnung hinzu. Geben Sie für jede weitere
Zeichenänderungszuordnung, die hinzugefügt werden soll, --add-mangle-map
an.
--remove-mangle-map<string>
Entfernt eine Zeichenänderungszuordnung. Geben Sie für jede weitere
Zeichenänderungszuordnung, die entfernt werden soll, --remove-mangle-map
an.
--ntfs-acl-support {yes | no}
Gibt an, ob ACLs von SMB-Clients gespeichert und bearbeitet werden können.
--revert-ntfs-acl-support
Legt den Wert für --ntfs-acl-support auf den Systemstandard fest.
--oplocks {yes | no}
Gibt an, ob Oplock-Anforderungen zulässig sind.
--revert-oplocks
Legt den Wert für --oplocks auf den Systemstandard fest.
--strict-flush {yes | no}
409
Dateifreigabe
Gibt an, ob Löschanforderungen immer erfüllt werden.
--revert-strict-flush
Legt den Wert für --strict-flush auf den Systemstandard fest.
--strict-locking {yes | no}
Gibt an, ob der Server Dateisperren überprüft und erzwingt.
--revert-strict-locking
Legt den Wert für --strict-locking auf den Systemstandard fest.
--zone<string>
Gibt den Namen der Zugriffszone an.
isi smb settings shares view
Zeigt Standardeinstellungen für alle SMB-Freigaben oder für SMB-Freigaben in einer
angegebenen Zugriffszone an.
Syntax
isi smb settings shares view
[--zone <string>]
Optionen
--zone<string>
Gibt den Namen der Zugriffszone an. Zeigt nur die Einstellungen für Freigaben in der
angegebenen Zone an.
isi smb shares create
Erstellt eine SMB-Freigabe.
Syntax
isi smb shares create <name> <path>
[--zone <string>]
[--inheritable-path-acl {yes | no}]
[--create-path]
[--host-acl <string>]
[--csc-policy {none | documents | manual | programs}]
[--allow-variable-expansion {yes | no}]
[--auto-create-directory {yes | no}]
[--browsable {yes | no}]
[--mangle-byte-start <string>]
[--create-permissions {"default acl" | "inherit mode bits"
| "use create mask and mode"}]
[--mangle-map <string>]
[--change-notify <string>]
[--oplocks {yes | no}]
410
Dateifreigabe
Optionen
<name>
Erforderlich. Gibt den Namen für die neue SMB-Freigabe an.
<path>
Erforderlich. Gibt den vollständigen Pfad der zu erstellenden SMB-Freigabe an,
beginnend mit /ifs.
--zone<string>
Gibt die Zugriffszone an, der die neue SMB-Freigabe zugewiesen ist. Wenn keine
Zugriffszone angegeben wird, wird die neue SMB-Freigabe der Standardzone System
zugewiesen.
{--inheritable-path-acl | -i} {yes | no}
Wenn diese Option auf yes festgelegt wird und das übergeordnete Verzeichnis über
eine übernehmbare Zugriffskontrollliste (Access Control List, ACL) verfügt, wird die
ACL auf den Freigabepfad übernommen. Die Standardeinstellung ist no.
--create-path
Erstellt den SMB-Freigabepfad, falls keiner vorhanden ist.
--host-acl<string>
Gibt die ACL an, die den Hostzugriff definiert. Geben Sie für jede weitere Host-ACLKlausel --host-acl an.
Gibt eine Beschreibung für die SMB-Freigabe an.
--csc-policy {none | documents | manual | programs}, -C {none |
documents | manual | programs}
Legt die clientseitige Zwischenspeicherungs-Policy für die Freigabe fest. Gültige
Werte sind none, documents, manual und programs.
--allow-variable-expansion {yes | no}
Gibt die automatische Erweiterung von Variablen für Stammverzeichnisse an.
Erstellt Stammverzeichnisse automatisch.
--browsable {yes | no}, -b {yes | no}
Wenn diese Option auf yes festgelegt wird, wird die Freigabe in der Netzansicht und
Suchliste sichtbar. Die Standardeinstellung ist yes.
Wenn diese Option auf yes festgelegt wird, kann ein Benutzer mit Lesezugriff für eine
Datei diese auch ausführen. Die Standardeinstellung ist no.
Definiert, welche Maskenbits bei der Erstellung eines Verzeichnisses angewendet
werden.
isi smb shares create
411
Dateifreigabe
Wenn diese Option auf yes festgelegt wird, wird der Server angewiesen,
Dateisperren zu prüfen und erzwingen. Die Standardeinstellung ist no.
Wenn diese Option auf yes festgelegt wird, werden Dateien ausgeblendet, die mit
einem Dezimalzeichen beginnen, z. B. UNIX-Konfigurationsdateien. Die
Standardeinstellung ist no.
Ermöglicht Gastzugriff auf die Freigabe. Akzeptierte Werte sind always, "bad
user" und never.
Wenn diese Option auf yes festgelegt wird, werden Löschanforderungen immer
berücksichtigt. Die Standardeinstellung ist yes.
Wenn diese Option auf yes festgelegt wird, wird die Access-Based Enumeration nur
für die Dateien und Ordner aktiviert, auf die der anfordernde Benutzer zugreifen kann.
Die Standardeinstellung ist no.
Wenn diese Option auf yes festgelegt wird, wird die Access-Based Enumeration nur
im Stammverzeichnis der SMB-Freigabe aktiviert. Die Standardeinstellung ist no.
--mangle-byte-start<string>
Gibt den wchar_t-Startpunkt für die automatische Änderung ungültiger Bytes an.
Definiert, welche Maskenbits bei der Erstellung einer Datei angewendet werden.
--create-permissions {"default acl" | "inherit mode bits" |
"use create mask and mode"}
Legt fest, dass bei der Erstellung einer Datei oder eines Verzeichnisses die
Standardberechtigungen angewendet werden. Gültige Werte sind "default acl",
"inherit mode bits" und "use create mask and mode"
--mangle-map<string>
Ordnet Zeichen zu, die in OneFS gültig, in SMB-Namen jedoch ungültig sind.
Ermöglicht, dass der gesamte Dateizugriff als ein bestimmter Benutzer durchgeführt
wird. Dieser Wert muss ein vollständig qualifizierter Benutzername sein.
--change-notify {norecurse | all | none}
Definiert die Einstellung für die Benachrichtigung bei Änderungen. Akzeptierte Werte
sind norecurse, all oder none.
Wenn diese Option auf yes festgelegt wird, sind Oplock-Anforderungen zulässig. Die
Standardeinstellung ist yes.
Wenn diese Option auf yes festgelegt wird, können schreibgeschützte Dateien
gelöscht werden. Die Standardeinstellung ist no.
412
Dateifreigabe
Definiert, welche Modusbits bei der Erstellung eines Verzeichnisses angewendet
werden.
Wenn diese Option auf yes festgelegt wird, können ACLs von SMB-Clients
gespeichert und bearbeitet werden. Die Standardeinstellung ist yes.
Definiert, welche Modusbits bei der Erstellung einer Datei angewendet werden.
Mit dem folgenden Beispielbefehl wird angegeben, dass das Subnetz 10.7.215.0/24 auf
die Freigabe zugreifen kann, allen anderen Subnetzen jedoch der Zugriff verweigert wird:
--host-acl=allow:10.7.216.0/24 --host-acl=deny:ALL
isi smb shares delete
Löscht eine SMB-Freigabe.
Syntax
isi smb shares delete <share>
[--zone <string>]
[--force]
Optionen
<share>
Gibt den Namen der zu löschenden SMB-Freigabe an.
--zone<string>
Gibt die Zugriffszone an, der die SMB-Freigabe zugewiesen ist. Wenn keine
Zugriffszone angegeben wird, löscht das System die SMB-Freigabe mit dem
angegebenen Namen, der der Standardzone System zugewiesen ist, wenn diese
gefunden wird.
{--force | -f}
Beispiele
Mit dem folgenden Befehl wird eine Freigabe namens „test-smb“ in der Zugriffszone
„example-zone“ ohne Anzeige einer Warnung gelöscht:
isi smb shares delete test-smb --zone example-zone --force
isi smb shares list
Zeigt eine Liste mit SMB-Freigaben an.
Syntax
isi smb shares list
[--zone <string>]
[--limit <integer>]
[--sort {name | path | description}]
[--descending]
isi smb shares delete
413
Dateifreigabe
[--no-header]
[--no-footer]
[--verbose]
Optionen
--zone<string>
Gibt die Zugriffszone an. Zeigt alle SMB-Freigaben in der angegebenen Zone an.
Wenn keine Zugriffszone angegeben wird, zeigt das System alle SMB-Freigaben in der
Standardzone System an.
Gibt die maximale Anzahl der Elemente an, die aufgelistet werden sollen.
--sort {name | path | description}
Gibt das Feld an, nach dem die Elemente sortiert werden sollen.
{--descending | -d}
Sortiert die Daten in absteigender Reihenfolge.
{--no-header | -a}
{--no-footer | -z}
--verbose | -v
isi smb shares modify
Ändert die Einstellungen einer SMB-Freigabe.
Syntax
isi smb shares modify <share>
[--name <string>]
[--path <path>]
[--zone <string>]
[--new-zone <string>]
[--host-acl <host-acl>]
[--revert-host-acl]
[--clear-host-acl]
[--add-host-acl <string>]
[--remove-host-acl <string>]
[--csc-policy {manual | documents | programs | none}]
[--revert-csc-policy]
[--allow-variable-expansion {yes | no}]
[--revert-allow-variable-expansion]
[--auto-create-directory {yes | no}]
[--revert-auto-create-directory {yes | no}]
[--browsable {yes | no}]
[--revert-browsable]
[--revert-allow-execute-always]
414
Dateifreigabe
[--revert-directory-create-mask]
[--revert-strict-locking]
[--revert-hide-dot-files]
[--revert-impersonate-guest]
[--revert-strict-flush]
[--revert-access-based-enumeration]
[--revert-access-based-enumeration-root-only]
[--mangle-byte-start <integer>]
[--revert-mangle-byte-start]
[--revert-file-create-mask]
[--create-permissions {"default acl" | "inherit mode bits"
| "use create mask and mode"}]
[--revert-create-permissions]
[--mangle-map <mangle-map>]
[--revert-mangle-map]
[--clear-mangle-map]
[--add-mangle-map <string>]
[--remove-mangle-map <string>]
[--revert-impersonate-user]
[--change-notify {all | norecurse | none}'
[--revert-change-notify]
[--oplocks {yes | no}]
[--revert-oplocks]
[--revert-allow-delete-readonly]
[--revert-directory-create-mode]
[--revert-ntfs-acl-support]
[--revert-file-create-mode]
[--verbose]
Optionen
<share>
Erforderlich. Gibt den Namen der zu ändernden SMB-Freigabe an.
--name<name>
Gibt den Namen für die SMB-Freigabe an.
--path<path>
Gibt einen neuen Pfad für die SMB-Freigabe an, beginnend in /ifs.
--zone<string>
Zugriffszone angegeben wird, ändert das System die SMB-Freigabe mit dem
angegebenen Namen, der der Standardzone System zugewiesen ist, wenn diese
gefunden wird.
--new-zone<string>
Gibt die neue Zugriffszone an, der die SMB-Freigabe erneut zugewiesen wird.
--host-acl<host-acl>
415
Dateifreigabe
Eine ACL, die ausdrückt, welchen Hosts Zugriff gewährt wird. Geben Sie für jede
weitere Host-ACL-Klausel --host-acl an.
--revert-host-acl
Legt den Wert für --host-acl auf den Systemstandard fest.
--clear-host-acl
Löscht den Wert für eine ACL, die ausdrückt, welchen Hosts Zugriff gewährt wird.
--add-host-acl<string>
Fügt eine ACL hinzu, die ausdrückt, welchen Hosts Zugriff gewährt wird. Geben Sie -add-host-acl für jede weitere Host ACL-Klausel an, die hinzugefügt werden soll.
--remove-host-acl<string>
Entfernt eine ACL, die ausdrückt, welchen Hosts Zugriff gewährt wird. Geben Sie -remove-host-acl für jede weitere Host ACL-Klausel an, die entfernt werden soll.
Die Beschreibung für diese SMB-Freigabe.
--csc-policy, -C {manual | documents | programs | none}
Gibt die clientseitige Zwischenspeicherungs-Policy für die Freigaben an.
--revert-csc-policy
Legt den Wert für --csc-policy auf den Systemstandard fest.
{--allow-variable-expansion | -a} {yes | no}
Lässt die automatische Erweiterung von Variablen für Stammverzeichnisse zu.
--revert-allow-variable-expansion
Legt den Wert für --allow-variable-expansion auf den Systemstandard fest.
{--auto-create-directory | -d} {yes | no}
Erstellt automatisch Stammverzeichnisse.
--revert-auto-create-directory
Legt den Wert für --auto-create-directory auf den Systemstandard fest.
{--browsable | -b} {yes | no}
Die Freigabe ist in der Netzansicht und der Suchliste sichtbar.
--revert-browsable
Legt den Wert für --browsable auf den Systemstandard fest.
Ermöglicht Benutzern die Ausführung von Dateien, für die sie Leseberechtigungen
haben.
--revert-allow-execute-always
Legt den Wert für --allow-execute-always auf den Systemstandard fest.
Gibt die Maskenbits für die Erstellung des Verzeichnisses an.
--revert-directory-create-mask
Legt den Wert für --directory-create-mask auf den Systemstandard fest.
Gibt an, ob Bytebereichssperren mit SMB-I/O-Vorgängen konkurrieren.
416
Dateifreigabe
--revert-strict-locking
Legt den Wert für --strict-locking auf den Systemstandard fest.
Blendet Dateien und Verzeichnisse aus, die mit einem Punkt „.“ beginnen.
--revert-hide-dot-files
Legt den Wert für --hide-dot-files auf den Systemstandard fest.
Gibt die Bedingung an, unter der der Benutzerzugriff als Gastkonto durchgeführt wird.
--revert-impersonate-guest
Legt den Wert für --impersonate-guest auf den Systemstandard fest.
Verarbeitet die SMB-Löschvorgänge.
--revert-strict-flush
Legt den Wert für --strict-flush auf den Systemstandard fest.
Gibt an, dass nur Dateien und Ordner aufgezählt werden, auf die der anfordernde
Benutzer Zugriff hat.
--revert-access-based-enumeration
Legt den Wert für --access-based-enumeration auf den Systemstandard fest.
Gibt die Access-Based Enumeration nur im Stammverzeichnis der Freigabe an.
--revert-access-based-enumeration-root-only
Legt den Wert für --access-based-enumeration-root-only auf den
Systemstandard fest.
--mangle-byte-start<integer>
Gibt den wchar_t-Startpunkt für die automatische Änderung von Bytes an.
--revert-mangle-byte-start
Legt den Wert für --mangle-byte-start auf den Systemstandard fest.
Gibt die Maskenbits für die Erstellung der Datei an.
--revert-file-create-mask
Legt den Wert für --file-create-mask auf den Systemstandard fest.
--create-permissions {"default acl" | "inherit mode bits" | "use
create mask and mode"}
Legt die Erstellungsberechtigungen für neue Dateien und Verzeichnisse in einer
Freigabe fest.
--revert-create-permissions
Legt den Wert für --create-permissions auf den Systemstandard fest.
--mangle-map<mangle-map>
Die Zeichenänderungszuordnung. Geben Sie --mangle-map für jede weitere
Zeichenänderungszuordnung an.
417
Dateifreigabe
--revert-mangle-map
Legt den Wert für --mangle-map auf den Systemstandard fest.
--clear-mangle-map
Löscht den Wert für die Zeichenänderungszuordnung.
--add-mangle-map<string>
Fügt eine Zeichenänderungszuordnung hinzu. Geben Sie --add-mangle-map für
jede weitere Zeichenänderungszuordnung an, die hinzugefügt werden soll.
--remove-mangle-map<string>
Entfernt eine Zeichenänderungszuordnung. Geben Sie --remove-mangle-map für
jede weitere Zeichenänderungszuordnung an, die entfernt werden soll.
Das Benutzerkonto, das als Gastkonto verwendet werden soll.
--revert-impersonate-user
Legt den Wert für --impersonate-user auf den Systemstandard fest.
--change-notify {all | norecurse | none}
Gibt das Level der Warnmeldungen für Änderungsbenachrichtigungen auf einer
Freigabe an.
--revert-change-notify
Legt den Wert für --change-notify auf den Systemstandard fest.
Unterstützt Oplocks.
--revert-oplocks
Setzt den Wert für --oplocks auf den Systemstandard zurück.
Lässt das Löschen von schreibgeschützten Dateien in der Freigabe zu.
--revert-allow-delete-readonly
Setzt den Wert für --allow-delete-readonly auf den Systemstandard zurück.
Gibt die Modusbits für die Erstellung des Verzeichnisses an.
--revert-directory-create-mode
Setzt den Wert für --directory-create-mode auf den Systemstandard zurück.
Unterstützt NTFS-ACLs für Dateien und Verzeichnisse.
--revert-ntfs-acl-support
Setzt den Wert für --ntfs-acl-support auf den Systemstandard zurück.
Gibt die Modusbits für die Erstellung der Datei an.
--revert-file-create-mode
Setzt den Wert für --file-create-mode auf den Systemstandard zurück.
418
Dateifreigabe
isi smb shares permission create
Erstellt Berechtigungen für eine SMB-Freigabe.
Syntax
isi smb shares permission create <share> {<user> | --group <name>
| --gid <id> | --uid <id> | --sid <string> | --wellknown <string>}
{--run-as-root | --permission-type {allow | deny}
--permission {full | change | read}}
[--zone <zone>]
[--verbose]
Optionen
<share>
Gibt den Namen der SMB-Freigabe an.
<user>
--group<name>
--gid<id>
Gibt eine Gruppe nach UNIX-Gruppenkennung an.
--uid<id>
Gibt einen Benutzer nach UNIX-Benutzerkennung an.
--sid<string>
Gibt ein Objekt nach seiner Windows-Sicherheitskennung an.
--wellknown<string>
{--permission-type | -d} {deny | allow}
Gibt an, ob eine Berechtigung gewährt oder verweigert wird.
{--permission | -p} {read | full | change}
Gibt den Grad der Kontrolle an, die gewährt oder verweigert wird.
--run-as-root {yes | no}
Wenn diese Option auf yes festgelegt wird, darf das Konto als Stammkonto
ausgeführt werden. Die Standardeinstellung ist no.
--zone<zone>
{--verbose | -v}
isi smb shares permission delete
Löscht Benutzer- oder Gruppenberechtigungen für eine SMB-Freigabe.
isi smb shares permission create
419
Dateifreigabe
Syntax
isi smb shares permission delete <share> {<user> | --group <name>
|--gid <id> | --uid <id> | --sid <string> | --wellknown <string>}
[--zone <string>]
[--force]
[--verbose]
Optionen
<share>
Erforderlich. Gibt den Namen der SMB-Freigabe an.
<user>
--group<name>
--gid<id>
--uid<id>
--sid<string>
--wellknown<string>
--zone<string>
{--force | -f}
Gibt an, dass der Befehl ohne Bestätigungsaufforderung ausgeführt werden soll.
{--verbose | -v}
isi smb shares permission list
Zeigt eine Liste der Berechtigungen für eine SMB-Freigabe an.
Syntax
isi smb shares permission list <share>
[--zone <zone>]
[--no-header]
[--no-footer]
Optionen
<share>
Gibt den Namen der anzuzeigenden SMB-Freigabe an.
--zone<zone>
Gibt die anzuzeigende Zugriffszone an.
420
Dateifreigabe
{--no-header | -a}
{--no-footer | -z}
isi smb shares permission modify
Ändert Berechtigungen für eine SMB-Freigabe.
Syntax
isi smb shares permission modify <share> {<user> | --group <name>
| --gid <id> | --uid <id> | --sid <string> | --wellknown <string>}
{--run-as-root | --permission-type {allow | deny}
--permission {full | change | read}}
[--zone <zone>]
[--verbose]
Optionen
<share>
<user>
--group<name>
--gid<id>
--uid<id>
--sid<string>
--wellknown<string>
{--permission-type | -d} {deny | allow}
Gibt an, ob eine Berechtigung gewährt oder verweigert wird.
{--permission | -p} {read | full | change}
Gibt den Grad der Kontrolle an, die gewährt oder verweigert wird.
--run-as-root {yes | no}
Wenn diese Option auf yes festgelegt wird, darf das Konto als Stammkonto
ausgeführt werden. Die Standardeinstellung ist no.
--zone<zone>
{--verbose | -v}
isi smb shares permission modify
421
Dateifreigabe
isi smb shares permission view
Zeigt eine einzige Berechtigung für eine SMB-Freigabe an.
Syntax
isi smb shares permission view <share> {<user> |
--group <name> | --gid <integer>
| --uid <integer> | --sid <string>
[--zone <string>]
Optionen
<share>
<user>
Gibt einen Benutzernamen an.
--group<name>
Gibt einen Gruppennamen an.
--gid<integer>
Gibt eine numerische Gruppenkennung an.
--uid<integer>
Gibt eine numerische Benutzerkennung an.
--sid<string>
Gibt eine Sicherheitskennung an.
--wellknown<string>
--zone<string>
isi smb shares view
Zeigt Informationen zu einer SMB-Freigabe an.
Syntax
isi smb shares view <share>
[--zone <string>]
Optionen
<share>
Gibt den Namen der anzuzeigenden SMB-Freigabe an.
--zone<string>
Zugriffszone angegeben wird, zeigt das System die SMB-Freigabe mit dem
angegebenen Namen an, der der Standardzone System zugewiesen ist, wenn diese
gefunden wird.
422
Dateifreigabe
NFS-Befehle
Sie können über die NFS-Befehle auf den NFS-Dateifreigabeservice zugreifen und diesen
mithilfe der Befehle konfigurieren.
isi nfs log-level
Konfiguriert die NFS-Protokollierung in OneFS.
Um diesen Befehl zu verwenden, müssen Sie über ISI_PRIV_NFS oder höhere
Administratorrechte in OneFS verfügen.
Syntax
isi nfs log-level
--set {always | error | warning | info | verbose | debug | trace}
--reset
Optionen
None
Ohne optionalen Parameter, wird das aktuell festgelegte Protokolllevel angezeigt.
--set {always | error | warning | info | verbose | debug | trace}
Gibt das gewünschte NFS-Protokolllevel für diesen Node an, wie in der folgenden
Tabelle beschrieben.
Protokolllevel
Beschreibung
always
Gibt an, dass alle NFS-Events in NFS-Protokolldateien protokolliert werden.
error
Gibt an, dass nur NFS-Fehlerbedingungen in NFS-Protokolldateien
protokolliert werden.
Warnung
Gibt an, dass nur NFS-Warnungsbedingungen in NFS-Protokolldateien
Info
Gibt an, dass nur NFS-Informationsbedingungen in NFS-Protokolldateien
verbose
Gibt detaillierte Protokollierung an.
Debug
Fügt Informationen hinzu, die EMC Isilon nutzen kann, um Probleme zu
beheben
trace
Fügt Nachverfolgungsinformationen hinzu, die EMC Isilon verwenden kann,
um Probleme zu ermitteln
--reset
Setzt das Protokolllevel auf den Systemstandard zurück.
Beispiele
Mit dem folgenden Befehl wird das NFS-Protokolllevel auf nur error festgelegt:
isi nfs log-level --set error
NFS-Befehle
423
Dateifreigabe
Mit dem folgenden Befehl wird das NFS-Protokolllevel auf den Systemstandard
zurückgesetzt:
isi nfs log-level --reset
isi nfs aliases create
Erstellt ein NFS-Alias, das eine Verknüpfung zu einem Verzeichnispfad unter /ifs ist. Ein
Zielverzeichnis eines Alias kann in einen NFS-Export gestellt werden und in diesem Fall
können NFS-Clients den Aliasnamen mounten.
Syntax
isi nfs aliases create <name> <path>
[--zone <string>]
[--force]
Optionen
<name>
Der Aliasname. Aliasnamen müssen als Unix-Stammverzeichnis mit einem einfachen
Schrägstrich gebildet werden, gefolgt von dem Namen. Zum Beispiel: /home.
<path>
Der OneFS-Verzeichnispfadname, zu dem der Alias eine Verknüpfung herstellt. Der
Pfadname muss ein absoluter Pfad unterhalb der Zugriffszonen-Root sein. Zum
Beispiel: /ifs/data/ugroup1/home.
--zone
Die Zugriffszone, in der das Alias aktiv ist.
--force
Erzwingt die Erstellung des Alias, ohne dass eine Bestätigung erforderlich ist.
Beispiele
Mit dem folgenden Befehl wird ein Alias in einer Zone namens ugroup1 erstellt:
isi nfs aliases create /home /ifs/data/ugroup1/home
--zone ugroup1
isi nfs aliases delete
Löscht ein zuvor erstelltes Alias.
Syntax
isi nfs aliases delete <name>
[--zone <string>]
[--force]
Optionen
<name>
Der Name des Alias, das gelöscht werden soll.
--zone<string>
--force
Erzwingt das Löschen des Alias, ohne dass der Vorgang bestätigt werden muss.
424
Dateifreigabe
Beispiele
Mit dem folgenden Befehl wird ein Alias aus einer Zone namens ugroup1 gelöscht:
isi nfs aliases delete /projects --zone ugroup1
Wenn Sie die Option --force im Befehl nicht verwenden, fordert OneFS Sie auf, das
Löschen zu bestätigen. Geben Sie yes ein, um zu bestätigen, oder no, um den Vorgang
abzulehnen, und drücken Sie die EINGABETASTE.
Listet NFS-Aliasnamen auf, die in der aktuellen Zugriffszone verfügbar sind.
Syntax
[--check]
[--zone <string>]
[--limit <integer>]
[--sort {zone | name | path | health]
[--descending]
[--no-header]
[--no-footer]
Optionen
--check
Zeigt für die aktuelle Zone eine Liste von Aliasnamen und ihren Integritätsstatus an.
--zone<string>
--limit<integer>
Zeigt nicht mehr als die angegebene Anzahl von NFS-Aliasnamen an.
--sort {zone | name | path | health}
Gibt das Feld an, nach dem sortiert werden soll.
--descending
Gibt an, dass die Daten in absteigender Reihenfolge sortiert werden sollen.
--no-header
--no-footer
Beispiele
Mit dem folgenden Befehl wird eine Tabelle der Aliasnamen in einer Zone namens
ugroup1 mit ihrem Integritätsstatus angezeigt.
isi nfs aliases list --zone ugroup1 --check
425
Dateifreigabe
Die Ausgabe des Befehls entspricht dem folgenden Beispiel:
Zone
Name
Path
Health
-------------------------------------------------------ugroup1 /home
/ifs/data/offices/newyork good
ugroup1 /root_alias
/ifs/data/offices
good
ugroup1 /project
/ifs/data/offices/project good
-------------------------------------------------------Total: 3
isi nfs aliases modify
Ändert den Namen, die Zone oder den absoluten Pfad eines Alias.
Syntax
isi nfs aliases modify <alias>
[--zone <string>]
[--name <string>]
[--path <string>]
Optionen
<alias>
Der aktuelle Name des Alias, zum Beispiel /home.
--zone<string>
Die Zugriffszone, in der das Alias derzeit aktiv ist.
--new-zone<string>
Die neue Zugriffszone, in der das Alias aktiv werden soll.
--name<string>
Einen neuer Name für das Alias.
--path<string>
Der OneFS-Verzeichnispfadname, zu dem der Alias eine Verknüpfung herstellen soll.
Der Pfadname muss ein absoluter Pfad unterhalb der Zugriffszonen-Root sein. Zum
Beispiel: /ifs/data/ugroup2/home.
Beispiele
Mit dem folgenden Befehl werden die Zone, der Name und der Pfad eines vorhandenen
Alias geändert:
isi nfs aliases modify /home --name /users --zone ugroup1 --new-zone
ugroup2
--path /ifs/data/ugroup2/users
isi nfs aliases view
Zeigt Informationen über einen Alias in der aktuellen Zone an.
Syntax
isi nfs aliases view <name>
[--zone <string>]
[--check]
Optionen
<name>
426
Dateifreigabe
Der Aliasname.
--zone<string>
--check
Schließen Sie den Integritätsstatus des Alias ein.
Beispiele
Mit dem folgenden Befehl wird eine Tabelle mit Informationen einschließlich des
Integritätsstatus eines Alias namens /projects angezeigt, das sich in der aktuellen
Zone befindet.
isi nfs aliases view /projects --check
isi nfs exports check
Überprüft auf Listenkonfigurationsfehler für NFS-Exporte und listet sie auf, einschließlich
in Konflikt stehender Exportregeln, fehlerhafter Pfade, nicht auflösbarer Hostnamen und
nicht auflösbarer Netzgruppen.
Syntax
[--limit <integer>]
[--zone <string>
[--no-header]
[--no-footer]
[--verbose]
Optionen
--limit<integer>
Zeigt nicht mehr als die angegebene Anzahl von NFS-Exporten an.
--zone<string>
Gibt die Zugriffszone an, in der der Export erstellt wurde.
[--format {table | json | csv | list}
--no-header
--no-footer
--verbose
Beispiele
Mit dem folgenden Befehl werden die Exporte in einer Zone namens Zone-1 überprüft:
isi nfs exports check --zone Zone-1
427
Dateifreigabe
Wenn die Überprüfung keine Probleme findet, gibt sie eine leere Tabelle zurück. Wenn die
Prüfung jedoch ein Problem feststellt, gibt sie eine Anzeige ähnlich der folgenden zurück:
ID
Message
--------------------------------------3
'/ifs/data/project' does not exist
--------------------------------------Total: 1
isi nfs exports create
Erstellt einen NFS-Export.
Hinweis
Um die Standardeinstellungen für den NFS-Export anzuzeigen, die bei der Erstellung
eines Exports angewendet werden, führen Sie den Befehl isi nfs settings
export view aus.
Syntax
isi nfs exports create <paths>
[--block-size <size>]
[--can-set-time {yes | no}]
[--case-insensitive {yes | no}]
[--case-preserving {yes | no}]
[--chown-restricted {yes | no}]
[--directory-transfer-size <size>]
[--link-max <integer>]
[--max-file-size <size>]
[--name-max-size <integer>]
[--no-truncate {yes | no}]
[--return-32bit-file-ids {yes | no}]
[--symlinks {yes | no}]
[--zone <string>]
[--clients <string>]
[--root-clients <string>]
[--read-write-clients <string>]
[--read-only-clients <string>]
[--all-dirs {yes | no}]
[--encoding <string>]
[--security-flavors {unix | krb5 | krb5i | krb5p}]
[--snapshot <snapshot>]
[--map-lookup-uid {yes | no}]
[--map-retry {yes | no}]
[--map-root-enabled {yes | no}]
[--map-non-root-enabled {yes | no}]
[--map-failure-enabled {yes | no}]
[--map-all <identity>]
[--map-root <identity>]
[--map-non-root <identity>]
[--map-failure <identity>]
[--map-full {yes | no}]
[--commit-asynchronous {yes | no}]
[--read-only {yes | no}]
[--readdirplus {yes | no}]
[--read-transfer-max-size <size>]
[--read-transfer-multiple <integer>]
[--read-transfer-size <size>]
[--setattr-asynchronous {yes | no}]
[--time-delta <time delta>]
[--write-datasync-action {datasync | filesync |unstable}]
[--write-datasync-reply {datasync | filesync}]
[--write-filesync-action {datasync | filesync |unstable}]
428
Dateifreigabe
[--write-filesync-reply filesync]
[--write-unstable-action {datasync | filesync |unstable}]
[--write-unstable-reply {datasync | filesync |unstable}]
[--write-transfer-max-size <size>]
[--write-transfer-multiple <integer>]
[--write-transfer-size <size>]
[--force]
[--verbose]
Optionen
--paths<paths> ...
Required. Gibt den Pfad für den Export an und beginnt mit /ifs. Diese Option kann
wiederholt werden, um mehrere Pfade anzugeben.
--block-size<size>
Gibt die Blockgröße in Byte an.
--can-set-time {yes | no}
Wenn diese Option auf yes festgelegt wird, kann der Export die Zeit festlegen. Die
Standardeinstellung ist no..
--case-insensitive {yes | no}
Bei yes meldet der Server, dass er die Groß- und Kleinschreibung für Dateinamen
ignoriert. Die Standardeinstellung ist no..
--case-preserving {yes | no}
immer beibehält. Die Standardeinstellung ist no..
--chown-restricted {yes | no}
Bei yes meldet der Server, dass nur der Superuser Dateieigentumsrechte ändern
kann. Die Standardeinstellung ist no..
--directory-transfer-size<size>
Gibt die bevorzugte Verzeichnisübertragungsgröße an. Gültige Werte sind eine Zahl
gefolgt von einer Maßeinheit, bei der die Groß-/Kleinschreibung beachtet wird: b für
Bytes, K für KB, M für MB oder G für GB. Wenn keine Einheit angegeben wird, werden
standardmäßig Bytes verwendet. Der Höchstwert ist 4294967295b. Der
standardmäßige erste Wert ist 128K.
--link-max<integer>
Die gemeldete maximale Anzahl von Links zu einer Datei.
--max-file-size<size>
Gibt die maximal zulässige Dateigröße auf dem Server (in Byte) an. Wenn eine Datei
größer als der angegebene Wert ist, wird eine Fehlermeldung zurückgegeben.
--name-max-size<integer>
Die gemeldete maximale Länge der Zeichen in einem Dateinamen.
--no-truncate {yes | no}
Bei yes führen zu lange Dateinamen zu einem Fehler anstatt zu einer Kürzung.
--return-32bit-file-ids {yes | no}
429
Dateifreigabe
Gilt für NFSv3 und NFSv4. Wenn diese Option auf yes festgelegt wird, wird die Größe
der von „readdir“ zurückgegebenen Dateikennungen auf 32-Bit-Werte beschränkt.
Der Standardwert ist no.
Hinweis
Diese Einstellung wird für die Abwärtskompatibilität mit älteren NFS-Clients
bereitgestellt und sollte nicht aktiviert werden, wenn es nicht erforderlich ist.
--symlinks {yes | no}
Wenn diese Option auf yes festgelegt wird, wird der Support für symbolische
Verknüpfungen angegeben. Die Standardeinstellung ist no..
--zone<string>
Zugriffszone, in der der Export anzuwenden ist. Die Standardzone ist system.
--clients<string>
Gibt einen Client an, dem Zugriff über diesen Export gewährt wird. Geben Sie Clients
als IP, Hostname, Netzwerkgruppe oder CIDR-Bereich an. Sie können mehrere Clients
hinzufügen, indem Sie diese Option wiederholen.
Hinweis
Diese Option ersetzt die gesamte Liste der Clients. Um der Liste einen Client
hinzuzufügen oder einen Client daraus zu entfernen, geben Sie --add-clients
oder --remove-clients an.
Die Beschreibung für diesen NFS-Export.
--root-clients<string>
Mit dieser Option kann der Stammbenutzer des angegebenen Clients Vorgänge als
Stammbenutzer des Clusters ausführen. Diese Option setzt die Optionen --mapall und --map-root für den angegebenen Client außer Kraft.
Geben Sie Clients als IP, Hostname, Netzwerkgruppe oder CIDR-Bereich an. Sie
können mehrere Clients in einer kommagetrennten Liste angeben.
--read-write-clients<string>
Gewährt dem angegebenen Client Lese-/Schreibberechtigungen für diesen Export.
Diese Option setzt die Option --read-only für den angegebenen Client außer
Kraft.
--read-only-clients<string>
Schränkt den angegebenen Client auf eine Leseberechtigung für diesen Export ein.
Kraft.
--all-dirs {yes | no}
Wenn diese Option auf yes festgelegt wird, deckt dieser Export alle Verzeichnisse
ab. Die Standardeinstellung ist no..
--encoding<string>
430
Dateifreigabe
Gibt die Zeichencodierung von Clients an, die über diesen NFS-Export eine
Verbindung herstellen.
Gültige Werte und ihre entsprechenden Zeichencodierungen sind in der folgenden
Tabelle aufgeführt. Diese Werte werden aus der Datei /etc/encodings.xml des
Nodes entnommen und hierbei wird nicht zwischen Groß- und Kleinschreibung
unterschieden.
Wert
Codierung
cp932
Windows-SJIS
cp949
Windows-949
cp1252
Windows-1252
euc-kr
EUC-KR
euc-jp
EUC-JP
euc-jp-ms
EUC-JP-MS
utf-8-mac
UTF-8-MAC
utf-8
UTF-8
iso-8859-1
ISO-8859-1 (Latin-1)
iso-8859-2
iso-8859-3
iso-8859-4
iso-8859-5
ISO-8859-5 (Kyrillisch)
iso-8859-6
ISO-8859-6 (Arabisch)
iso-8859-7
ISO-8859-7 (Griechisch)
iso-8859-8
ISO-8859-8 (Hebräisch)
iso-8859-9
iso-8859-10 ISO-8859-10 (Latin-6)
iso-8859-13 ISO-8859-13 (Latin-7)
iso-8859-14 ISO-8859-14 (Latin-8)
iso-8859-15 ISO-8859-15 (Latin-9)
iso-8859-16 ISO-8859-16 (Latin-10)
--security-flavors {unix | krb5 | krb5i | krb5p} ...
Gibt eine Sicherheitsvariante an, die unterstützt werden soll. Um mehrere
Sicherheitsvarianten zu unterstützen, wiederholen Sie diese Option für jeden
weiteren Eintrag. Die folgenden Werte sind gültig:
sys
System- oder UNIX-Authentifizierung.
krb5
Kerberos V5-Authentifizierung.
krb5i
Kerberos V5-Authentifizierung mit Integrität.
431
Dateifreigabe
krb5p
Kerberos V5-Authentifizierung mit Datenschutz.
--snapshot {<snapshot> | <snapshot-alias>}
Gibt die ID eines zu exportierenden Snapshot oder Snapshot-Aliasnamens an. Wenn
Sie diese Option angeben, werden Verzeichnisse in dem Status exportiert, der
entweder im angegebenen Snapshot oder in dem vom angegebenen SnapshotAliasnamen referenzierten Snapshot erfasst wird. Wenn der Snapshot den
exportierten Pfad nicht erfasst, können Benutzer nicht auf den Export zugreifen.
Wenn Sie einen Snapshot-Aliasnamen angeben und der Aliasname später geändert
wird, um einen neuen Snapshot zu referenzieren, wird der neue Snapshot
automatisch dem Export zugewiesen.
Da Snapshots schreibgeschützt sind, können Clients nur dann Daten über den Export
ändern, wenn Sie die ID eines Snapshot-Aliasnamens angeben, der die Liveversion
des Dateisystems referenziert.
Geben Sie <snapshot> oder <snapshot-alias> als ID oder Namen eines Snapshot oder
Snapshot-Aliasnamens an.
--map-lookup-uid {yes | no}
Wenn diese Option auf yes festgelegt wird, werden eingehende UNIXBenutzerkennungen (UIDs) lokal gesucht. Die Standardeinstellung ist no..
--map-retry {yes | no}
Wenn diese Option auf yes festgelegt wird, versucht das System, fehlgeschlagene
Benutzerzuordnungssuchen erneut auszuführen. Die Standardeinstellung ist no..
--map-root-enabled {yes | no}
Aktivieren/Deaktivieren Sie die Zuordnung von eingehenden Root-Benutzern zu
einem bestimmten Konto.
--map-non-root-enabled {yes | no}
Aktivieren/Deaktivieren Sie die Zuordnung von eingehenden Nicht-Root-Benutzern zu
--map-failure-enabled {yes | no}
Aktivieren/Deaktivieren Sie die Zuordnung von Benutzern zu einem bestimmten
Konto, nachdem eine Authentifizierungsabfrage fehlgeschlagen ist.
--map-all<identity>
Gibt die Standardidentität an, unter der die Vorgänge von einem beliebigen Benutzer
ausgeführt werden. Wenn diese Option nicht auf root festgelegt wird, können Sie
zulassen, dass der Stammbenutzer eines bestimmten Clients Vorgänge als
Stammbenutzer des Clusters ausführen kann, indem Sie den Client in die --rootclients-Liste einschließen.
--map-root<identity>
Ordnen Sie eingehende Root-Benutzer zu einem bestimmten Benutzer und/oder einer
Gruppen-ID zu.
--map-non-root<identity>
Ordnen Sie Nicht-Root-Benutzer zu einem bestimmten Benutzer und/oder einer
Gruppen-ID zu.
--map-failure<identity>
432
Dateifreigabe
Ordnen Sie Benutzer einem bestimmten Benutzer und/oder einer Gruppen-ID zu,
nachdem eine Authentifizierungsabfrage fehlgeschlagen ist.
--map-full {yes | no}
Wenn diese Option auf yes festgelegt wird, wird eine vollständige Auflösung der
Identitätszuordnung für zugeordnete Benutzer verwendet. Die Standardeinstellung ist
no..
--commit-asynchronous {yes | no}
Wenn diese Option auf yes festgelegt wird, können Vorgänge zum Übergeben der
Daten asynchron durchgeführt werden. Die Standardeinstellung lautet no
--read-only {yes | no}
Bestimmt die Standardberechtigungen für alle Clients, die auf den Export zugreifen.
Wenn diese Option auf yes festgelegt wird, können Sie einem bestimmten Client
Lese-/Schreibberechtigungen gewähren, einschließlich des Clients in der --readwrite-clients-Liste.
Wenn diese Option auf no festgelegt wird, können Sie einen bestimmten Client auf
Leseberechtigungen einschränken, indem Sie den Client in die --read-onlyclients-Liste einschließen. Die Standardeinstellung ist no..
--readdirplus {yes | no}
Gilt nur für NFSv3. Wenn diese Option auf yes festgelegt wird, wird die Verarbeitung
von readdir-plus-Anforderungen aktiviert. Die Standardeinstellung ist no..
--read-transfer-max-size<size>
Gibt die maximale Übertragungsgröße für Lesevorgänge an, die NFSv3- und NFSv4Clients gemeldet werden. Gültige Werte sind eine Zahl gefolgt von einer Maßeinheit,
bei der die Groß-/Kleinschreibung beachtet wird: b für Bytes, K für KB, M für MB oder
G für GB. Wenn keine Einheit angegeben wird, werden standardmäßig Bytes
verwendet. Der Höchstwert ist 4294967295b. Der standardmäßige erste Wert ist
512K.
--read-transfer-multiple<integer>
Gibt die vorgeschlagene Größe für mehrfache Lesevorgänge an, die NFSv3- und
NFSv4-Clients gemeldet werden. Gültige Werte sind 0-4294967295. Der anfängliche
--read-transfer-size<size>
Gibt die bevorzugte Übertragungsgröße für Lesevorgänge an, die NFSv3- und NFSv4Clients gemeldet werden. Gültige Werte sind eine Zahl gefolgt von einer Maßeinheit,
128K.
--setattr-asynchronous {yes | no}
Wenn diese Option auf yes festgelegt wird, werden set-attributes-Vorgänge
asynchron durchgeführt. Die Standardeinstellung ist no..
--time-delta<float>
Gibt die Granularität der Serverzeit in Sekunden an.
--write-datasync-action {datasync | filesync | unstable}
433
Dateifreigabe
Gilt nur für NFSv3 und NFSv4. Gibt eine alternative datasync-Schreibmethode an. Die
folgenden Werte sind gültig:
l
datasync
l
filesync
l
unstable
Der Standardwert ist datasync, mit dem die Anforderung wie angegeben
durchgeführt wird.
--write-datasync-reply {datasync | filesync}
Gilt nur für NFSv3 und NFSv4. Gibt eine alternative datasync-Antwortmethode an. Die
l
datasync
l
filesync
Der Standardwert ist datasync (es wird nicht anders geantwortet).
--write-filesync-action {datasync | filesync | unstable}
Gilt nur für NFSv3 und NFSv4. Gibt eine alternative filesync-Schreibmethode an. Die
l
datasync
l
filesync
l
unstable
Der Standardwert ist filesync, mit dem die Anforderung wie angegeben
durchgeführt wird.
--write-filesync-reply {filesync}
Gilt nur für NFSv3 und NFSv4. Gibt eine alternative filesync-Antwortmethode an. Der
einzige gültige Wert ist filesync (es wird nicht anders geantwortet).
--write-unstable-action {datasync | filesync | unstable}
Gibt eine alternative unstable-Schreibmethode an. Die folgenden Werte sind gültig:
l
datasync
l
filesync
l
unstable
Der Standardwert ist unstable, mit dem die Anforderung wie angegeben
durchgeführt wird.
--write-unstable-reply {datasync | filesync | unstable}
Gibt eine alternative unstable-Antwortmethode an. Die folgenden Werte sind gültig:
l
datasync
l
filesync
l
unstable
Der Standardwert ist unstable (es wird nicht anders geantwortet).
--write-transfer-max-size<size>
434
Dateifreigabe
512K.
--write-transfer-multiple<integer>
Gibt den vorgeschlagenen Multiplikator für Schreibvorgänge an, die NFSv3- und
--write-transfer-size<size>
512K.
{--force | -f}
Wenn diese Option auf no (Standardwert) festgelegt wird, wird eine
Bestätigungsaufforderung angezeigt, wenn der Befehl ausgeführt wird. Wenn diese
Option auf yes festgelegt wird, wird der Befehl ohne Bestätigungsaufforderung
ausgeführt.
{--verbose | -v}
Beispiele
Mit dem folgenden Befehl wird ein NFS-Export für eine bestimmte Zone und einen Satz
von Clients erstellt:
isi nfs exports create /ifs/data/ugroup1/home
--description 'Access to home dirs for user group 1'
--zone ugroup1 --clients 10.1.28.1 --clients 10.1.28.2
Mit dem folgenden Befehl wird ein NFS-Export mit mehreren Verzeichnispfaden und einer
benutzerdefinierten Sicherheitsart (Kerberos 5) erstellt:
isi nfs exports create /ifs/data/projects /ifs/data/templates
--security-flavors krb5
isi nfs exports delete
Löscht einen NFS-Export.
Syntax
isi nfs exports delete <id>
[--zone <string>]
[--force]
[--verbose]
Optionen
<id>
Gibt die ID des zu löschenden NFS-Exports an. Sie können den Befehl isi nfs
exports list verwenden, um eine Liste der Exporte und ihrer IDs in der aktuellen
Zone anzuzeigen.
--zone<string>
isi nfs exports delete
435
Dateifreigabe
Gibt die Zugriffszone an, in der der Export erstellt wurde. Ohne diese Option gibt der
Befehl standardmäßig die aktuelle Zone an.
--force
--verbose
isi nfs exports list
Zeigt eine Liste von NFS-Exporten an.
Syntax
[--zone <string>
[--limit <integer>]
[--sort <field>]
[--descending]
[--no-header]
[--no-footer]
[--verbose]
Optionen
--zone<string>
Gibt den Namen der Zugriffszone an, in der der Export erstellt wurde.
{--limit<integer>
Zeigt nicht mehr als die angegebene Anzahl von NFS-Exporten an.
--sort<field>
Gibt das Feld an, nach dem sortiert werden soll. Die folgenden Werte sind gültig:
436
l
id
l
zone
l
paths
l
description
l
clients
l
root_clients
l
read_only_clients
l
read_write_clients
l
unresolved_clients
l
all_dirs
l
block_size
l
can_set_time
l
commit_asynchronous
l
directory_transfer_size
l
encoding
l
map_lookup_uid
Dateifreigabe
l
map_retry
l
map_all
l
map_root
l
map_full
l
max_file_size
l
read_only
l
readdirplus
l
readdirplus_prefetch
l
return_32bit_file_ids
l
read_transfer_max_size
l
read_transfer_multiple
l
read_transfer_size
l
security_flavors
l
setattr_asynchronous
l
symlinks
l
time_delta
l
write_datasync_action
l
write_datasync_reply
l
write_filesync_action
l
write_filesync_reply
l
write_unstable_action
l
write_unstable_reply
l
write_transfer_max_size
l
write_transfer_multiple
l
write_transfer_size
--descending
--no-header
--no-footer
--verbose
Beispiele
Der folgende Befehl listet die NFS-Exporte auf, standardmäßig in der aktuellen Zone:
437
Dateifreigabe
Der folgende Befehl listet NFS-Exporte in einer bestimmten Zone auf:
isi nfs exports list --zone hq-home
isi nfs exports modify
Ändert einen NFS-Export.
Hinweis
Sie können den Befehl isi nfs settings export view verwenden, um die
vollständige Liste der Standardeinstellungen für Exporte zu sehen.
Syntax
isi nfs exports modify <ID>
[--revert-block-size]
[--revert-can-set-time]
[--revert-case-insensitive]
[--revert-case-preserving]
[--revert-chown-restricted]
[--revert-directory-transfer-size]
[--revert-link-max]
[--revert-max-file-size]
[--revert-name-max-size]
[--revert-no-truncate]
[--revert-return-32bit-file-ids]
[--revert-symlinks]
[--paths <path>]
[--clear-paths]
[--add-paths <string>]
[--remove-paths <string>]
[--clients <string>]
[--clear-clients]
[--add-clients <string>]
[--remove-clients <string>]
[--root-clients <string>]
[--clear-root-clients]
[--add-root-clients <string>]
[--remove-root-clients <string>]
[--read-write-clients <string>]
[--clear-read-write-clients]
[--add-read-write-clients <string>]
[--remove-read-write-clients <string>]
[--read-only-clients <string>]
[--clear-read-only-clients]
[--add-read-only-clients <string>]
[--remove-read-only-clients <string>]
[--revert-all-dirs]
[--revert-encoding]
438
Dateifreigabe
[--revert-security-flavors]
[--clear-security-flavors]
[--add-security-flavors {unix | krb5 | krb5i | krb5p}]
[--remove-security-flavors <string>]
[--revert-snapshot]
[--revert-map-lookup-uid]
[--revert-map-retry]
[--revert-map-root-enabled]
[--revert-map-non-root-enabled]
[--revert-map-failure-enabled]
[--revert-map-all]
[--revert-map-root]
[--revert-map-non-root]
[--revert-map-failure]
[--revert-map-full]
[--revert-commit-asynchronous]
[--revert-read-only]
[--revert-readdirplus]
[--revert-read-transfer-max-size]
[--revert-read-transfer-multiple]
[--revert-read-transfer-size]
[--revert-setattr-asynchronous]
[--time-delta <time delta>]
[--revert-time-delta]
[--revert-write-datasync-action]
[--revert-write-datasync-reply]
[--revert-write-filesync-action]
[--revert-write-unstable-action]
[--revert-write-unstable-reply]
[--revert-write-transfer-max-size]
[--revert-write-transfer-multiple]
[--revert-write-transfer-size]
[--zone <string>]
[--force]
[--verbose]
Optionen
<ID>
439
Dateifreigabe
Die Export-ID-Nummer. Sie können den Befehl isi nfs exports list
verwenden, um alle Exporte und ihre ID-Nummern in der aktuellen Zugriffszone
anzuzeigen.
--block-size<size>
--revert-block-size
Setzt die Einstellung auf den Systemstandardwert zurück.
--revert-can-set-time
--revert-case-insensitive
--revert-case-preserving
--revert-chown-restricted
--revert-directory-transfer-size
--link-max<integer>
--revert-link-max
--revert-max-file-size
440
Dateifreigabe
--revert-name-max-size
--revert-no-truncate
Gilt für NFSv3 und höher. Wenn diese Option auf yes festgelegt wird, wird die Größe
Hinweis
--revert-return-32bit-file-ids
--revert-symlinks
--new-zone<string>
Gibt eine neue Zugriffszone an, in der der Export anzuwenden ist. Die Standardzone
ist system.
Die Beschreibung für diesen NFS-Export.
--paths<paths> ...
Required. Gibt den Pfad für den Export an und beginnt mit /ifs. Diese Option kann
--clear-paths
Löschen Sie die Pfade, die ursprünglich für den Export angegeben wurden. Der Pfad
muss sich innerhalb des Verzeichnisses /ifs befinden.
--add-paths<paths> ...
Fügen Sie Pfade zu den Pfaden hinzu, die ursprünglich für den Export angegeben
wurden. Der Pfad muss sich innerhalb von /ifs befinden. Diese Option kann
--remove-paths<paths> ...
Entfernen Sie einen Pfad von den Pfaden, die ursprünglich für den Export angegeben
wurden. Der Pfad muss sich innerhalb von /ifs befinden. Diese Option kann
wiederholt werden, um mehrere zu entfernende Pfade anzugeben.
441
Dateifreigabe
--clients<string>
Gibt einen Client an, dem Zugriff über diesen Export gewährt wird. Geben Sie Clients
als IP, Hostname, Netzwerkgruppe oder CIDR-Bereich an. Sie können mehrere Clients
hinzufügen, indem Sie diese Option wiederholen.
--clear-clients
Löschen Sie die vollständige Liste der Clients, denen ursprünglich der Zugriff über
diesen Export gestattet war.
--add-clients<string>
Gibt einen Client an, der der Liste der Clients mit Zugriff über diesen Export
hinzugefügt werden soll. Geben Sie hinzuzufügende Clients als IP, Hostname,
Netzwerkgruppe oder CIDR-Bereich an. Sie können mehrere Clients hinzufügen,
indem Sie diese Option wiederholen.
--remove-clients<string>
Gibt einen Client an, der von der Liste der Clients mit Zugriff über diesen Export
entfernt werden soll. Geben Sie zu entfernende Clients als IP, Hostname,
Netzwerkgruppe oder CIDR-Bereich an. Sie können mehrere Clients entfernen, indem
Sie diese Option wiederholen.
--root-clients<string>
Mit dieser Option kann der Stammbenutzer des angegebenen Clients Vorgänge als
Stammbenutzer des Clusters ausführen. Diese Option setzt die Optionen --mapall und --map-root für den angegebenen Client außer Kraft.
--clear-root-clients
Löschen Sie die vollständige Liste der Root-Clients, denen ursprünglich der Zugriff
über diesen Export gestattet war.
--add-root-clients<string>
Gibt einen Root-Client an, der der Liste der Root-Clients mit Zugriff über diesen Export
hinzugefügt werden soll. Geben Sie hinzuzufügende Root-Clients als IP, Hostname,
Netzwerkgruppe oder CIDR-Bereich an. Sie können mehrere Root-Clients hinzufügen,
--remove-root-clients<string>
Gibt einen Root-Client an, der von der Liste der Root-Clients mit Zugriff über diesen
Export entfernt werden soll. Geben Sie zu entfernende Root-Clients als IP, Hostname,
Netzwerkgruppe oder CIDR-Bereich an. Sie können mehrere Root-Clients entfernen,
--read-write-clients<string>
Gewährt dem angegebenen Client Lese-/Schreibberechtigungen für diesen Export.
Kraft.
--clear-read-write-clients
Löschen Sie die vollständige Liste der Lese-Schreib-Clients, denen ursprünglich der
Zugriff über diesen Export gestattet war.
--add-read-write-clients<string>
442
Dateifreigabe
Gibt einen Lese-Schreib-Client an, der der Liste der Lese-Schreib-Clients mit Zugriff
über diesen Export hinzugefügt werden soll. Geben Sie hinzuzufügende Lese-SchreibClients als IP, Hostname, Netzwerkgruppe oder CIDR-Bereich an. Sie können mehrere
Lese-Schreib-Clients hinzufügen, indem Sie diese Option wiederholen.
--remove-read-write-clients<string>
Gibt einen Lese-Schreib-Client an, der von der Liste der Lese-Schreib-Clients mit
Zugriff über diesen Export entfernt werden soll. Geben Sie zu entfernende LeseSchreib-Clients als IP, Hostname, Netzwerkgruppe oder CIDR-Bereich an. Sie können
mehrere Lese-Schreib-Clients entfernen, indem Sie diese Option wiederholen.
--read-only-clients<string>
Schränkt den angegebenen Client auf eine Leseberechtigung für diesen Export ein.
Kraft.
--clear-read-only-clients
Löschen Sie die vollständige Liste der schreibgeschützten Clients, denen
ursprünglich der Zugriff über diesen Export gestattet war.
--add-read-only-clients<string>
Gibt einen schreibgeschützten Client an, der der Liste der schreibgeschützten Clients
mit Zugriff über diesen Export hinzugefügt werden soll. Geben Sie hinzuzufügende
schreibgeschützte Clients als IP, Hostname, Netzwerkgruppe oder CIDR-Bereich an.
Sie können mehrere schreibgeschützte Clients hinzufügen, indem Sie diese Option
wiederholen.
--remove-read-only-clients<string>
Gibt einen schreibgeschützten Clients an, der von der Liste der schreibgeschützten
Clients mit Zugriff über diesen Export entfernt werden soll. Geben Sie zu entfernende
schreibgeschützte Clients als IP, Hostname, Netzwerkgruppe oder CIDR-Bereich an.
Sie können mehrere schreibgeschützte Clients entfernen, indem Sie diese Option
wiederholen.
--revert-all-dirs
--encoding<string>
unterschieden.
Wert
Codierung
cp932
Windows-SJIS
cp949
Windows-949
cp1252
Windows-1252
443
Dateifreigabe
Wert
Codierung
euc-kr
EUC-KR
euc-jp
EUC-JP
euc-jp-ms
EUC-JP-MS
utf-8-mac
UTF-8-MAC
utf-8
UTF-8
iso-8859-1
iso-8859-2
iso-8859-3
iso-8859-4
iso-8859-5
iso-8859-6
iso-8859-7
iso-8859-8
iso-8859-9
iso-8859-10 ISO-8859-10 (Latin-6)
iso-8859-13 ISO-8859-13 (Latin-7)
iso-8859-14 ISO-8859-14 (Latin-8)
iso-8859-15 ISO-8859-15 (Latin-9)
iso-8859-16 ISO-8859-16 (Latin-10)
--revert-encoding
sys
krb5
krb5i
krb5p
--revert-security-flavors
444
Dateifreigabe
--revert-snapshot
--revert-map-lookup-uid
--revert-map-retry
--revert-map-root-enabled
--revert-map-non-root-enabled
--revert-map-failure-enabled
--map-all<identity>
--revert-map-all
445
Dateifreigabe
Gruppen-ID zu.
--revert-map-root
Gruppen-ID zu.
--revert-map-non-root
--revert-map-failure
no..
--revert-map-full
--revert-commit-asynchronous
--revert-read-only
--revert-readdirplus
446
Dateifreigabe
512K.
--revert-read-transfer-max-size
--revert-read-transfer-multiple
128K.
--revert-read-transfer-size
--revert-setattr-asynchronous
--time-delta<float>
--revert-time-delta
l
datasync
l
filesync
l
unstable
durchgeführt wird.
--revert-write-datasync-action
447
Dateifreigabe
l
datasync
l
filesync
--revert-write-datasync-reply
l
datasync
l
filesync
l
unstable
durchgeführt wird.
--revert-write-filesync-action
l
datasync
l
filesync
l
unstable
durchgeführt wird.
--revert-write-unstable-action
l
datasync
l
filesync
l
unstable
--revert-write-unstable-reply
512K.
--revert-write-transfer-max-size
448
Dateifreigabe
--revert-write-transfer-multiple
512K.
--revert-write-transfer-size
--zone
Greifen Sie auf die Zone zu, in der der Export ursprünglich erstellt wurde.
{--force | -f}
ausgeführt.
{--verbose | -v}
isi nfs exports reload
Lädt die NFS-Exportkonfiguration neu.
Syntax
Optionen
isi nfs exports view
Zeigt einen NFS-Export an.
Syntax
isi nfs exports view <id>
[--zone <string>]
Optionen
<id>
449
Dateifreigabe
Gibt die ID des anzuzeigenden NFS-Exports an. Wenn Sie nicht die ID kennen,
verwenden Sie den Befehl isi nfs exports list, um eine Liste von Exporten
und ihre zugeordnete IDs aufzurufen.
--zone<string>
Gibt den Namen der Zugriffszone an, in der der Export erstellt wurde.
isi nfs netgroup bgwrite
Ruft die Zeit zwischen Schreibvorgängen an das Backuplaufwerk ab und legt diese fest.
Syntax
isi nfs netgroup bgwrite
[--minutes <number>]
Optionen
{--minutes | -m} <number>
Gibt die Zeit in Minuten zwischen Schreibvorgängen an das Backuplaufwerk an.
isi nfs netgroup check
Aktualisiert alle zwischengespeicherten Netzwerkgruppen.
Syntax
isi nfs netgroup check
[--node <string>]
Optionen
{--node | -n} <string>
Gibt den Node an, an den der Updatebefehl gesendet werden soll.
isi nfs netgroup expiration
Legt den Zeitraum zwischen den einzelnen Netzwerkgruppenabläufen fest.
Syntax
isi nfs netgroup expiration
Optionen
Gibt die Zeit in Minuten zwischen den einzelnen Netzwerkgruppenabläufen an.
isi nfs netgroup flush
Gibt die NFS-Netzwerkgruppe an, die gelöscht werden soll.
Syntax
isi nfs netgroup flush
[--node <string>]
450
Dateifreigabe
Optionen
{--node | -n} <string>
Gibt den Node an, an den der Löschbefehl gesendet werden soll.
isi nfs netgroup lifetime
Ruft die Zeit in Minuten ab, bevor veraltete Cacheeinträge gelöscht werden, und legt
diese fest.
Syntax
Optionen
Gibt die Zeit in Minuten an, bevor veraltete Cacheeinträge gelöscht werden.
isi nfs netgroup retry
Ruft das Wiederholungsintervall ab und legt es fest.
Syntax
isi nfs netgroup retry
[--seconds <integer>]
Optionen
{--seconds | -s} <integer>
Gibt die Zeit in Sekunden zwischen Versuchen an, eine NFS-Netzwerkgruppe erneut
zu versuchen.
isi nfs nlm locks list
Gilt nur für NFSv3. Zeigt eine Liste der empfohlenen NFS NLM-Sperren (Network Lock
Manager) an.
Syntax
isi nfs nlm locks list
[--limit <integer>]
[--sort {client | path | lock_type | range | created}]
[--descending]
[--no-header]
[--no-footer]
[--verbose]
Optionen
--limit<integer>
Zeigt nicht mehr als die angegebene Anzahl von NFS NLM-Sperren an.
--sort {client | path | lock_type | range | created}
--descending
451
Dateifreigabe
--no-header
--no-footer
--verbose
Beispiele
Um eine detaillierte Liste aller aktuellen NLM-Sperren anzuzeigen, führen Sie den
isi nfs nlm locks list --verbose
In der folgenden Beispielausgabe sind derzeit drei Sperren aufgeführt: eine für /ifs/
home/test1/file.txt und zwei für /ifs/home/test2/file.txt.
Client
-----------------------machineName/10.72.134.119
machineName/10.59.166.125
machineName/10.63.119.205
Path
-----------------------/ifs/home/test1/file.txt
/ifs/home/test2/file.txt
/ifs/home/test2/file.txt
Lock Type
--------exclusive
shared
shared
Range
-----[0, 2]
[10, 20]
[10, 20]
isi nfs nlm locks waiters
Zeigt eine Liste der Clients an, die darauf warten, eine NLM-Sperre (Network Lock
Manager) auf einer derzeit gesperrten Datei zu platzieren. Dieser Befehl gilt nur für
NFSv3.
Syntax
isi nfs nlm locks waiters
[--limit <integer>]
[--descending]
[--no-header]
[--no-footer]
[--verbose]
Optionen
--limit<integer>
Zeigt nicht mehr als die angegebene Anzahl von NLM-Sperren an.
--descending
--no-header
452
Dateifreigabe
--no-footer
--verbose
Beispiele
Mit dem folgenden Befehl wird eine detaillierte Liste der Clients angezeigt, die darauf
warten, eine derzeit gesperrte Datei zu sperren:
isi nfs nlm locks waiters --verbose
Client
Path
Lock Type Range
--------------------- ------------------------ --------- -----machineName/1.2.34.5 /ifs/home/test1/file.txt exclusive [0, 2]
isi nfs nlm sessions disconnect
Entfernt einen NFS-Client, bricht alle ausstehenden NLM-Sperren (Network Lock Manager)
ab und hebt alle aktuellen Sperren des Clients auf. Dieser Befehl gilt nur für NFSv3.
Syntax
isi nfs nlm sessions disconnect <client>
[--force]
Optionen
<client>
Required. Gibt den zu trennenden Client in der Form <machine_name>/<server_ip> an.
--force
Beispiele
Mit dem folgenden Befehl wird ein Client namens client1 von einem Server mit der IPAdresse 192.168.7.143 getrennt:
isi nfs nlm sessions disconnect client1/192.168.7.143
isi nfs nlm sessions list
Zeigt eine Liste der Clients mit NFS NLM-Sperren (Network Lock Manager) an. Dieser
Befehl gilt nur für NFSv3.
Syntax
[--limit <integer>]
[--descending]
[--no-header]
[--no-footer]
[--verbose]
isi nfs nlm sessions disconnect
453
Dateifreigabe
Optionen
--limit<integer>
Zeigt nicht mehr als die angegebene Anzahl von NFS NLM-Sitzungen an.
--descending
--no-header
--no-footer
--verbose
Beispiele
Um eine Liste der aktiven NLM-Sitzungen anzuzeigen, führen Sie den folgenden Befehl
aus:
isi nfs settings export modify
Ändert die Standardeinstellungen, die bei der Erstellung von NFS-Exporten angewendet
werden.
Hinweis
Sie können die derzeit konfigurierten Standardeinstellungen für NFS-Exporte anzeigen,
indem Sie den Befehl isi nfs settings export view ausführen.
Syntax
isi nfs exports modify <ID>
[--revert-block-size]
[--revert-can-set-time]
[--revert-case-insensitive]
[--revert-case-preserving]
[--revert-chown-restricted]
[--revert-directory-transfer-size]
[--revert-link-max]
[--revert-max-file-size]
[--revert-name-max-size]
454
Dateifreigabe
[--revert-no-truncate]
[--revert-return-32bit-file-ids]
[--revert-symlinks]
[--revert-all-dirs]
[--revert-encoding]
[--revert-security-flavors]
[--clear-security-flavors]
[--add-security-flavors {unix | krb5 | krb5i | krb5p}]
[--remove-security-flavors <string>]
[--revert-snapshot]
[--revert-map-lookup-uid]
[--revert-map-retry]
[--revert-map-root-enabled]
[--revert-map-non-root-enabled]
[--revert-map-failure-enabled]
[--revert-map-all]
[--revert-map-root]
[--revert-map-non-root]
[--revert-map-failure]
[--revert-map-full]
[--revert-commit-asynchronous]
[--revert-read-only]
[--revert-readdirplus]
[--revert-read-transfer-max-size]
[--revert-read-transfer-multiple]
[--revert-read-transfer-size]
[--revert-setattr-asynchronous]
[--time-delta <integer>]
[--revert-time-delta]
[--revert-write-datasync-action]
[--revert-write-datasync-reply]
[--revert-write-filesync-action]
[--revert-write-unstable-action]
[--revert-write-unstable-reply]
[--revert-write-transfer-max-size]
[--revert-write-transfer-multiple]
455
Dateifreigabe
[--revert-write-transfer-size]
[--zone <string>]
[--force]
[--verbose]
Optionen
--block-size<size>
--revert-block-size
--revert-can-set-time
--revert-case-insensitive
--revert-case-preserving
--revert-chown-restricted
--revert-directory-transfer-size
--link-max<integer>
--revert-link-max
456
Dateifreigabe
--revert-max-file-size
--revert-name-max-size
--revert-no-truncate
Gilt für NFSv3 und höher. Wenn diese Option auf yes festgelegt wird, wird die Größe
Hinweis
--revert-return-32bit-file-ids
--revert-symlinks
--new-zone<string>
Gibt eine neue Zugriffszone an, in der der Export anzuwenden ist. Die Standardzone
ist system.
--revert-all-dirs
--encoding<string>
unterschieden.
457
Dateifreigabe
Wert
Codierung
cp932
Windows-SJIS
cp949
Windows-949
cp1252
Windows-1252
euc-kr
EUC-KR
euc-jp
EUC-JP
euc-jp-ms
EUC-JP-MS
utf-8-mac
UTF-8-MAC
utf-8
UTF-8
iso-8859-1
iso-8859-2
iso-8859-3
iso-8859-4
iso-8859-5
iso-8859-6
iso-8859-7
iso-8859-8
iso-8859-9
iso-8859-10 ISO-8859-10 (Latin-6)
iso-8859-13 ISO-8859-13 (Latin-7)
iso-8859-14 ISO-8859-14 (Latin-8)
iso-8859-15 ISO-8859-15 (Latin-9)
iso-8859-16 ISO-8859-16 (Latin-10)
--revert-encoding
sys
krb5
krb5i
krb5p
--revert-security-flavors
458
Dateifreigabe
--revert-snapshot
--revert-map-lookup-uid
--revert-map-retry
--revert-map-root-enabled
--revert-map-non-root-enabled
--revert-map-failure-enabled
--map-all<identity>
459
Dateifreigabe
--revert-map-all
Gruppen-ID zu.
--revert-map-root
Gruppen-ID zu.
--revert-map-non-root
--revert-map-failure
no..
--revert-map-full
--revert-commit-asynchronous
--revert-read-only
460
Dateifreigabe
--revert-readdirplus
512K.
--revert-read-transfer-max-size
--revert-read-transfer-multiple
128K.
--revert-read-transfer-size
--revert-setattr-asynchronous
--time-delta<integer>
--revert-time-delta
l
datasync
l
filesync
l
unstable
durchgeführt wird.
461
Dateifreigabe
--revert-write-datasync-action
l
datasync
l
filesync
--revert-write-datasync-reply
l
datasync
l
filesync
l
unstable
durchgeführt wird.
--revert-write-filesync-action
l
datasync
l
filesync
l
unstable
durchgeführt wird.
--revert-write-unstable-action
l
datasync
l
filesync
l
unstable
--revert-write-unstable-reply
462
Dateifreigabe
512K.
--revert-write-transfer-max-size
--revert-write-transfer-multiple
512K.
--revert-write-transfer-size
--zone
Greifen Sie auf die Zone zu, in der der Export ursprünglich erstellt wurde.
--force
ausgeführt.
--verbose
isi nfs settings export view
Zeigt Standardeinstellungen für den NFS-Export an.
Syntax
[--zone <string>]
Optionen
--zone<string>
Gibt die Zugriffszone an, in der die Standardeinstellungen gelten.
Beispiele
Um die derzeit konfigurierten Standardexporteinstellungen anzuzeigen, führen Sie den
463
Dateifreigabe
Read Write Clients: Unresolved Clients: All Dirs: No
Block Size: 8.0K
Can Set Time: Yes
Case Insensitive: No
Case Preserving: Yes
Chown Restricted: No
Commit Asynchronous: No
Directory Transfer Size: 128.0K
Encoding: DEFAULT
Link Max: 32767
Map Lookup UID: No
Map Retry: Yes
Map Root
Enabled: True
User: nobody
Primary Group: Secondary Groups: Map Non Root
Enabled: False
User: nobody
Primary Group: Secondary Groups: Map Failure
Enabled: False
User: nobody
Primary Group: Secondary Groups: Map Full: Yes
Max File Size: 8192.00000P
Name Max Size: 255
No Truncate: No
Read Only: No
Readdirplus: Yes
Return 32Bit File Ids: No
Read Transfer Max Size: 1.00M
Read Transfer Multiple: 512
Read Transfer Size: 128.0K
Security Type: unix
Setattr Asynchronous: No
Snapshot: Symlinks: Yes
Time Delta: 1.0 ns
Write Datasync Action: datasync
Write Datasync Reply: datasync
Write Filesync Action: filesync
Write Filesync Reply: filesync
Write Unstable Action: unstable
Write Unstable Reply: unstable
Write Transfer Max Size: 1.00M
Write Transfer Multiple: 512
Write Transfer Size: 512.0K
isi nfs settings global modify
Ändert die globalen NFS-Standardeinstellungen.
Syntax
isi nfs settings global modify
[--lock-protection <integer>]
[--nfsv3-enabled {yes | no}]
[--nfsv4-enabled {yes | no}]
[--force]
464
Dateifreigabe
Optionen
--lock-protection<integer>
Gibt die Anzahl der Node-Ausfälle an, die auftreten können, bevor eine Sperre
möglicherweise verloren geht.
--nfsv3-enabled {yes | no}
Gibt an, dass NFSv3 aktiviert ist.
--nfsv4-enabled {yes | no}
Gibt an, dass NFSv4 aktiviert ist.
{--force
Verursacht, dass der Befehl ohne Ihre Bestätigung ausgeführt wird.
isi nfs settings global view
Zeigt die globalen Optionen für NFS-Einstellungen an.
Syntax
Optionen
isi nfs settings zone modify
Ändert die Standardeinstellungen der NFS-Zone für den NFSv4-ID-Mapper.
Syntax
isi nfs settings zone modify
[--nfsv4-domain <string>]
[--revert-nfsv4-domain]
[--nfsv4-replace-domain {yes | no}]
[--revert-nfsv4-replace-domain]
[--nfsv4-no-domain {yes | no}]
[--revert-nfsv4-no-domain]
[--nfsv4-no-domain-uids {yes | no}]
[--revert-nfsv4-no-domain-uids]
[--nfsv4-no-names {yes | no}]
[--revert-nfsv4-no-names]
[--nfsv4-allow-numeric-ids {yes | no}]
[--revert-nfsv4-allow-numeric-ids]
[--zone <string>]
[--verbose]
Optionen
--nfsv4-domain<string>
Gibt den NFSv4-Domainnamen an.
--revert-nfsv4-domain
Setzt die Einstellung auf den Systemstandardwert zurück. Der Standardwert lautet
localdomain.
--nfsv4-replace-domain {yes | no}
Ersetzt Eigentümer/Gruppendomain durch den Domainnamen. Für NFSv4.
--revert-nfsv4-replace-domain
Setzt die Einstellung auf den Systemstandard zurück. Der Standardwert lautet yes.
465
Dateifreigabe
--nfsv4-no-domain {yes | no}
Sendet Eigentümer/Gruppen ohne Domainnamen. Für NFSv4.
--revert-nfsv4-no-domain
Setzt die Einstellung auf den Systemstandard zurück. Der Standardwert lautet no.
--nfsv4-no-domain-uids {yes | no}
Sendet UIDs/GIDs ohne Domainnamen. Für NFSv4.
--revert-nfsv4-no-domain-uids
--nfsv4-no-names {yes | no}
Sendet immer Eigentümer/Gruppen als UIDs/GIDs. Für NFSv4.
--revert-nfsv4-no-names
Setzt die Einstellung auf den Systemstandard zurück. Der Standardwert lautet no.
--nfsv4-allow-numeric-ids {yes | no}
Sendet Eigentümer/Gruppen als UIDs/GIDs, wenn Suchen fehlschlagen oder wenn
no-names=1. Für NFSv4.
--revert-nfsv4-allow-numeric-ids
--zone<string>
Gibt die Zugriffszone an.
--verbose
Beispiele
Mit dem folgenden Befehl wird angegeben, dass der NFS-Server UIDs/GIDs anstelle der
Benutzernamen akzeptieren würde:
isi nfs settings zone modify --nfsv4-no-names yes
isi nfs settings zone view
Zeigt die Standardeinstellungen für die NFS-Zone an.
Syntax
isi nfs settings zone view
Optionen
FTP-Befehle
Sie können über die FTP-Befehle auf den FTP-Service zugreifen und diesen konfigurieren.
isi ftp accept-timeout
Legt einen Timeout für Datenverbindungen fest und zeigt diesen an.
466
Dateifreigabe
Syntax
isi ftp accept-timeout <value>
Optionen
<value>
Gibt die Zeit (in Sekunden) an, in der ein Remoteclient eine Datenverbindung im
PASV-Stil herstellen muss, bevor ein Timeout erfolgt. Alle Ganzzahlen zwischen 30
und 600 sind gültige Werte. Wenn keine Optionen angegeben werden, wird der
aktuelle Timeout-Wert angezeigt. Der Standardwert ist 60.
Beispiele
Um den Timeout für die Datenverbindung auf 5 Minuten festzulegen, führen Sie den
isi ftp accept-timeout 300
isi ftp allow-dirlists
Legt fest, ob Verzeichnislistenbefehle zulässig sind, und zeigt diese an.
Syntax
isi ftp allow-dirlists <value>
Optionen
<value>
Steuert, ob Verzeichnislistenbefehle aktiviert sind. Gültige Werte sind YES und NO.
Wenn keine Optionen angegeben werden, wird angezeigt, ob
Verzeichnislistenbefehle zulässig sind. Der Standardwert ist YES.
Beispiele
Um Verzeichnislistenbefehle zu deaktivieren, führen Sie den folgenden Befehl aus:
isi ftp allow-dirlists NO
isi ftp allow-anon-access
Legt fest, ob anonymer Zugriff zulässig ist, und zeigt diesen an.
Syntax
isi ftp allow-anon-access <value>
Optionen
<value>
Steuert, ob anonyme Anmeldungen zulässig sind oder nicht. Wenn diese Option
aktiviert wird, werden die Benutzernamen „ftp“ und „anonymous“ als anonyme
Anmeldungen erkannt. Gültige Werte sind YES und NO. Wenn keine Optionen
angegeben werden, wird angezeigt, ob anonyme Anmeldungen zulässig sind oder
nicht. Der Standardwert ist NO.
isi ftp allow-dirlists
467
Dateifreigabe
Beispiele
Um anonymen Zugriff zuzulassen, führen Sie den folgenden Befehl aus:
isi ftp allow-anon-access YES
isi ftp allow-anon-upload
Legt fest, ob anonyme Benutzer Dateien hochladen dürfen, und zeigt dies an.
Syntax
isi ftp allow-anon-upload <value>
Optionen
<value>
Steuert, ob anonyme Benutzer unter unter bestimmten Bedingungen Dateien
hochladen dürfen. Gültige Werte sind YES und NO. Damit anonyme Benutzer Dateien
hochladen können, muss der Befehl isi ftp allow-writes auf YES festgelegt
werden und der anonyme Benutzer muss am gewünschten Uploadstandort über
Schreibberechtigungen verfügen. Wenn keine Optionen angegeben werden, wird
angezeigt, ob anonyme Benutzer Dateien hochladen dürfen. Der Standardwert ist
YES.
Beispiele
Um das Hochladen von Dateien durch anonyme Benutzer zu deaktivieren, führen Sie den
isi ftp allow-anon-upload NO
isi ftp allow-downloads
Legt fest, ob Downloads zulässig sind, und zeigt dies an.
Syntax
isi ftp allow-downloads <value>
Optionen
<value>
Steuert, ob Dateien heruntergeladen werden können. Gültige Werte sind YES und NO.
Wenn keine Optionen angegeben werden, wird angezeigt, ob Downloads zulässig
sind. Der Standardwert ist YES.
Beispiele
Damit keine Downloads durchgeführt werden können, führen Sie den folgenden Befehl
aus:
isi ftp allow-downloads NO
isi ftp allow-local-access
Zeigt an und steuert, ob lokale Anmeldungen zulässig sind.
Syntax
isi ftp allow-local-access <value>
468
Dateifreigabe
Optionen
<value>
Gültige Werte sind YES und NO. Wenn diese Option auf YES festgelegt wird, können
normale Benutzerkonten für die Anmeldung verwendet werden kann. Wenn keine
Optionen festgelegt werden, wird angezeigt, ob Befehle zur Änderung des
Dateisystems zulässig sind. Der Standardwert ist YES.
Beispiele
Um die lokale Anmeldeberechtigung zu verweigern, führen Sie den folgenden Befehl aus:
isi ftp allow-local-access NO
isi ftp allow-writes
Legt fest, ob Befehle zulässig sind, mit denen das Dateisystem geändert wird, und zeigt
diese an.
Syntax
isi ftp allow-writes <value>
Optionen
<value>
Wenn keine Optionen angegeben werden, wird angezeigt, ob Befehle, mit denen das
Dateisystem geändert wird, zulässig sind. Steuert, ob die folgenden Befehle zulässig
sind:
l
STOR
l
DELE
l
RNFR
l
RNTO
l
MKD
l
RMD
l
APPE
l
SITE
Gültige Werte sind YES und NO. Der Standardwert ist YES.
Beispiele
Um Befehle zu deaktivieren, mit denen das Dateisystem geändert wird, führen Sie den
isi ftp allow-writes NO
isi ftp always-chdir-homedir
Gibt an, ob FTP immer auf das Stammverzeichnis des Benutzers geändert wird.
Syntax
isi ftp always-chdir-homedir <value>
Optionen
<value>
isi ftp allow-writes
469
Dateifreigabe
Steuert, ob FTP immer zunächst auf das Stammverzeichnis des Benutzers geändert
wird. Der Standardwert ist YES. Wenn NO festgelegt wird, können Sie einen chrootBereich in FTP einrichten, ohne dass ein Stammverzeichnis für den Benutzer
vorhanden ist. Wenn keine Optionen angegeben werden, wird die aktuelle
Einstellung angezeigt. Gültige Werte sind YES und NO.
isi ftp anon-chown-username
Gibt den Eigentümer von anonym hochgeladenen Dateien an und zeigt diesen an.
Syntax
isi ftp anon-chown-username <value>
Optionen
<value>
Gibt dem angegebenen Benutzer Eigentumsrechte an anonym hochgeladenen
Dateien. Der Wert muss ein lokaler Benutzername sein. Wenn keine Optionen
angegeben werden, wird der Eigentümer von anonym hochgeladenen Dateien
angezeigt. Der Standardwert ist root.
Beispiele
Mit dem folgenden Befehl wird der Eigentümer von anonym hochgeladenen Dateien auf
„user1“ festgelegt:
isi ftp anon-chown-username user1
isi ftp anon-password-list
Zeigt die Liste der anonymen Benutzerpasswörter an.
Syntax
Optionen
Beispiele
Um eine Liste der anonymen Benutzerpasswörter anzuzeigen, führen Sie den folgenden
Befehl aus:
anon-password-list: 1234
password
isi ftp anon-password-list add
Fügt Passwörter zur Liste der anonymen Passwörter hinzu.
Syntax
isi ftp anon-password-list add <value>
470
Dateifreigabe
Optionen
<value>
Gibt das Passwort an, das der Liste der anonymen Passwörter hinzugefügt wird.
Beispiele
Mit dem folgenden Befehl wird „1234“ zur Liste der anonymen Passwörter hinzugefügt:
isi ftp anon-password-list add 1234
anon-password-list: added password '1234' to list
isi ftp anon-password-list remove
Entfernt Passwörter aus der Liste der anonymen Passwörter.
Syntax
isi ftp anon-password-list remove <value>
Optionen
<value>
Gibt an, welches Passwort aus der Liste der anonymen Passwörter entfernt werden
soll.
Beispiele
Mit dem folgenden Befehl wird „1234“ aus der Liste der anonymen Passwörter entfernt:
isi ftp anon-password-list remove 1234
anon-password-list: removed password '1234' from list
isi ftp anon-root-path
Zeigt und gibt den Stammpfad für anonyme Benutzer an.
Syntax
isi ftp anon-root-path --value <ifs-directory>
[--reset]
Optionen
{--value | -v} <ifs-directory>
Stellt ein Verzeichnis in /ifs dar, in das der Very Secure FTP Daemon (VSFTPD) nach
einer anonymen Anmeldung versucht, zu wechseln. Gültige Werte sind Pfade in /
ifs. Wenn keine Optionen angegeben werden, wird der Stammpfad für anonyme
Benutzer angezeigt. Der Standardwert ist /ifs/home/ftp.
--reset
Setzt den Wert auf /ifs/home/ftp zurück.
isi ftp anon-password-list remove
471
Dateifreigabe
Beispiele
Mit dem folgenden Befehl wird der Stammpfad für anonyme Benutzer auf /ifs/home/
newUser/ festgelegt:
isi ftp anon-root-path --value /ifs/home/newUser/
anon-root-path: /ifs/home/ftp -> /ifs/home/newUser/
isi ftp anon-umask
Zeigt und gibt die umask für die Dateierstellung durch anonyme Benutzer an.
Syntax
isi ftp anon-umask <value>
Optionen
<value>
Gibt die umask für die Dateierstellung durch anonyme Benutzer an. Gültige Werte
sind oktale umask-Zahlen. Wenn keine Optionen angegeben werden, wird die
aktuelle umask für die Dateierstellung durch anonyme Benutzer angezeigt. Der
Hinweis
Der Wert muss das Präfix „0“ enthalten, da der Wert andernfalls als dekadische
Ganzzahl behandelt wird
.
Beispiele
Mit dem folgenden Befehl wird die umask für die Dateierstellung durch anonyme
Benutzer auf 066 festgelegt:
isi ftp anon-umask 066
anon-umask: 077 -> 066
isi ftp ascii-mode
Legt fest, ob ASCII-Downloads und -Uploads zulässig sind, und zeigt diese an.
Syntax
isi ftp ascii-mode <value>
Optionen
<value>
Bestimmt, ob ASCII-Downloads und -Uploads aktiviert sind. Die folgenden Werte sind
gültig:
l
both: Datenübertragungen im ASCII-Modus werden sowohl bei Downloads als
auch bei Uploads berücksichtigt.
472
Dateifreigabe
l
download: Datenübertragungen im ASCII-Modus werden bei Downloads
berücksichtigt.
l
off: Datenübertragungen im ASCII-Modus werden nicht berücksichtigt.
l
upload: Datenübertragungen im ASCII-Modus werden bei Uploads
berücksichtigt.
Wenn keine Optionen angegeben werden, wird angezeigt, ob ASCII-Downloads und Uploads zulässig sind. Der Standardwert ist off.
Beispiele
Um sowohl ASCII-Downloads als auch -Uploads zuzulassen, führen Sie den folgenden
Befehl aus:
isi ftp ascii-mode both
ascii-mode: off -> both
isi ftp connect-timeout
Gibt den Timeout für die Datenverbindungsantwort an und zeigt diesen an.
Syntax
isi ftp connect-timeout <value>
Optionen
<value>
Gibt den Timeout (in Sekunden) an, bis ein Remoteclient auf eine Datenverbindung
im PORT-Stil antwortet. Gültige Werte sind Ganzzahlen zwischen 30 und 600. Wenn
keine Optionen angegeben werden, wird der aktuelle Timeout-Wert für die
Datenverbindungsantwort angezeigt. Der Standardwert ist 60.
Beispiele
Um den Timeout auf zwei Minuten festzulegen, führen Sie den folgenden Befehl aus:
isi ftp connect-timeout 120
connect-timeout: 60 -> 120
isi ftp chroot-exception-list
Zeigt eine Liste der chroot-Ausnahmen für lokale Benutzer an.
Syntax
Optionen
isi ftp connect-timeout
473
Dateifreigabe
Beispiele
Um eine Liste der chroot-Ausnahmen für lokale Benutzer anzuzeigen, führen Sie den
chroot-exception-list:
user1
user2
user3
isi ftp chroot-exception-list add
Fügt Benutzer zur chroot-Ausnahmeliste hinzu.
Syntax
isi ftp chroot-exception-list add <value>
Optionen
<value>
Gibt den Benutzer an, der zur chroot-Ausnahmeliste hinzugefügt wird.
Beispiele
Mit dem folgenden Befehl wird newUser der chroot-Ausnahmeliste hinzugefügt:
isi ftp chroot-exception-list add newUser
chroot-exception-list: added user 'newUser' to list
isi ftp chroot-exception-list remove
Entfernt Benutzer aus der chroot-Ausnahmeliste.
Syntax
isi ftp chroot-exception-list remove <value>
Optionen
<value>
Erforderlich. Gibt den Benutzer an, der aus der chroot-Ausnahmeliste entfernt wird.
Beispiele
Mit dem folgenden Befehl wird newUser aus der chroot-Ausnahmeliste entfernt:
isi ftp chroot-exception-list remove newUser
chroot-exception-list: removed user 'newUser' from list
474
Dateifreigabe
isi ftp chroot-local-mode
Gibt an, welche Benutzer nach der Anmeldung in einer chroot-Verwahrung in ihrem
Stammverzeichnis platziert werden.
Syntax
isi ftp chroot-local-mode <value>
Optionen
<value>
Gibt an, welche Benutzer nach der Anmeldung in einer chroot-Verwahrung in ihrem
Stammverzeichnis platziert werden. Die folgenden Werte sind gültig:
l
all: Alle lokalen Benutzer werden nach der Anmeldung in einer chroot-
Verwahrung in ihrem Stammverzeichnis platziert.
l
all-with-exceptions: Alle lokalen Benutzer außer denen in der chrootAusnahmeliste werden nach der Anmeldung in einer chroot-Verwahrung in ihrem
Stammverzeichnis platziert.
l
none: Keine lokalen Benutzer werden nach der Anmeldung in einer chroot-
Verwahrung in ihrem Stammverzeichnis platziert.
l
none-with-exceptions: Nur Benutzer in der chroot-Ausnahmeliste werden
nach der Anmeldung in einer chroot-Verwahrung in ihrem Stammverzeichnis
platziert.
Wenn keine Optionen angegeben werden, wird die aktuelle Einstellung angezeigt. Der
Standardwert ist „none“.
Beispiele
Um Benutzer, die sich nicht in der chroot Ausnahmeliste befinden, nach der Anmeldung
in einer chroot-Verwahrung in ihrem Stammverzeichnis zu platzieren, führen Sie den
isi ftp chroot-local-mode --value=all-with-exceptions
chroot-local-mode: all -> all-with-exceptions \
chroot-exception-list is active.
Um nur Benutzer, die sich in der chroot Ausnahmeliste befinden, nach der Anmeldung in
einer chroot-Verwahrung in ihrem Stammverzeichnis zu platzieren, führen Sie den
isi ftp chroot-local-mode --value=none-with-exceptions
chroot-local-mode: none -> none-with-exceptions \
chroot-exception-list is active.
isi ftp chroot-list-enable
Zeigt die Abfrage von chroot-Ausnahmen an bzw. gibt diese an.
isi ftp chroot-local-mode
475
Dateifreigabe
Syntax
isi ftp chroot-list-enable <value>
Optionen
<value>
Ermöglicht Unterstützung für die Verwendung von Einträgen in der chrootAusnahmeliste als Ausnahmen zum chroot-Modus, wenn das Attribut auf YES
festgelegt wird. Gültige Werte sind YES und NO. Wenn keine Optionen angegeben
werden, wird angezeigt, ob die Abfrage aktiviert ist. Der Standardwert ist NO.
isi ftp data-timeout
Gibt den Timeout für die Datenverbindungsverzögerung an.
Syntax
isi ftp data-timeout <value>
Optionen
<value>
Gibt die maximale Zeit (in Sekunden) an, für die Datenübertragungen ohne Fortschritt
verzögert werden können, bevor der Remoteclient entfernt wird. Zulässige Werte sind
Ganzzahlen zwischen 30 und 600. Der Standardwert ist 300.
Beispiele
Um den Timeout auf 1 Minute festzulegen, führen Sie den folgenden Befehl aus:
isi ftp data-timeout 60
connect-timeout: 60 -> 120
isi ftp denied-user-list
Zeigt die Liste abgelehnter Benutzer an.
Syntax
Optionen
Beispiele
Um die Liste abgelehnter Benutzer anzuzeigen, führen Sie den folgenden Befehl aus:
denied-user-list:
unwelcomeUser1
unwelcomeUser1
476
Dateifreigabe
unwelcomeUser2
unwelcomeUser4
isi ftp denied-user-list add
Fügt Benutzer zur Liste der abgelehnten Benutzer hinzu.
Syntax
isi ftp denied-user-list add <value>
Optionen
<value>
Gibt den Namen des Benutzers an, der der Liste der abgelehnten Benutzer
hinzugefügt wird.
Beispiele
Mit dem folgenden Befehl wird unwelcomeUser der Liste der abgelehnten Benutzer
hinzugefügt:
isi ftp denied-user-list add unwelcomeUser
denied-user-list: added user 'unwelcomeUser' to list
isi ftp denied-user-list delete
Entfernt Benutzer aus der Liste der abgelehnten Benutzer.
Syntax
isi ftp denied-user-list delete
<value>
Optionen
<value>
Gibt den Namen des Benutzers an, der aus der Liste der abgelehnten Benutzer
entfernt wird.
Beispiele
Mit dem folgenden Befehl wird approvedUser aus der Liste der abgelehnten Benutzer
entfernt:
isi ftp denied-user-list remove approvedUser
denied-user-list: removed user 'unwelcomUser' from list
isi ftp dirlist-localtime
Gibt an, ob die in Verzeichnisauflistungen angezeigte Zeit Ihre lokale Zeitzone ist, und
zeigt diese an.
isi ftp denied-user-list add
477
Dateifreigabe
Syntax
isi ftp dirlist-localtime <value>
Optionen
<value>
Gibt an, ob die in Verzeichnisauflistungen angezeigte Zeit Ihre lokale Zeitzone ist.
Gültige Werte sind YES und NO. Bei NO wird die Zeit als GMT angezeigt. Bei YES wird
die Zeit in Ihrer lokalen Zeitzone angezeigt. Wenn keine Optionen angegeben werden,
wird die aktuelle Einstellung angezeigt. Der Standardwert ist NO.
Die Zeiten für letzte Änderungen, die von Befehlen zurückgegeben werden, die in der
FTP-Shell ausgegeben werden, sind ebenfalls von diesem Parameter betroffen.
Beispiele
Um die in Verzeichnisauflistungen angezeigte Zeit auf Ihre lokale Zeitzone festzulegen,
isi ftp dirlist-localtime YES
dirlist-localtime: NO -> YES
isi ftp dirlist-names
Steuert, welche Informationen zu Benutzern und Gruppen in Verzeichnisauflistungen
angezeigt werden, und zeigt diese an.
Syntax
isi ftp dirlist-names <value>
Optionen
<value>
Bestimmt, welche Informationen zu Benutzern und Gruppen in
Verzeichnisauflistungen angezeigt werden. Die folgenden Werte sind gültig:
l
hide: Alle Benutzer- und Gruppeninformationen werden in
Verzeichnisauflistungen als ftp angezeigt.
l
numeric: In den Benutzer- und Gruppenfeldern von Verzeichnisauflistungen
werden numerische IDs angezeigt.
l
textual: In den Benutzer- und Gruppenfeldern von Verzeichnisauflistungen
werden Namen in Textform angezeigt.
Wenn keine Optionen angegeben werden, wird die aktuelle Einstellung angezeigt. Der
Standardwert ist hide.
Beispiele
Um numerische IDs für Benutzer und Gruppen in Verzeichnisauflistungen anzuzeigen,
isi ftp dirlist-names numeric
478
Dateifreigabe
dirlist-names: hide -> numeric
isi ftp file-create-perm
Gibt Berechtigungen für die Dateierstellung an und zeigt diese an.
Syntax
isi ftp file-create-perm <value>
Optionen
<value>
Gibt die Berechtigungen an, mit denen hochgeladene Dateien erstellt werden. Gültige
Werte sind oktale Berechtigungszahlen. Wenn keine Optionen angegeben werden,
zeigt dieser Befehl die aktuelle Einstellung für die Berechtigung zur Erstellung von
Dateien an. Der Standardwert ist 0666.
Hinweis
Damit hochgeladene Dateien ausführbar sind, sollten Sie die Berechtigungen auf
0777 ändern.
Beispiele
Um die oktale Berechtigungszahl auf 0777 festzulegen, führen Sie den folgenden Befehl
aus:
isi ftp file-create-perm 0777
file-create-perm: 0666 -> 0777
isi ftp local-root-path
Zeigt und gibt den Stammpfad für lokale Benutzer an. VSFTPD versucht, in das
Verzeichnis zu wechseln, das vom Stammpfad nach einer logischen Anmeldung
angegeben wird.
Syntax
isi ftp local-root-path --value <ifs-directory>
[--reset]
Optionen
{--value | -v} <ifs-directory>
Gibt ein Verzeichnis in /ifs an, in das VSFTPD nach einer lokalen Anmeldung
versucht, zu wechseln. Gültige Werte sind Pfade in /ifs. Wenn keine Optionen
angegeben werden, wird der aktuelle Stammpfad für lokale Benutzer angezeigt. Der
Standardwert ist das Stammverzeichnis des lokalen Benutzers.
--reset
Setzt das Verzeichnis zurück, damit das Stammverzeichnis des lokalen Benutzers
verwendet wird.
isi ftp file-create-perm
479
Dateifreigabe
Beispiele
Mit dem folgenden Befehl wird der Stammpfad für lokale Benutzer auf /ifs/home/
newUser festgelegt:
isi ftp local-root-path --value=/ifs/home/newUser
local-root-path: local user home directory -> /ifs/home/newUser
Um den Stammpfad für lokale Benutzer auf das Stammverzeichnis des lokalen Benutzers
zurückzusetzen, führen Sie den folgenden Befehl aus:
isi ftp local-root-path --reset
local-root-path: /ifs/home/newUser1 -> local user home directory
isi ftp local-umask
Gibt die umask für die Dateierstellung durch lokale Benutzer an und zeigt diese an.
Syntax
isi ftp local-umask <value>
Optionen
<value>
Gibt die umask für die Dateierstellung durch lokale Benutzer an. Gültige Werte sind
oktale umask-Zahlen. Wenn keine Optionen angegeben werden, wird die aktuelle
umask für die Dateierstellung durch lokale Benutzer angezeigt. Der Standardwert ist
077.
Hinweis
Der Wert muss das Präfix „0“ enthalten, da der Wert andernfalls als dekadische
Ganzzahl behandelt wird.
Beispiele
Mit dem folgenden Befehl wird die umask für die Dateierstellung durch lokale Benutzer
auf 066 festgelegt:
isi ftp local-umask 066
local-umask: 077 -> 066
isi ftp server-to-server
Legt fest, ob Server-zu-Server-Übertragungen (FXP) zulässig sind, und zeigt diese an.
Syntax
isi ftp server-to-server <value>
480
Dateifreigabe
Optionen
<value>
Gibt an, ob FXP-Übertragungen zulässig sind oder nicht. Gültige Werte sind YES und
NO. Wenn keine Optionen angegeben werden, wird die aktuelle Einstellung angezeigt.
Der Standardwert ist NO.
Beispiele
Um FXP-Übertragungen zuzulassen, führen Sie den folgenden Befehl aus:
isi ftp server-to-server YES
server-to-server: NO -> YES
isi ftp session-support
Aktiviert oder deaktiviert den FTP-Sitzungssupport.
Syntax
isi ftp session-support <value>
Optionen
<value>
Gültige Werte sind YES und NO. Wenn YES festgelegt wird, werden mit dem Befehl
über PAMs (Pluggable Authentication Modules) Anmeldesitzungen für jeden Benutzer
beibehalten. Wenn NO festgelegt wird, wird mit dem Befehl die automatische
Erstellung von Stammverzeichnissen verhindert, wenn diese Funktion ansonsten
verfügbar ist. Wenn keine Optionen angegeben werden, wird angezeigt, ob FTPSitzungssupport aktiviert ist. Der Standardwert ist YES.
isi ftp session-timeout
Gibt den Timeout für ein System im Leerlauf an und zeigt diesen an.
Syntax
isi ftp session-timeout <value>
Optionen
<value>
Gibt die maximale Zeit (in Sekunden) an, die ein Remoteclient zwischen FTP-Befehlen
verbringen kann, bevor der Remoteclient getrennt wird. Gültige Werte sind
Ganzzahlen zwischen 30 und 600. Wenn keine Optionen angegeben werden, wird der
aktuelle Timeout-Wert für ein System im Leerlauf angezeigt. Der Standardwert ist 300.
Beispiele
Um den Timeout auf eine Minute festzulegen, führen Sie den folgenden Befehl aus:
isi ftp session-timeout 60
isi ftp session-support
481
Dateifreigabe
session-timeout: 300 -> 60
isi ftp user-config-dir
Gibt das Benutzerkonfigurationsverzeichnis an und zeigt dieses an.
Syntax
isi ftp user-config-dir --value<directory>
[--reset]
Optionen
Wenn keine Optionen angegeben werden, wird der aktuelle Verzeichnispfad für die
Benutzerkonfiguration angezeigt.
{--value | -v} <directory>
Gibt das Verzeichnis der benutzerspezifischen Konfigurationen an, mit denen globale
Konfigurationen außer Kraft gesetzt werden. Der Standardwert ist das
Stammverzeichnis des lokalen Benutzers.
--reset
Setzt das Verzeichnis zurück, damit das Stammverzeichnis des lokalen Benutzers
verwendet wird.
Beispiele
Mit dem folgenden Befehl wird das Benutzerkonfigurationsverzeichnis auf „/ifs/home/
User/directory“ festgelegt:
isi ftp user-config-dir --value=/ifs/home/User/directory
Um das Benutzerkonfigurationsverzeichnis zurück auf das Stammverzeichnis des lokalen
Benutzers zu setzen, führen Sie den folgenden Befehl aus:
isi ftp user-config-dir --reset
482
KAPITEL 10
Stammverzeichnisse
l
l
l
l
l
l
l
l
l
l
Überblick über Stammverzeichnisse....................................................................484
Stammverzeichnisberechtigungen...................................................................... 484
Authentifizieren von SMB-Benutzern................................................................... 484
Stammverzeichniserstellung über SMB............................................................... 484
Stammverzeichniserstellung über SSH und FTP................................................... 488
Stammverzeichniserstellung in einer gemischten Umgebung.............................. 491
Interaktionen zwischen ACLs und Modusbits.......................................................491
Standardmäßige Stammverzeichniseinstellungen von Authentifizierungsanbietern
........................................................................................................................... 492
Unterstützte Erweiterungsvariablen.....................................................................493
Domainvariablen für das Provisioning von Stammverzeichnissen........................494
Stammverzeichnisse
483
Stammverzeichnisse
Überblick über Stammverzeichnisse
Wenn Sie einen lokalen Benutzer erstellen, erstellt OneFS automatisch ein
Stammverzeichnis für den Benutzer. OneFS unterstützt darüber hinaus ein dynamisches
Stammverzeichnis-Provisioning für Benutzer, die auf das Cluster zugreifen, indem sie
eine Verbindung zu einer SMB-Freigabe herstellen oder indem sie sich über FTP oder SSH
anmelden. Unabhängig von der Methode, mit der ein Stammverzeichnis erstellt wurde,
können Sie den Zugriff auf das Stammverzeichnis durch eine Kombination von SMB, SSH
und FTP konfigurieren.
Stammverzeichnisberechtigungen
Sie können das Stammverzeichnis eines Benutzers mit einer Windows-ACL oder mit
POSIX-Modusbits einrichten, die dann in eine synthetische ACL konvertiert werden. Die
Methode zur Erstellung eines Stammverzeichnisses bestimmt die
Anfangsberechtigungen, die für das Stammverzeichnis festgelegt sind.
Wenn Sie einen lokalen Benutzer erstellen, wird das das Stammverzeichnis des
Benutzers standardmäßig mit Modusbits erstellt.
Für Benutzer, die anhand externer Quellen authentifiziert werden, können Sie
Einstellungen angeben, mit der Stammverzeichnisse während der Anmeldung dynamisch
erstellt werden. Wenn ein Stammverzeichnis während einer Anmeldung über SSH oder
FTP erstellt wird, wird es mit Modusbits eingerichtet. Wenn ein Stammverzeichnis
während einer SMB-Verbindung erstellt wird, erhält es entweder Modusbits oder eine
ACL. Wenn sich z. B. ein LDAP-Benutzer erstmals über SSH oder FTP anmeldet, wird das
Benutzerstammverzeichnis mit Modusbits erstellt. Wenn derselbe Benutzer erstmals eine
Verbindung über eine SMB-Freigabe herstellt, wird das Stammverzeichnis mit den
Berechtigungen erstellt, die von den konfigurierten SMB-Einstellungen angezeigt werden.
Wenn die Option --inheritable-path-acl aktiviert ist, wird eine ACL erzeugt,
andernfalls werden Modusbits verwendet.
Authentifizieren von SMB-Benutzern
Sie können SMB-Benutzer über Authentifizierungsanbieter authentifizieren, die NTHashes verarbeiten können.
SMB sendet einen NT-Passwort-Hash, um SMB-Benutzer zu authentifizieren, sodass sich
nur Benutzer von Authentifizierungsanbietern, die NT-Hashes verarbeiten können, über
SMB anmelden können. Die folgenden von OneFS-unterstützten
Authentifizierungsanbieter können NT-Hashes verarbeiten:
l
Active Directory
l
Standort
l
LDAPSAM (LDAP mit aktivierten Samba-Erweiterungen)
Stammverzeichniserstellung über SMB
Sie können SMB-Freigaben erstellen, indem Sie Erweiterungsvariablen in den
Freigabepfad einfügen. Erweiterungsvariablen geben Benutzern Zugriff auf ihre
Stammverzeichnisse, indem sie eine Verbindung zur Freigabe herstellen. Sie können
ebenfalls das dynamische Provisioning von Stammverzeichnissen aktivieren, die zum
Zeitpunkt der SMB-Verbindung nicht vorhanden sind.
484
Stammverzeichnisse
Hinweis
Freigabeberechtigungen werden beim Zugriff auf Dateien geprüft, bevor die zugrunde
liegenden Dateisystemberechtigungen geprüft werden. Jede dieser Berechtigungen kann
den Zugriff auf die Datei bzw. das Verzeichnis verhindern.
Erstellen von Stammverzeichnissen mit Erweiterungsvariablen
Sie können Einstellungen mit Erweiterungsvariablen konfigurieren, um
Stammverzeichnisse für SMB-Freigaben zu erstellen.
Wenn Benutzer über SMB auf das EMC Isilon-Cluster zugreifen, erfolgt der Zugriff auf das
Stammverzeichnis über SMB-Freigaben. Sie können Einstellungen mit einem Pfad
konfigurieren, der eine Syntax mit Variablenerweiterung verwendet, damit der Benutzer
eine Verbindung zu der Freigabe seines Stammverzeichnisses herstellen kann.
Hinweis
Pfade zur Freigabe eines Stammverzeichnisses müssen mit /ifs/ beginnen und sich im
Stammpfad der Zugriffszone befinden, in der die SMB-Freigabe des Stammverzeichnisses
erstellt wird.
In den folgenden Befehlen wird die Option --allow-variable-expansion aktiviert,
um anzuzeigen, dass %U auf den Benutzernamen erweitert werden soll, in diesem
Beispiel „user411“. Die Option --auto-create-directory ist aktiviert, damit das
Verzeichnis erstellt wird, falls es nicht vorhanden ist:
isi smb shares create HOMEDIR --path=/ifs/home/%U \
isi smb shares view HOMEDIR
Share Name: HOMEDIR
Pfad: /ifs/home/%U
Description:
Client-side Caching Policy: manual
Automatically expand user names or domain names: True
Automatically create home directories for users: True
Browsable: True
Permissions:
Account Account Type Run as Root Permission Type Permission
-----------------------------------------------------------Everyone wellknown
False
allow
full
-----------------------------------------------------------Total: 1
...
Wenn user411 mit dem Befehl net use eine Verbindung mit der Share herstellt, wird
das Stammverzeichnis des Benutzers unter /ifs/home/user411 erstellt. Auf dem
Windows-Client von user411 stellt der Befehl net usem: eine Verbindung mit /ifs/
home/user411 über die HOMEDIR-Share her:
net use m: \\cluster.company.com\HOMEDIR /u:user411
Erstellen von Stammverzeichnissen mit Erweiterungsvariablen
485
Stammverzeichnisse
Vorgehensweise
1. Führen Sie auf dem Cluster die folgenden Befehle mit aktivierter Option --allowvariable-expansion aus. Die Erweiterungsvariable %U wird auf den
Benutzernamen erweitert und die Option --auto-create-directory wird
aktiviert, damit das Verzeichnis erstellt wird, falls es nicht vorhanden ist:
isi smb shares create HOMEDIR --path=/ifs/home/%U \
2. Führen Sie den folgenden Befehl aus, um die Einstellungen des Stammverzeichnisses
anzuzeigen:
isi smb shares view HOMEDIR
Share Name: HOMEDIR
Pfad: /ifs/home/%U
Description:
Client-side Caching Policy: manual
Automatically expand user names or domain names: True
Automatically create home directories for users: True
Browsable: True
Permissions:
Account Account Type Run as Root Permission Type Permission
-----------------------------------------------------------Everyone wellknown
False
allow
full
-----------------------------------------------------------Total: 1
...
Wenn user411 mit dem Befehl net use eine Verbindung mit der Share herstellt, wird
das Stammverzeichnis des von user411 unter /ifs/home/user411 erstellt. Auf
dem Windows-Client von user411 stellt der Befehl net usem: eine Verbindung
mit /ifs/home/user411 über die HOMEDIR-Share her, wobei die Verbindung
ähnlich wie im folgenden Beispiel zugeordnet wird:
net use m: \\cluster.company.com\HOMEDIR /u:user411
Erstellen von Stammverzeichnissen mit der Option --inheritable-path-acl
Sie können auf einer Freigabe die Option --inheritable-path-acl aktivieren, um
festzulegen, dass diese auf dem Freigabepfad übernommen werden soll, wenn das
übergeordnete Verzeichnis eine übernehmbare ACL (Access Control List,
Zugriffskontrolliste) hat.
Bevor Sie beginnen
Für die meisten Konfigurationsfunktionen müssen Sie als Mitglied der SecurityAdminRolle angemeldet sein.
Standardmäßig wird der Verzeichnispfad einer SMB-Freigabe mit einer synthetischen ACL
erstellt, die auf Modusbits basiert. Sie können die Option --inheritable-path-acl
aktivieren, um die übernehmbare ACL auf allen erstellten Verzeichnissen zu verwenden,
entweder zum Zeitpunkt der Erstellung der Freigabe oder, bei dynamisch bereitgestellten
Freigaben, zum Zeitpunkt der Verbindung mit dieser Freigabe.
486
Stammverzeichnisse
Vorgehensweise
1. Führen Sie Befehle aus, die den folgenden Beispielen ähneln, um die Option -inheritable-path-acl auf dem Cluster zu aktivieren und bei der ersten
Verbindung mit einer Freigabe auf dem Cluster ein Stammverzeichnis für einen
Benutzer dynamisch bereitzustellen:
isi smb shares create HOMEDIR_ACL --path=/ifs/home/%U \
--allow-variable-expansion=yes --auto-create-directory=yes \
--inheritable-path-acl=yes
isi smb shares permission modify HOMEDIR_ACL \
--wellknown Everyone \
2. Führen Sie einen net use-Befehl, der dem folgenden Beispiel ähnelt, auf einem
Windows-Client aus, um das Stammverzeichnis zu „user411“ zuzuordnen:
net use q: \\cluster.company.com\HOMEDIR_ACL /u:user411
3. Führen Sie auf dem Cluster einen Befehl aus, der dem folgenden Beispiel ähnelt, um
die übernommenen ACL-Berechtigungen für die Freigabe „user411“ anzuzeigen:
cd /ifs/home/user411
ls -lde .
drwx------ + 2 user411 Isilon Users 0 Oct 19 16:23 ./
OWNER: user:user411
GROUP: group:Isilon Users
CONTROL:dacl_auto_inherited,dacl_protected
0: user:user411 allow dir_gen_all,object_inherit,container_inherit
Erstellen von speziellen Stammverzeichnissen mit der %U-Variable für SMBFreigaben
Mit dem speziellen %U-Namen für SMB-Freigaben können Sie eine SMB-Freigabe für ein
Stammverzeichnis erstellen, das mit dem Benutzernamen eines Benutzers identisch ist.
In der Regel richten Sie eine %U-SMB-Freigabe mit einem Freigabepfad ein, der die %UErweiterungsvariable enthält. Wenn ein Benutzer versucht, eine Verbindung mit einer
Freigabe herzustellen, die mit dem Anmeldenamen übereinstimmt, aber nicht vorhanden
ist, wird stattdessen eine Verbindung zur %U-Freigabe hergestellt und der Benutzer wird
auf den erweiterten Pfad für die %U-Freigabe weitergeleitet.
Hinweis
Wenn eine andere SMB-Freigabe vorhanden ist, die mit dem Benutzernamen
übereinstimmt, wird der Benutzer mit der ausdrücklich benannten Freigabe anstelle der
%U-Freigabe verbunden.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um eine Freigabe zu erstellen, die mit dem
authentifizierten Anmeldenamen des Benutzers übereinstimmt, wenn der Benutzer
eine Verbindung zur Freigabe herstellt:
isi smb share create %U /ifs/home/%U \
--allow-variable-expansion=yes --auto-create-directory=yes \
--zone=System
Erstellen von speziellen Stammverzeichnissen mit der %U-Variable für SMB-Freigaben
487
Stammverzeichnisse
Nachdem dieser Befehl ausgeführt wurde, wird Benutzer „Zachary“ eine Freigabe
namens „zachary“ anstelle der %U-Freigabe angezeigt. Wenn Zachary versucht, eine
Verbindung zur Freigabe „zachary“ herzustellen, wird er zum Verzeichnis /ifs/
home/zachary weitergeleitet. Wenn Zachary auf einem Windows-Client die
folgenden Befehle ausführt, werden ihm die Inhalte des Verzeichnisses /ifs/home/
zachary angezeigt:
net use m: \\cluster.ip\zachary /u:zachary
cd m:
dir
Ähnlich dem obigen Beispiel werden der Benutzerin Claudia, wenn diese auf einem
Windows-Client die folgenden Befehle ausführt, die Inhalte des
Verzeichnisses /ifs/home/claudia angezeigt:
net use m: \\cluster.ip\claudia /u:claudia
cd m:
dir
Zachary und Claudia können nicht auf die Stammverzeichnisse des jeweils anderen
zugreifen, da für Zachary nur die Freigabe „zachary“ und für Claudia nur die Freigabe
„claudia“ vorhanden ist.
Stammverzeichniserstellung über SSH und FTP
Sie können Stammverzeichnissupport für Benutzer konfigurieren, die über SSH oder FTP
auf das Cluster zugreifen, indem Sie die Authentifizierungsanbietereinstellungen ändern.
Festlegen der SSH- oder FTP-Anmelde-Shell
Sie können die Option --login-shell verwenden, um die Standardanmelde-Shell für
den Benutzer festzulegen.
Standardmäßig setzt die Option --login-shell, wenn festgelegt, alle anderen
Anmelde-Shell-Informationen, die vom Authentifizierungsanbieter bereitgestellt werden,
außer Kraft. Active Directory bildet in diesem Fall eine Ausnahme. Wenn die Option -login-shell zusammen mit Active Directory festgelegt wird, stellt diese lediglich die
Standardanmelde-Shell dar, wenn der Active Directory-Server keine Anmelde-ShellInformationen bereitstellt.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um die Anmelde-Shell für alle lokalen Benutzer
auf /bin/bash festzulegen:
isi auth local modify System --login-shell /bin/bash
2. Führen Sie den folgenden Befehl aus, um die Standardanmelde-Shell für alle
Active Directory-Benutzer in Ihrer Domain auf /bin/bash festzulegen:
isi auth ads modify YOUR.DOMAIN.NAME.COM --login-shell /bin/bash
488
Stammverzeichnisse
Festlegen von SSH-/FTP-Stammverzeichnisberechtigungen
Sie können Stammverzeichnisberechtigungen für ein Stammverzeichnis festlegen, auf
das über SSH oder FTP zugegriffen wird, indem Sie einen umask-Wert festlegen.
Bevor Sie beginnen
Wenn bei der Anmeldung über SSH oder FTP ein Stammverzeichnis für einen Benutzer
erstellt wird, geschieht dies mithilfe von POSIX-Modusbits. Die Berechtigungseinstellung
auf dem Stammverzeichnis eines Benutzers wird auf „0755“ festgelegt und dann
entsprechend der umask-Einstellung der Zugriffszone des Benutzers maskiert, um die
Berechtigungen weiter einzuschränken. Sie können die umask-Einstellung für eine Zone
mit der Option --home-directory-umask ändern und eine Oktalzahl als umask-Wert
angeben.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um die umask-Einstellung anzuzeigen:
Name: System
Path: /ifs
Cache Size: 4.77M
Map Untrusted:
Auth Providers: NetBIOS Name:
All Auth Providers: Yes
User Mapping Rules: Home Directory Umask: 0077
Skeleton Directory: /usr/share/skel
Audit Success: create, delete, rename, set_security, close
Audit Failure: create, delete, rename, set_security, close
HDFS Authentication: all
HDFS Keytab: /etc/hdfs.keytab
HDFS Root Directory: /ifs
WebHDFS Enabled: Yes
Syslog Forwarding Enabled: No
Syslog Audit Events: create, delete, rename, set_security
Zone ID: 1
Im Befehlsergebnis können Sie sehen, dass die Standardeinstellung für Home
Directory Umask für das erstellte Stammverzeichnis 0700 ist, was (0755&
~(077)) entspricht. Sie können die Einstellung Home Directory Umask für eine
Zone mit der Option --home-directory-umask ändern und eine Oktalzahl als
umask-Wert angeben. Dieser Wert gibt die Berechtigungen an, die deaktiviert werden
sollen, sodass größere umask-Werte weniger Berechtigungen angeben.
Beispielsweise ergibt ein umask-Wert von 000 oder 022 erstellte
Stammverzeichnisberechtigungen von 0755, während ein umask-Wert von 077
erstellte Stammverzeichnisberechtigungen von 0700 ergibt.
2. Führen Sie einen Befehl aus, der dem folgenden Beispiel ähnelt, um Gruppen- oder
sonstige Schreib-/Ausführungsberechtigungen in einem Stammverzeichnis
zuzulassen:
isi zone zones modify System --home-directory-umask=022
Festlegen von SSH-/FTP-Stammverzeichnisberechtigungen
489
Stammverzeichnisse
In diesem Beispiel werden Stammverzeichnisse für Benutzer mit den 0755-Modusbits
erstellt, die vom umask-Feld maskiert werden, das auf den Wert 022 festgelegt ist.
Dementsprechend werden Stammverzeichnisse für Benutzer mit den 0755-Modusbits
erstellt, was (0755 & ~(022)) entspricht.
Festlegen von Erstellungsoptionen für SSH-/FTP-Stammverzeichnisse
Sie können Stammverzeichnissupport für einen Benutzer konfigurieren, der über SSH
oder FTP auf das Cluster zugreift, indem Sie Optionen für Authentifizierungsanbieter
festlegen.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um die Einstellungen für einen Active DirectoryAuthentifizierungsanbieter auf dem Cluster anzuzeigen:
isi auth ads list
Name
Authentication Status DC Name Site
--------------------------------------------------------YOUR.DOMAIN.NAME.COM Yes
online SEA
--------------------------------------------------------Total: 1
2. Führen Sie den Befehl isi auth ads modify mit den Optionen --homedirectory-template und --create-home-directory aus.
isi auth ads modify YOUR.DOMAIN.NAME.COM \
--home-directory-template=/ifs/home/ADS/%D/%U \
--create-home-directory=yes
3. Führen Sie den Befehl isi auth ads view mit der Option --verbose aus.
Name:
NetBIOS Domain:
...
Create Home Directory:
Home Directory Template:
Login Shell:
YOUR.DOMAIN.NAME.COM
YOUR
Yes
/ifs/home/ADS/%D/%U
/bin/sh
4. Führen Sie den Befehl id aus.
uid=1000008(<your-domain>\user_100) gid=1000000(<your-domain>
\domain users)
groups=1000000(<your-domain>\domain users),1000024(<your-domain>
\c1t),1545(Users)
5. (Optional) Um diese Informationen von einem externen UNIX-Node zu überprüfen,
führen Sie den Befehl ssh von einem externen UNIX-Node aus.
Beispielsweise würde mit dem folgenden Befehl das Verzeichnis /ifs/home/ADS/
<your-domain>/user_100 erstellt, wenn es noch nicht vorhanden wäre:
ssh <your-domain>\\[email protected]
490
Stammverzeichnisse
Bereitstellen von Stammverzeichnissen mit dot.-Dateien
Sie können Stammverzeichnisse mit dot.-Dateien bereitstellen.
Bevor Sie beginnen
Das Hauptverzeichnis, das sich standardmäßig unter /usr/share/skel befindet,
enthält einen Satz Dateien, die in das Stammverzeichnis des Benutzers kopiert werden,
wenn ein lokaler Benutzer erstellt wird oder wenn ein Stammverzeichnis für einen
Benutzer dynamisch während der Anmeldung erstellt wird. Dateien im Hauptverzeichnis,
die mit dot. beginnen, werden umbenannt und das Präfix dot wird entfernt, wenn sie in
das Stammverzeichnis des Benutzers kopiert werden. Beispielsweise wird dot.cshrc
als .cshrc in das Stammverzeichnis des Benutzers kopiert. Durch dieses Format
können dot.-Dateien im Hauptverzeichnis über die Befehlszeilenoberfläche angezeigt
werden, ohne dass der Befehl ls-a ausgeführt werden muss.
Für SMB-Freigaben, die möglicherweise Stammverzeichnisse verwenden, die mit dot.Dateien bereitgestellt wurden, können Sie eine Option festlegen, dass Benutzer, die sich
über SMB mit der Freigabe verbinden, keine dot.-Dateien anzeigen können.
Vorgehensweise
1. Führen Sie den folgenden Befehl aus, um das Standardhauptverzeichnis in der
Systemzugriffszone anzuzeigen:
Name: System
...
Skeleton Directory: /usr/share/skel
2. Führen Sie den Befehl isi zone zones modify aus, um das
Standardhauptverzeichnis zu ändern.
Mit dem folgenden Befehl wird das Standardhauptverzeichnis /usr/share/skel in
einer Zugriffszone geändert, wobei „System“ der Wert für die Option <zone> ist
und /usr/share/skel2 der Wert für die Option <path>:
isi zone zones modify System --skeleton-directory=/usr/share/skel2
Stammverzeichniserstellung in einer gemischten Umgebung
Wenn sich ein Benutzer sowohl über SMB als auch über SSH anmeldet, wird empfohlen,
dass Sie die Stammverzeichniseinstellungen so konfigurieren, dass die Pfadvorlage
einheitlich für die SMB-Freigabe und jeden Authentifizierungsanbieter ist, gegen den der
Benutzer über SSH authentifiziert wird.
Interaktionen zwischen ACLs und Modusbits
Die Einrichtung eines Stammverzeichnisses wird durch verschiedene Faktoren bestimmt,
z. B. die Art der Benutzerauthentifizierung und die für die Erstellung eines
Stammverzeichnisses festgelegten Optionen.
Bereitstellen von Stammverzeichnissen mit dot.-Dateien
491
Stammverzeichnisse
Das Stammverzeichnis eines Benutzers wird entweder mit ACLs oder POSIX-Modusbits
eingerichtet, die in eine synthetische ACL konvertiert werden. Das Verzeichnis eines
lokalen Benutzers wird erstellt, wenn der lokale Benutzer erstellt wird, und das
Verzeichnis wird standardmäßig mit POSIX-Modusbits eingerichtet. Verzeichnisse
können bei der Anmeldung für Benutzer, die sich über eine externe Quelle
authentifizieren, und in einigen Fällen für Benutzer, die sich über den Dateianbieter
authentifizieren, dynamisch bereitgestellt werden. In diesem Fall hängt die Erstellung des
Stammverzeichnisses des Benutzers davon ab, wie sich der Benutzer beim ersten Mal
anmeldet.
Wenn sich ein LDAP-Benutzer beispielsweise beim ersten Mal über SSH oder FTP
anmeldet, wird das Stammverzeichnis des Benutzers mit POSIX-Modusbits erstellt. Wenn
sich derselbe Benutzer beim ersten Mal über eine SMB-Freigabe des
Stammverzeichnisses anmeldet, wird das Stammverzeichnis entsprechend den
festgelegten SMB-Optionseinstellungen erstellt. Wenn die Option --inheritedpath-acl aktiviert ist, werden ACLs generiert. Andernfalls werden POSIX-Modusbits
verwendet.
Standardmäßige Stammverzeichniseinstellungen von
Authentifizierungsanbietern
Die Standardeinstellungen, die die Einrichtung von Stammverzeichnissen beeinflussen,
variieren je nach Authentifizierungsanbieter, gegen den der Benutzer authentifiziert wird.
Authentifizierungsa Stammverzeichnis
nbieter
Lokal
Datei
Active Directory
l
--createhomedirectory=yes
l
--loginshell=/bin/sh
l
--homedirectorytemplate=""
l
--createhomedirectory=no
l
492
Aktiviert
--homedirectorytemplate=/ifs
/home/%U
l
l
Stammverzeichniser UNIX-Anmelde-Shell
stellung
Disabled
Disabled
--homedirectorytemplate=/ifs
/home/%D/%U
/bin/sh
Ohne
/bin/sh
Stammverzeichnisse
Authentifizierungsa Stammverzeichnis
nbieter
l
Stammverzeichniser UNIX-Anmelde-Shell
stellung
--loginshell=/bin/sh
Hinweis
Wenn verfügbar, setzen
Anbieterinformationen
diesen Wert außer
Kraft.
LDAP
NIS
l
l
l
l
Disabled
Ohne
Disabled
Ohne
Sie können Erweiterungsvariablen in einen SMB-Freigabepfad oder in die
Stammverzeichnisvorlage eines Authentifizierungsanbieters einbeziehen.
OneFS unterstützt die folgenden Erweiterungsvariablen. Sie können die Performance
verbessern und die Anzahl der zu managenden Freigaben reduzieren, indem Sie
Freigaben mit Erweiterungsvariablen konfigurieren. Sie können beispielsweise die
Variable %U in eine Freigabe einbeziehen, anstatt eine Freigabe für jeden Benutzer zu
erstellen. Wenn die Variable %U im Namen enthalten ist, sodass der Pfad jedes
Benutzers unterschiedlich ist, bleibt die Sicherheit weiterhin gegeben, da jeder Benutzer
nur sein eigenes Stammverzeichnis anzeigen und darauf zugreifen kann.
Hinweis
Wenn Sie eine SMB-Freigabe über die Webverwaltungsschnittstelle erstellen, müssen Sie
das Kontrollkästchen Allow Variable Expansion aktivieren, da die Zeichenfolge ansonsten
vom System buchstäblich interpretiert wird.
Variable Wert
%U
Beschreibung
Benutzername (z. B. user_001) Blendet den Benutzernamen ein, damit
unterschiedliche Benutzer verschiedene
Stammverzeichnisse verwenden können. Diese
Variable wird in der Regel am Ende des Pfads
angeführt. Beispiel: Für den Benutzer „user1“ wird
493
Stammverzeichnisse
Variable Wert
Beschreibung
der Pfad /ifs/home/%U zugeordnet zu /ifs/
home/user1.
%D
NetBIOS-Domainnamen (z. B.
YORK für
YORK.EAST.EXAMPLE.COM)
Blendet den Domainnamen des Benutzers auf
Grundlage des Authentifizierungsanbieters ein:
l
Bei Active Directory-Benutzern wird %D als Active
Directory-NetBIOS-Name eingeblendet.
l
Bei lokalen Benutzern wird %D als Clustername
in Großbuchstaben eingeblendet. Beispiel: Für
das Cluster „cluster1“ wird %D als CLUSTER1
eingeblendet.
l
Für Benutzer im Systemdateianbieter wird %D
als UNIX_USERS eingeblendet.
l
Für Benutzer in anderen Dateianbietern wird %D
als FILE_USERS eingeblendet.
l
Für LDAP-Benutzer wird %D als LDAP_USERS
eingeblendet.
l
Für NIS-Benutzer wird %D als NIS_USERS
eingeblendet.
%Z
Zonenname (z. B. ZoneABC)
Wird als Zugriffszonenname eingeblendet. Wenn
mehrere Zonen aktiviert sind, ist diese Variable zur
Differenzierung von Benutzern in separaten Zonen
nützlich. Beispiel: Für den Benutzer „user1“ in der
Systemzone wird der Pfad /ifs/home/%Z/%U
zugeordnet zu /ifs/home/System/user1.
%L
Hostname (Clusterhostname in Wird als Hostname des Clusters, normalisiert in
Kleinbuchstaben)
Kleinbuchstaben, eingeblendet. Eingeschränkte
Verwendung.
%0
Erstes Zeichen des
Benutzernamens
Wird auf das erste Zeichen des Benutzernamens
erweitert
%1
Zweites Zeichen des
Benutzernamens
Wird auf das zweite Zeichen des Benutzernamens
erweitert
%2
Drittes Zeichen des
Benutzernamens
Wird auf das dritte Zeichen des Benutzernamens
erweitert
Hinweis
Wenn der Benutzername weniger als drei Zeichen umfasst, werden die Variablen %0, %1
und %2 zusammengefasst. Beispiel: Für einen Benutzer mit dem Namen „ab“ werden die
Variablen a, b bzw. a zugeordnet. Für einen Benutzer mit dem Namen „a“ werden alle drei
Variablen a zugeordnet.
Domainvariablen für das Provisioning von Stammverzeichnissen
Sie können Domainvariablen verwenden, um Authentifizierungsanbieter während des
Provisioning von Stammverzeichnissen festzulegen.
494
Stammverzeichnisse
Die Domainvariable (%D) wird in der Regel für Active Directory-Benutzer verwendet,
verfügt jedoch über verschiedene Werte, die für andere Authentifizierungsanbieter
verwendet werden können. In der folgenden Tabelle wird die %D-Erweiterung für die
verschiedenen Authentifizierungsanbieter beschrieben.
Authentifizierter
Benutzer
%D-Erweiterung
Active DirectoryBenutzer
Active Directory-NetBIOS-Name, z. B. YORK für Anbieter
YORK.EAST.EXAMPLE.COM.
Lokaler Benutzer
Der Clustername in Großbuchstaben, z. B. wird %D für ein Cluster mit dem
Namen „MyCluster“ auf MYCLUSTER erweitert.
Dateibenutzer
l
UNIX_USERS (für Systemdateianbieter)
l
FILE_USERS (für alle anderen Dateianbieter)
LDAP-Benutzer
LDAP_USERS (für alle LDAP-Authentifizierungsanbieter)
NIS-Benutzer
NIS_USERS (für alle NIS-Authentifizierungsanbieter)
Domainvariablen für das Provisioning von Stammverzeichnissen
495
Stammverzeichnisse
496
KAPITEL 11
Snapshots
l
l
l
l
l
l
l
l
l
l
l
l
l
l
l
l
l
l
l
l
l
Snapshots – Übersicht........................................................................................ 498
Datensicherheit mit SnapshotIQ..........................................................................498
Snapshot-Speicherplatznutzung......................................................................... 498
Snapshot-Planungen...........................................................................................499
Snapshot-Aliasnamen......................................................................................... 499
Datei- und Verzeichniswiederherstellung............................................................ 499
Best Practices für die Erstellung von Snapshots.................................................. 500
Best Practices für die Erstellung von Snapshot-Planungen...................................500
Datei-Clones....................................................................................................... 501
Snapshot-Sperren............................................................................................... 503
Snapshot-Reserve............................................................................................... 503
SnapshotIQ-Lizenzfunktionen............................................................................. 503
Erstellen von Snapshots mit SnapshotIQ.............................................................504
Managen von Snapshots .................................................................................... 508
Wiederherstellen von Snapshot-Daten................................................................ 511
Managen von Snapshot-Planungen..................................................................... 513
Managen von Snapshot-Aliasnamen................................................................... 514
Managen von Snapshot-Sperren......................................................................... 516
Konfigurieren der SnapshotIQ-Einstellungen ...................................................... 518
Festlegen der Snapshot-Reserve..........................................................................519
Snapshot-Befehle............................................................................................... 520
Snapshots
497
Snapshots
Snapshots – Übersicht
Ein OneFS-Snapshot ist ein logischer Pointer auf Daten, die zu einem bestimmten Pointin-Time in einem Cluster gespeichert werden.
Ein Snapshot bezieht sich auf ein Verzeichnis in einem Cluster, einschließlich aller Daten,
die in diesem Verzeichnis und in den Unterverzeichnissen gespeichert werden. Wenn die
von einem Snapshot referenzierten Daten geändert werden, speichert der Snapshot eine
physische Kopie der geänderten Daten. Snapshots werden gemäß Benutzerangaben oder
automatisch durch OneFS erzeugt, um Systemvorgänge zu erleichtern.
Um Snapshots zu erstellen und zu verwalten, müssen Sie eine SnapshotIQ-Lizenz auf
dem Cluster aktivieren. Einige Anwendungen müssen Snapshots erzeugen, um richtig zu
funktionieren, benötigen jedoch keine aktivierte SnapshotIQ-Lizenz. Standardmäßig
werden diese Snapshots automatisch gelöscht, wenn sie von OneFS nicht mehr benötigt
werden. Wenn Sie eine SnapshotIQ-Lizenz aktivieren, können Sie diese Snapshots
jedoch aufbewahren. Sie können von anderen Modulen erzeugte Snapshots anzeigen,
ohne eine SnapshotIQ-Lizenz aktivieren zu müssen.
Sie können Snapshots nach Name oder ID erkennen und suchen. Ein Snapshot-Name
wird von einem Benutzer festgelegt und dem virtuellen Verzeichnis zugewiesen, das den
Snapshot enthält. Eine Snapshot-ID ist eine numerische ID, die einem Snapshot
automatisch von OneFS zugewiesen wird.
Datensicherheit mit SnapshotIQ
Sie können Snapshots erstellen, um Daten mit dem SnapshotIQ-Softwaremodul zu
sichern. Snapshots sichern Daten vor unbeabsichtigten Löschungen und Änderungen,
indem Sie gelöschte und geänderte Dateien wiederherstellen können. Um SnapshotIQ zu
verwenden, müssen Sie eine SnapshotIQ-Lizenz auf dem Cluster aktivieren.
Snapshots sind günstiger als Datenbackups auf separaten physischen Speichermedien
sowohl in Bezug auf die Zeit als auch die Speicherplatzbelegung. Die Zeit, die zum
Verschieben von Daten auf ein anderes physisches Gerät erforderlich ist, hängt von der
Menge der zu verschiebenden Daten ab. Snapshots werden hingegen unabhängig von
der Menge der vom Snapshot referenzierten Daten nahezu sofort erstellt. Da Snapshots
lokal verfügbar sind, können Anwender ihre Daten zudem häufig ohne Unterstützung
durch den Systemadministrator wiederherstellen. Snapshots benötigen weniger
Speicherplatz als ein Remotebackup, da unveränderte Daten nur referenziert und nicht
neu erstellt werden.
Snapshots schützen nicht vor Hardware- oder Dateisystemproblemen. Snapshots
referenzieren Daten, die auf einem Cluster gespeichert sind. Wenn die Daten auf dem
Cluster nicht mehr verfügbar sind, sind die Snapshots ebenfalls nicht mehr verfügbar.
Daher wird empfohlen, dass Sie für Ihre Daten nicht nur Snapshots erstellen, sondern
diese auch auf physischen Speichermedien sichern.
Snapshot-Speicherplatznutzung
Die Menge des Laufwerksspeichers, die ein Snapshot belegt, hängt von der Menge der
vom Snapshot gespeicherten Daten und von der Menge der vom Snapshot referenzierten
Daten anderer Snapshots ab.
Sofort nach Erstellung eines Snapshot durch OneFS verbraucht der Snapshot eine
geringfügige Menge an Speicherplatz. Der Snapshot belegt keinen zusätzlichen
Speicherplatz, solange die vom Snapshot referenzierten Daten nicht geändert werden.
498
Snapshots
Wenn die vom Snapshot referenzierten Daten geändert werden, speichert der Snapshot
schreibgeschützte Kopien der Originaldaten. Ein Snapshot benötigt nur soviel
Speicherplatz, wie für die Wiederherstellung der Inhalte eines Verzeichnisses auf den
Status, in dem es sich vor der Snapshot-Erstellung befunden hat, erforderlich ist.
Um die Auslastung des Laufwerksspeichers zu reduzieren, referenzieren Snapshots, die
dasselbe Verzeichnis referenzieren, einander, wobei ältere Snapshots neuere Snapshots
referenzieren. Wenn eine Datei gelöscht wird und mehrere Snapshots die Datei
referenzieren, speichert ein Snapshot eine Kopie der Datei und die anderen Snapshots
referenzieren die Datei aus dem Snapshot, in dem die Kopie gespeichert wird. Die
gemeldete Größe eines Snapshot berücksichtigt nur die Datenmenge, die vom Snapshot
gespeichert wird, und beinhaltet nicht die Datenmenge, die vom Snapshot referenziert
wird.
Da Snapshots keine festgelegte Menge an Speicherplatz belegen, gibt es keine
Speicherplatzanforderungen für die Erstellung eines Snapshot. Die Größe eines Snapshot
wächst in dem Maße, in dem Daten, die vom Snapshot referenziert werden, geändert
werden. Ein Cluster kann nicht mehr als 20.000 Snapshots enthalten.
Snapshot-Planungen
Sie können Snapshots gemäß einer Snapshot-Planung automatisch erzeugen.
Mit Snapshot-Planungen können Sie Snapshots eines Verzeichnisses regelmäßig
erzeugen, ohne dass Sie jedes Mal einen Snapshot manuell erstellen müssen. Sie
können auch einen Ablaufzeitraum festlegen, der bestimmt, wann SnapshotIQ jeden
automatisch erzeugten Snapshot löscht.
Snapshot-Aliasnamen
Ein Snapshot-Alias ist ein logischer Verweis auf einen Snapshot. Wenn Sie einen Alias für
eine Snapshot-Planung angeben, zeigt der Alias immer auf den neuesten Snapshot, der
anhand dieser Planung erzeugt wurde. Das Zuordnen eines Snapshot-Alias ermöglicht es
Ihnen auch, den neuesten nach einer Snapshot-Planung erzeugten Snapshot schnell zu
identifizieren und auf diesen zuzugreifen.
Wenn Sie Clients über einen Alias Zugriff auf Snapshots gewähren, können Sie den Alias
erneut zuweisen, um Clients an andere Snapshots weiterzuleiten. Neben der Zuweisung
von Snapshot-Aliasnamen zu Snapshots können Sie Snapshot-Aliasnamen auch der
Onlineversion des Dateisystems zuordnen. Dies kann nützlich sein, wenn Clients über
einen Snapshot-Alias auf Snapshots zugreifen und Sie die Clients zur Onlineversion des
Dateisystems umleiten möchten.
Datei- und Verzeichniswiederherstellung
Sie können Dateien und Verzeichnisse wiederherstellen, die von einem Snapshot
referenziert werden, indem Sie Daten vom Snapshot kopieren, eine Datei aus dem
Snapshot klonen oder den gesamten Snapshot zurücksetzen.
Durch Kopieren einer Datei aus einem Snapshot wird die Datei dupliziert, wodurch sich
die Menge des belegten Speicherplatzes ungefähr verdoppelt. Selbst wenn Sie die
ursprüngliche Datei aus dem Nicht-Snapshot-Verzeichnis löschen, verbleibt die Kopie der
Datei im Snapshot.
Durch Klonen einer Datei aus einem Snapshot wird die Datei ebenfalls dupliziert. Anders
als eine Kopie, die sofort zusätzlichen Speicherplatz auf dem Cluster belegt, belegt ein
Snapshot-Planungen
499
Snapshots
Clone keinen zusätzlichen Speicherplatz auf dem Cluster, es sei denn, der Clone oder die
geklonte Datei wird geändert.
Durch Zurücksetzen eines Snapshot werden die Inhalte eines Verzeichnisses durch die
Daten ersetzt, die im Snapshot gespeichert werden. Bevor ein Snapshot zurückgesetzt
wird, erstellt SnapshotIQ einen Snapshot des Verzeichnisses, das ersetzt wird, wodurch
Sie die Snapshot-Zurücksetzung später rückgängig machen können. Das Zurücksetzen
eines Snapshot kann nützlich sein, wenn Sie viele Änderungen rückgängig machen
möchten, die Sie an Dateien und Verzeichnissen vorgenommen haben. Wenn seit der
Erstellung eines Snapshot neue Dateien oder Verzeichnisse in einem Verzeichnis erstellt
wurden, werden diese Dateien und Verzeichnisse gelöscht, wenn der Snapshot
zurückgesetzt wird.
Best Practices für die Erstellung von Snapshots
Berücksichtigen Sie bei der Verarbeitung einer großen Anzahl von Snapshots die
folgenden Best Practices.
Es wird empfohlen, nicht mehr als 1.000 Snapshots eines einzigen Verzeichnisses zu
erstellen, um eine Performanceverschlechterung zu vermeiden. Wenn Sie einen Snapshot
eines Stammverzeichnis erstellen, wird dieser Snapshot der Gesamtanzahl der
Snapshots für alle Unterverzeichnisse des Stammverzeichnisses zugerechnet. Wenn Sie
beispielsweise 500 Snapshots von /ifs/data und 500 Snapshots von /ifs/data/
media erstellen, haben Sie 1.000 Snapshots von /ifs/data/media erstellt.
Vermeiden Sie die Erstellung von Snapshots von Verzeichnissen, die bereits von anderen
Snapshots referenziert sind.
Es wird empfohlen, nicht mehr als 1.000 Hardlinks pro Datei in einem Snapshot zu
erstellen, um eine Performanceverschlechterung zu vermeiden. Versuchen Sie stets,
Verzeichnispfade so knapp wie möglich zu halten. Je tiefer Verzeichnisse gehen, auf die
sich Snapshots beziehen, desto größer wird die Performanceverschlechterung.
Das Erstellen von Snapshots von Verzeichnissen, die sich höher in einer
Verzeichnisstruktur befinden, erhöht die Zeit zur Änderung der Daten, auf die sich der
Snapshot bezieht, und erfordert mehr Clusterressourcen für das Management des
Snapshots und des Verzeichnisses. Andererseits erfordert die Erstellung von Snapshots
von Verzeichnissen, die sich niedriger in einer Verzeichnisstruktur befinden, mehr
Snapshot-Planungen, deren Management u. U. kompliziert ist. Es wird empfohlen, keine
Snapshots von /ifs oder /ifs/data zu erstellen.
Sie können jeweils bis zu 20.000 Snapshots pro Cluster erstellen. Wenn Sie eine große
Anzahl von Snapshots erstellen, werden Sie u. U. nicht in der Lage sein, Snapshots über
die OneFS-Webverwaltungsschnittstelle zu managen. Sie können jedoch eine beliebige
Anzahl von Snapshots über die OneFS-Befehlszeilenoberfläche managen.
Hinweis
Es wird empfohlen, den Snapshot-Löschjob nicht zu deaktivieren. Die Deaktivierung des
Snapshot-Löschjobs verhindert, dass nicht belegter Festplattenspeicherplatz freigegeben
wird, und kann auch zu einer Performanceverschlechterung führen.
Best Practices für die Erstellung von Snapshot-Planungen
Snapshot-Planungskonfigurationen können dahingehend kategorisiert werden, wie sie
Snapshots löschen: sortierte und unsortierte Löschvorgänge.
500
Snapshots
Bei einem sortierten Löschvorgang wird der älteste Snapshot im Verzeichnis gelöscht. Bei
einem unsortierten Löschvorgang wird ein Snapshot gelöscht, der nicht der älteste
Snapshot im Verzeichnis ist. Unsortierte Löschvorgänge dauern etwa doppelt so lang und
verbrauchen mehr Clusterressourcen als sortierte Löschvorgänge. Unsortierte
Löschvorgänge können jedoch Speicherplatz einsparen, da eine geringere Gesamtanzahl
von Snapshots aufbewahrt wird.
Die Vorteile von unsortierten Löschvorgängen im Vergleich zu sortierten Löschvorgängen
hängen davon ab, wie oft die von den Snapshots referenzierten Daten geändert werden.
Wenn die Daten oft geändert werden, sparen unsortierte Löschvorgänge Speicherplatz.
Wenn die Daten jedoch unverändert bleiben, sparen unsortierte Löschvorgänge
wahrscheinlich keinen Speicherplatz. Es wird empfohlen, sortierte Löschvorgänge
auszuführen, um Clusterressourcen freizugeben.
Weisen Sie zur Implementierung sortierter Löschvorgänge allen Snapshots eines
Verzeichnisses dieselbe Dauer zu. Die Snapshots können über eine oder mehrere
Snapshot-Planungen erstellt werden. Achten Sie stets darauf, dass nicht mehr als
1.000 Snapshots eines Verzeichnisses erstellt werden.
Erstellen Sie zur Implementierung unsortierter Löschvorgänge mehrere SnapshotPlanungen für ein einziges Verzeichnis und weisen Sie dann jeder Planung eine andere
Snapshot-Dauer zu. Achten Sie nach Möglichkeit darauf, dass alle Snapshots gleichzeitig
erstellt werden.
In der folgenden Tabelle werden Snapshot-Planungen nach Best Practices beschrieben:
Tabelle 16 Snapshot-Planungskonfigurationen
Art des
Löschvor
gangs
SnapshotHäufigkeit
Snapshot-Zeit
SnapshotAblauf
Max. aufbewahrte
Snapshots
Sortierte
Stündlich
Löschung
(primär für
statische
Daten)
Anfang um
12:00 Uhr, Ende
11:59 Uhr
1 Monat
720
Unsortiert
e
Löschung
(für häufig
geänderte
Daten)
Jede zweite Stunde
Anfang um
12:00 Uhr, Ende
23:59 Uhr
1 Tag
27
Täglich
Um 12:00 Uhr
1 Woche
Jede Woche
Samstag um
12:00 Uhr
1 Monat
Monatlich
Am ersten Samstag
des Monats um
12:00 Uhr
3 Monate
Datei-Clones
Mit SnapshotIQ können Sie Datei-Clones erstellen, die Blöcke mit vorhandenen Dateien
gemeinsam nutzen, um Speicherplatz auf dem Cluster zu sparen. Ein Datei-Clone
verbraucht normalerweise weniger Speicherplatz und kann schneller erstellt werden als
eine Dateikopie. Obwohl Sie Dateien aus Snapshots klonen können, werden Clones in
erster Linie intern von OneFS verwendet.
Datei-Clones
501
Snapshots
Die Blöcke, die von einem Clone und einer geklonten Datei gemeinsam genutzt werden,
sind in einer versteckten Datei enthalten, die als Schattenspeicher bezeichnet wird.
Nachdem ein Clone erstellt wird, werden sämtliche Daten, die ursprünglich in der
geklonten Datei enthalten sind, unverzüglich in einen Schattenspeicher übertragen. Da
beide Dateien alle Blöcke aus dem Schattenspeicher referenzieren, belegen die beiden
Dateien nicht mehr Speicherplatz als die ursprüngliche Datei. Der Clone belegt keinen
zusätzlichen Speicherplatz auf dem Cluster. Wenn die geklonte Datei oder der Clone
jedoch geändert wird, nutzen die Datei und der Clone nur die Blöcke gemeinsam, die
beiden gemeinsam sind. Die geänderten, nicht gemeinsam genutzten Blöcke belegen
zusätzlichen Speicherplatz auf dem Cluster.
Im Laufe der Zeit werden die gemeinsam genutzten Blöcke, die im Schattenspeicher
enthalten sind, möglicherweise nutzlos, wenn weder die Datei noch der Clone die Blöcke
referenzieren. Nicht mehr benötigte Blöcke werden vom Cluster routinemäßig gelöscht.
Sie können nicht genutzte Blöcke jederzeit vom Cluster löschen lassen, indem Sie den
ShadowStoreDelete-Job ausführen.
Clones können keine alternierenden Datenströme (Alternate Data Streams, ADS)
enthalten. Wenn Sie eine Datei klonen, die alternierende Datenströme enthält, sind diese
im Clone nicht enthalten.
Überlegungen zum Schattenspeicher
Schattenspeicher sind versteckte Dateien, die von geklonten und deduplizierten Dateien
referenziert werden. Dateien, die Schattenspeicher referenzieren, verhalten sich anders
als andere Dateien.
502
l
Das Lesen von Schattenspeicherreferenzen kann länger dauern als das direkte Lesen
von Daten. Insbesondere das Lesen nicht zwischengespeicherter
Schattenspeicherreferenzen dauert länger als das Lesen nicht zwischengespeicherter
Daten. Das Lesen zwischengespeicherter Schattenspeicherreferenzen dauert nicht
länger als das Lesen zwischengespeicherter Daten.
l
Wenn Dateien, die Schattenspeicher referenzieren, auf ein anderes Isilon-Cluster
repliziert oder auf einem NDMP-Backupgerät (Network Data Management Protocol)
gesichert werden, werden die Schattenspeicher nicht auf das Isilon-Zielcluster oder
das Zielbackupgerät übertragen. Die Dateien werden übertragen, als ob sie die Daten
enthalten würden, die sie aus den Schattenspeichern referenzieren. Auf dem IsilonZielcluster oder Backupgerät belegen die Dateien genauso viel Speicherplatz, als
wenn sie keine Schattenspeicher referenzieren würden.
l
Wenn OneFS einen Schattenspeicher erstellt, wird dieser dem Speicherpool einer
Datei zugewiesen, die den Schattenspeicher referenziert. Wenn Sie den Speicherpool
löschen, auf dem sich ein Schattenspeicher befindet, wird der Schattenspeicher auf
einen Pool verschoben, in dem sich eine andere Datei befindet, die den
Schattenspeicher referenziert.
l
OneFS löscht Schattenspeicherblöcke nicht unmittelbar, nachdem der letzte Verweis
auf den Block gelöscht wird. Stattdessen wartet OneFS, bis der ShadowStoreDeleteJob ausgeführt wird, um den nicht referenzierten Block zu entfernen. Wenn eine große
Anzahl nicht referenzierter Blöcke auf dem Cluster vorhanden ist, meldet OneFS
möglicherweise negative Deduplizierungseinsparungen, bis der ShadowStoreDeleteJob ausgeführt wird.
l
Der Schutz eines Schattenspeichers ist mindestens ebenso hoch wie der der am
höchsten geschützten Datei, die den Schattenspeicher referenziert. Wenn
beispielsweise eine Datei, die einen Schattenspeicher referenziert, sich in einem
Speicherpool mit +2-Schutz und eine andere Datei, die den Schattenspeicher
referenziert, sich in einem Speicherpool mit +3-Schutz befindet, wird auch der
Schattenspeicher mit +3-Schutz geschützt.
Snapshots
l
Für Quotas werden Dateien, die Schattenspeicher referenzieren, behandelt, als ob
diese die Daten enthalten würden, die aus dem Schattenspeicher referenziert
werden. Aus der Perspektive einer Quota sind Schattenspeicherr

Isilon OneFS 7.2 Administrationsleitfaden für die

Transcription

Similar documents

Robuste Integration kryptographischer

Paralleles Rechnen Konzepte und Anwendungen im Data Mining

Cisco SPA9000 Voice System Cisco Small Business Voice

Installations-Anleitung - KVM

Installieren und Bereitstellen von LiveCycle ES für WebLogic

Cisco SPA8000 8-Port IP-Telefonie Gateway Cisco Small Business

EH-35MP3 Bedienungsanleitung - LC

Universal Login Manager - NT-ware

Masterarbeit - WWW-Docs for TU

FRITZ! Fon 7150

Administrationshandbuch Collax Business Server

Cisco SPA8800 IP-Telefonie Gateway mit 4 FXS und 4 FXO Ports

Einrichten und Verwalten von Benutzerkonten

Installationshandbuch Netzwerkmanagement

Installationshandbuch Netzwerkmanagement

Dell™ vRanger™ 7.1.1 Releaseinformationen

Installieren und Bereitstellen von LiveCycle ES2 für WebLogic

Sprechen Sie LOINC ?

Installieren und Bereitstellen von LiveCycle ES mithilfe der