Nuestro clúster Isilon ya es un miembro confiable de Active Directory y los usuarios están encapsulados en su propia Access Zone. Sin embargo, hasta este punto, el almacenamiento sigue siendo un bloque opaco. Es hora de abrir las puertas y presentar ese almacenamiento a la red.
En este artículo, crearemos nuestro primer recurso compartido por red (SMB Share) y abordaremos uno de los debates más grandes en la administración de almacenamiento: cómo gestionar correctamente los permisos.
La Regla de Oro: Share Permissions vs. NTFS ACLs
En la administración de almacenamiento NAS, existen dos capas de seguridad:
- Share Permissions: La “puerta” de entrada al recurso compartido.
- NTFS ACLs: Los permisos granulares a nivel de sistema de archivos.
Existe una regla inquebrantable en SMB: El permiso efectivo es siempre el más restrictivo entre ambas capas.
Si configuras el Share en “Solo Lectura” para todos, pero luego le das “Control Total” a un usuario en una subcarpeta específica, ese usuario no podrá escribir. La puerta principal (el Share) lo bloqueará.
Por esta razón, la arquitectura estándar de la industria (y la que implementaremos) es:
- Abrir completamente la capa del Share: Asignar
Everyone: Full Controla nivel del Share. - Gobernar con puño de hierro en NTFS: Proteger la carpeta raíz (para que los usuarios no la usen de basurero) y delegar permisos granulares en las subcarpetas.
Paso 1: Crear el Directorio Físico y el SMB Share
Ve a Protocols > Windows Sharing (SMB) > SMB Shares.
Selecciona tu zona (
Production).Haz clic en Create an SMB Share.
Directory to be shared:
/ifs/data/production/IT_Share.EL PASO CRÍTICO: Marca la casilla “Apply Windows default ACLs”. Esto inyecta los grupos nativos de Windows, permitiéndote tomar control sin errores.
Selecciona los checkbox de Create SMB share directory if it does not exist.
- Share Name:
IT_Data
- En la sección de Permissions, asegúrate de que los grupos
Isilon_adminsyDomain Userstengan el permiso de Full Control. - Guarda los cambios.
Paso 2: Proteger la Raíz desde Windows
Ahora que la puerta está abierta, debemos proteger el pasillo (la raíz del Share).
- Desde el equipo de un miembro de
MXLIT\isilon_admins, navega a\\storage.mxlit.com\IT_Data. - Toma de Posesión: En la parte superior de la ventana, verás el campo “Owner” (Propietario). Haz clic en Change (Cambiar). Busca tu grupo administrativo (
MXLIT\Isilon_Admins), acéptalo y asegúrate de marcar la casilla “Replace owner on subcontainers and objects” antes de aplicar. Esto asegura que tu equipo de AD siempre tenga la autoridad suprema sobre la carpeta, previniendo bloqueos futuros.
Aquí, debes configurar los permisos base que heredarán todas las carpetas nuevas:
MXLIT\isilon_admins: Control TotalEveryone(oDomain Users): Solo Lectura (Leer y ejecutar).
Aplica los cambios.
Ahora, los usuarios pueden entrar al Share, pero no pueden crear archivos en la raíz. El servidor se mantiene limpio.
Paso 3: Diseño de Permisos Granulares (Rompiendo la Herencia)
¿Cómo permitimos que un usuario o grupo escriba en una carpeta específica?
- Como administrador, crea una nueva subcarpeta (ej.
Public). - Haz clic derecho sobre ella > Propiedades > Seguridad > Avanzadas.
- Haz clic en Deshabilitar herencia (Disable inheritance) y selecciona “Convertir los permisos heredados en permisos explícitos”.
- Ahora que los permisos están aislados, elimina los grupos no deseados.
- Haz clic en Agregar, selecciona el usuario o grupo (ej.
Sojeda) y otórgales permisos de Modificar o Control Total.
Conclusión
La configuración exitosa de la presentación de datos y la gestión de permisos es la piedra angular de un entorno NAS funcional y seguro. Al adherirse al modelo de “Share Abierto, NTFS Estricto”, garantizas que tu clúster de Isilon permanezca fácil de administrar mientras aplicas límites de seguridad estrictos. Este enfoque no solo evita conflictos de permisos comunes, sino que también simplifica la auditoría y el mantenimiento del almacenamiento a largo plazo.
End of transmission.