访问控制列表

ACL 对于寻求更大的 Windows 客户端兼容性的 NetApp 客户而言，它是请求最为频繁的功能之一。NFSv4 ACL 大大改善了 NFS 的安全性和与 CIFS 的互操作性。

ACL 允许在每个用户的基础上授予或拒绝针对各个文件对象的访问权限，提供更为细化的访问权限控制和与传统的 UNIX 模式权限位相比程度更大的可选性。NFSv4 ACL 基于 NT 原型，但是它们不包含所有者/组信息。NFSv4 ACL 由访问权限控制条目 (ACE) 的数组组成，包含有关允许/拒绝访问的信息、许可权限位、用户名称/组名称和标记。

由于 NetApp 已向 CIFS 客户端提供 ACL 支持，NFSv4 中的额外 ACL 功能将创建一些独特的考虑。NetApp 提供三种类型的配额树 —UNIX、NTFS 和混合型 — 用于不同的客户端。NFSv4 ACL 的处理方式取决于配额树的类型：

UNIX 配额树

l         NFSV4 ACL 和模式位有效

l         Windows 客户端不能设置属性

l         UNIX 语义学占优势

NTFS 配额树

l         NT ACL 和模式位有效，；UNIX 客户端不能设置属性

l         NFSv4 ACL 从用 NT ACL 访问文件的 NFS 客户端的模式位生成

l         NT 语义学占优势

混合型配额树

l         NFSv4 ACL、NT ACL 和模式位有效

l         Windows 和 UNIX 客户端可以设置属性

l         NFSv4 ACL 是为具有 NT ACL 的文件从模式位生成的

显然，您应该仔细选择您使用的配额树类型，以获得期望结果：

l         仅限访问 NFS：UNIX 配额树

l         混合访问：混合型配额树

l         多数 CIFS 访问：NTFS 配额树

l         仅限访问 CIFS：NTFS 配额树

    关于 ACL 的唯一其他非常好的实践是每个 ACL. 使用不超过 192 个 ACE 您可以提高每个 ACL 的 ACE 数量到当前的最大数 400，但是执行这样的操作意味着带来是否必需转为 Data ONTAP 的更早版本或是否使用 SnapMirror® 转至较早版本的问题。