En ocasiones puede resultar interesante ocultar directorios de un recurso CIFS a usuarios sin permisos para poderlos listar, leer o modificar. Para aquellos entornos en los que el servidor de ficheros está ubicado en una NetApp que ejecuta el protocolo CIFS de donde «cuelgan» los directorios que conforman el mencionado File Server, tenemos la opción de activar el Access-Based Enumeration que nos permite ocultar los directorios de un recurso compartido a aquellos usuarios que no tengan permisos.
Para poder ilustrar mejor esta funcionalidad imaginemos que disponemos de un árbol de directorios donde cada carpeta se corresponde con un departamento dentro de una organización (Ventas, RRHH, Contabilidad, Administración). Esta estructura de directorios se hace visible mediante un recurso compartido que podríamos considerar raíz, por ejemplo el recurso \\NetApp-CIFS\Departamentos. En este caso los permisos para acceder al recurso Departamentos se comparten entre todos los usuarios de la organización aunque cada uno de ellos solamente tendrá permisos NTFS sobre la carpeta de la cual pertenece. Pues bien gracias a ABE conseguimos que los usuarios de cada departamento vean únicamente sus directorios (donde tienen permisos NTFS):
\\NetApp-CIFS\Departamentos –> Cuando accedan los usuarios de Ventas solamente deberían ver los directorios de este departamento
\\NetApp-CIFS\Departamentos –> Si acceden los de RRHH puede que necesiten ver los suyos y los de Administración pero no los de Ventas u otros departamentos
Este comportamiento se puede lograr lanzando el siguiente comando desde el contexto de Data ONTAP en la controladora que alberga el volumen, o volúmenes, CIFS sobre el recurso compartido Departamentos:
cifs shares -change Departamentos -accessbasedenum
En el caso de necesitar desactivar esta funcionalidad usaríamos el comando siguiente:
cifs shares -change Documents -noaccessbasedenum
This Post by David Solé Pérez is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License