netapp.ontap.na_ontap_file_security_permissions_acl 模块 – NetApp ONTAP 文件安全权限 ACL

注意

此模块是 netapp.ontap 集合（版本 22.13.0）的一部分。

如果您使用的是 ansible 包，则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用： ansible-galaxy collection install netapp.ontap。您需要进一步的要求才能使用此模块，有关详细信息，请参阅要求。

要在剧本中使用它，请指定：netapp.ontap.na_ontap_file_security_permissions_acl。

netapp.ontap 22.0.0 中的新增功能

概要 

在 NetApp ONTAP 上添加、删除或修改 file_security_permissions ACL。
请注意，ACL 是基于（'user'、'access'、'access_control'、'apply_to'）进行匹配的。要修改这 4 个属性中的任何一个，您需要删除 ACL 并创建一个新的 ACL。或者使用 netapp.ontap.na_ontap_file_security_permissions。

要求 

在执行此模块的主机上需要以下要求。

Ansible 2.9 或更高版本 - 建议使用 2.12 或更高版本。
Python3 - 建议使用 3.9 或更高版本。
使用 ZAPI 时，netapp-lib 2018.11.13 或更高版本（使用“pip install netapp-lib”安装），强烈建议使用 netapp-lib 2020.3.12，因为它为连接问题提供了更好的错误报告。
物理或虚拟集群 Data ONTAP 系统，该模块支持 Data ONTAP 9.1 及更高版本，REST 支持需要 ONTAP 9.6 或更高版本。

参数 

参数	注释
access 字符串 / 必需	ACE 是访问控制列表 (ACL) 中的一个元素。一个 ACL 可以有零个或多个 ACE。每个 ACE 控制或监视指定受托人对对象的访问。选择 `"access_allow"` `"access_deny"` `"audit_failure"` `"audit_success"`
access_control 字符串	访问控制级别指定要应用的访问控制任务。有效值是“file-directory”或“存储级访问保护（SLAG）”。 SLAG 用于将指定的安全描述符应用于卷或 qtree 的任务。否则，安全描述符将应用于指定路径上的文件和目录。 FlexGroups 卷不支持值 slag。默认值为“file-directory”。此字段需要 ONTAP 9.10.1 或更高版本。默认为“file_directory”。选择 `"file_directory"` `"slag"`
acl_user 字符串 / 必需	指定 ACE 应用到的帐户。指定名称或 SID。从 22.0.0 开始，当使用 SID 时，该模块不是幂等的。注意 - 我们不能使用 `user`，因为它与管理员用户的选项冲突。
advanced_rights 字典	指定 ACE 为指定帐户控制的高级访问权限。
append_data 布尔值	追加数据。选择 `false` `true`
delete 布尔值	删除。选择 `false` `true`
delete_child 布尔值	删除子项。选择 `false` `true`
execute_file 布尔值	执行文件。选择 `false` `true`
full_control 布尔值	完全控制。选择 `false` `true`
read_attr 布尔值	读取属性。选择 `false` `true`
read_data 布尔值	读取数据。选择 `false` `true`
read_ea 布尔值	读取扩展属性。选择 `false` `true`
read_perm 布尔值	读取权限。选择 `false` `true`
write_attr 布尔值	写入属性。选择 `false` `true`
write_data 布尔值	写入数据。选择 `false` `true`
write_ea 布尔值	写入扩展属性。选择 `false` `true`
write_owner 布尔值	写入所有者。选择 `false` `true`
write_perm 布尔值	写入权限。选择 `false` `true`
apply_to 字典 / 必需	指定要应用 DACL 或 SACL 条目的位置。对于 SLAG，ONTAP 接受将三个子选项设置为 true，但会创建 2 个 ACL。此模块需要存在 2 个 ACL 以保持幂等性。另请参见 `validate_changes`。
files 布尔值	应用于文件。选择 `false` ← （默认） `true`
sub_folders 布尔值	应用于所有子文件夹。选择 `false` ← （默认） `true`
this_folder 布尔值	仅应用于此文件夹选择 `false` ← （默认） `true`
cert_filepath 字符串在 netapp.ontap 20.6.0 中添加	SSL 客户端证书文件（.pem）的路径。 python 2.6 不支持。
feature_flags 字典在 netapp.ontap 20.5.0 中添加	启用或禁用新功能。这可以用于启用实验性功能或禁用破坏向后兼容性的新功能。支持的键和值如有更改，恕不另行通知。未知的键将被忽略。
force_ontap_version 字符串在 netapp.ontap 21.23.0 中添加。	使用 REST 时，覆盖集群 ONTAP 版本。如果版本与目标集群不匹配，则行为未定义。当由于权限问题无法读取集群版本时，这作为一种解决方法提供。请参阅https://github.com/ansible-collections/netapp.ontap/wiki/Known-issues。这应采用 9.10 或 9.10.1 的形式，其中每个元素都是一个整数。
hostname 字符串 / 必需	ONTAP 实例的主机名或 IP 地址。
http_port 整数	使用此端口覆盖默认端口（80 或 443）。
https 布尔值	启用和禁用 https。当使用 REST 时，将被忽略，因为仅支持 https。当使用 SSL 证书身份验证时，将被忽略，因为它需要 SSL。选择 `false` ← （默认） `true`
ignore_paths 列表 / 元素=字符串	对于列表中的每个文件或目录，指定此文件或目录的权限不能被替换。
key_filepath 字符串在 netapp.ontap 20.6.0 中添加	SSL 客户端密钥文件的路径。
password 别名：pass 字符串	指定用户的密码。
path 字符串 / 必需	要应用安全权限的文件或目录的路径。
propagation_mode 字符串	指定如何将安全设置传播到子文件夹和文件。默认为 propagate。此选项在创建时有效，但无法修改。选择 `"propagate"` `"replace"`
rights 字符串	指定为指定帐户的 ACE 控制的访问权限。 “rights”参数与“advanced_rights”参数互斥。 ONTAP 将 rights 转换为 advanced_rights，并且当使用 rights 时，此模块不是幂等的。请确保使用 `advanced_rights` 来保持幂等性。可以使用 `rights` 来发现到 `advanced_rights` 的映射。选择 `"no_access"` `"full_control"` `"modify"` `"read_and_execute"` `"read"` `"write"`
state 字符串	指定的安全权限 ACL 是否应存在。选择 `"present"` ← (默认) `"absent"`
use_rest 字符串	此模块仅支持 REST。 always - 将始终使用 REST API。如果该模块不支持 REST，则会发出警告。默认值： `"always"`
username 别名：user 字符串	这可以是集群范围或 SVM 范围的帐户，具体取决于是否需要集群级或 SVM 级 API。有关详细信息，请阅读文档 https://mysupport.netapp.com/NOW/download/software/nmsdk/9.4/。支持两种身份验证方法使用用户名和密码的基本身份验证，使用 ssl 客户端证书文件以及可选的私钥文件的 SSL 证书身份验证。要使用证书，必须已在 ONTAP 集群中安装该证书，并且必须已启用证书身份验证。
validate_certs 布尔值	如果设置为 `no`，则不会验证 SSL 证书。仅应在个人控制的站点上使用自签名证书时才将其设置为 `False`。选择 `false` `true` ← (默认)
validate_changes 字符串	ACL 可能不会按预期应用。例如，如果 Everyone 继承了所有权限，则无论请求如何，都会向其他用户授予所有权限。对于这个具体示例，您可以删除顶级的 Everyone，或者在较低级别为 Everyone 创建新的 ACL。当使用 `rights` 时，ONTAP 会将它们转换为 `advanced_rights`，因此验证将始终失败。有效值是 `ignore`，不进行检查；`warn`，发出警告；`error`，使模块失败。使用 SLAGS 时，ONTAP 可能会根据 `apply_to` 设置将一个 ACL 拆分为两个 ACL。要保持幂等性，请提供 2 个 ACL 作为输入。选择 `"ignore"` `"warn"` `"error"` ← (默认)
vserver 字符串 / 必需	要使用的 vserver 的名称。

注释 

注意

支持 check_mode。
仅支持 REST，并且需要 ONTAP 9.9.1 或更高版本。
SLAG 需要 ONTAP 9.10.1 或更高版本。
以 na_ontap 为前缀的模块是为了支持 ONTAP 存储平台而构建的。
默认情况下启用 https，并且建议使用。要在集群上启用 http，您必须运行以下命令 ‘set -privilege advanced;’ ‘system services web modify -http-enabled true;’

示例 

- name: Add ACL for file or directory security permissions.
  netapp.ontap.na_ontap_file_security_permissions_acl:
    vserver: "{{ vserver_name }}"
    access_control: file_directory
    path: "{{ file_mount_path }}"
    validate_changes: warn
    access: access_allow
    # Note, without quotes, use a single backslash in AD user names
    # with quotes, it needs to be escaped as a double backslash
    # user: "ANSIBLE_CIFS\user1"
    # we can't show an example with a single backslash as this is a python file, but it works in YAML.
    acl_user: "user1"
    apply_to:
      this_folder: true
    advanced_rights:
      append_data: true
      delete: false

- name: Modify ACL for file or directory security permissions.
  netapp.ontap.na_ontap_file_security_permissions_acl:
    vserver: "{{ vserver_name }}"
    access_control: file_directory
    path: "{{ file_mount_path }}"
    validate_changes: warn
    access: access_allow
    acl_user: "user1"
    apply_to:
      this_folder: true
    advanced_rights:
      append_data: false
      delete: true

- name: Delete ACL for file or directory security permissions.
  netapp.ontap.na_ontap_file_security_permissions_acl:
    vserver: "{{ vserver_name }}"
    access_control: file_directory
    path: "{{ file_mount_path }}"
    validate_changes: warn
    access: access_allow
    acl_user: "user1"
    apply_to:
      this_folder: true
    state: absent

作者

NetApp Ansible 团队 (@carchi8py)