2009年3月27日星期五

[转载] openfiler的权限控制

openfiler的共享使用初看起来比较简单,但实际上具体的搭配相当灵活,有时候让人觉得有些混乱,无所适从。

根据我的理解,他的共享权限在3个地方进行限制:

第一,general里面的local network部分的ip设置,这个ip实际上是针对所有访问openfiler的用户的,不单单是对共享的限制,就是说,在这里你添加了ip,其他的pc才能根openfiler进行通信。

第二,就是在make share里面的host access configuation部分,针对某个客户端的具体访问进行设置,按协议来分,cifs/smb、nfs、http和ftp,并且可以设置3中访问级别,none、ro和rw。需要注意的是,每次更改后,最好点上restart services再确定修改,否则的话可能会出现修改无效。

第三,就是group access configuation配置了,这部分最让人糊涂,因为他有个pg项,就是primary group,很长一段时间里,都没搞清楚这个是什么意思,到底有什么用,至少对我是这样。就字面来说,因为openfiler的user是可以加入多个组的,因此必须有个pg属性,但是具体的使用权限体现在那里呢?

在 openfiler中,group access的级别是高于host access的,对于ftp协议,host access的作用仅限于控制用户是否能访问openfiler,如果是none,就不能访问,如果是ro或者rw,就可以访问,因此,使用ftp时, ro和rw是相同的(对于host access中的这是来说),然后具体的是读还是读写有group access里面的设置决定。

在过了host access这一关后,pg属性的作用就会体现出来。举例来说,假定现在有两个共享文件夹,121和222,有两个用户,user1和user2,分别属于组aaa和bbb,也是主组。我们现在对121的make share进行设置。把pg设置在aaa上,那么aaa下的用户user1就有相应的权限,none、ro或者rw,然后对bbb设置none、ro或者 rw。此时,就设置的权限看来,user2也有对121的访问权限,none、ro或者rw之一。这时候用user2这个帐户来登录ftp,你会发现,你根本就看不到121这个文件夹……也就是说,pg属性的组才拥有文件夹的所有权限。

而在nfs协议访问,不存在ftp的这个问题,因为他不需要用户先登录,因此,设置的host access中的ro或rw就会体现出作用,也就是说,使用ftp时,ro和rw要用group access中的设置。

其实,如果更深入一点的话,这种变化你可以在文件夹的uid和gid属性中体现出来,改变不同的权限,这两个值就会相应改变,这两个属性是最可靠的,上面的分析都是根据他们而来。linux下面的权限管理,相当丰富,可以做到很具体的设置,但是也相当复杂,需要慢慢研究。

没有评论:

发表评论