N8000非AD域环境下实现CIFS权限管理

发布时间:  2013-08-28 浏览次数:  318 下载次数:  0
问题描述
某局点用户需要在非AD域环境下通过CIFS实现部分权限管理,具体需求如下:
 存在四个文件系统,每个文件系统只有一个用户拥有“读写”权限,其他用户不能访问该文件系统;
 管理员对每个文件系统拥有“读写”权限。
告警信息
无故障现象该问题是客户的需求。
处理过程
文件系统fs01、fs02、fs03、fs04
用户:u1、u2、u3、u4、admin(管理员)
组:groupadmin
admin用户属于groupadmin组

1、 在CIFS中创建分组“groupadmin”
.CIFS> local group add groupadmin
CIFS> local group show
List of groups
-------------
builtinadms
builtinusers
groupadmin

2、 在CIFS中创建用户u1、u2、u3、u4、admin,以u1和admin为例
CIFS> local user add u1
Input password for u1.
Enter password: ******
Re-enter password: ******
Adding USER : u1
Success: User u1 created successfully
CIFS> local user add admin groupadmin
Input password for admin.
Enter password: ******
Re-enter password: ******
Adding USER : admin
Success: User admin created successfully
CIFS> local group show groupadmin
           GroupName      UsersList
           ---------      ---------
           groupadmin      admin

 以fs01为例,创建CIFS共享,并为一个用户和管理员指定“读写”权限。
CQBANKsrc.CIFS> share add fs01 fs01 rw,owner=u1,group=groupadmin,fs_mode=1771
fs_mode=1771表示 owner=u1拥有“rwx”权限,group=groupadmin拥有“rwx”权限;而其他用户只拥有“x”权限,要进入CIFS共享文件夹至少需要“r-x”权限,所以,其他用户不能访问CIFS共享文件夹。

1.进入文件夹的权限至少为r-x(5)
2.fs_mode第一位(如1777)代表“防删位(防止用户删除其他用户数据)”。“1”表示防删开启,“0”表示防删关闭
3.文件系统已存在文件的默认权限为755

根因
某局点用户需要在非AD域环境下通过CIFS实现部分权限管理,具体需求如下:
 存在四个文件系统,每个文件系统只有一个用户拥有“读写”权限,其他用户不能访问该文件系统;
 管理员对每个文件系统拥有“读写”权限。
建议与总结
根据CIFS提供的多种权限设定方法,将rw、ro、fs_mode、rw=@group加以配合使用,能满足客户的不同权限要求。
1、CIFS share的rw(读写)和ro(只读)优先级最高,覆盖范围最大(整个CIFS共享),但粒度最粗
2、fs_mode和group优先级次之,分别从UNIX的owner,group,other角度设置共享权限
3、rw=@group、ro=@group、deny=@group能够设置某些组的读写/只读/拒绝权限。其通过samba实现,分别对应Samba的write list、read list和invalid list三个参数。

END