配置Homedir共享
OceanStor 18500 V3/18800 V3存储系统支持Homedir共享方式。通过开启Homedir共享,用户只能访问与其名称相同的共享目录,无法查看或访问其他用户的私有目录。
- 配置流程
介绍Homedir共享的配置流程。 - 准备数据
配置Homedir共享前,请提前准备存储系统逻辑IP地址、设置Homedir共享的文件系统、Homedir的quota tree、无域环境中本地认证用户信息或AD域环境中AD域服务器信息,以便后续快速完成配置操作。 - 检查License文件
License文件是使用增值特性的权限凭证。在配置增值特性前,请确认License文件中包含该特性的相关信息。 - 配置网络
介绍通过DeviceManager配置存储系统逻辑端口IP地址的方法。 - 配置本地认证用户(组)
无域环境下,需要配置本地认证用户(组),OceanStor 18500 V3/18800 V3存储系统开启Homedir共享后,可以通过本地认证用户访问Homedir共享。 - 配置存储系统加入AD域环境
在域环境中,当存储系统开启Homedir共享后,域用户可以访问与其用户名相同的Homedir共享。 - 启用Homedir共享
通过开启Homedir功能,使得OceanStor 18500 V3/18800 V3存储系统支持Homedir共享。 - 访问共享空间
介绍如何访问Homedir共享。通过访问Homedir共享可以使不同用户访问与其名称相同的共享目录。
准备数据
配置Homedir共享前,请提前准备存储系统逻辑IP地址、设置Homedir共享的文件系统、Homedir的quota tree、无域环境中本地认证用户信息或AD域环境中AD域服务器信息,以便后续快速完成配置操作。
准备项 |
说明 |
示例 |
|---|---|---|
逻辑IP地址 存储系统使用逻辑IP地址为客户端提供共享空间。 |
- |
172.16.128.10 |
文件系统 设置Homedir共享的文件系统。 |
OceanStor 18500 V3/18800 V3存储系统支持将一个文件系统或其quota treea设置为Homedir共享目录。 |
FileSystem001 |
Quota Tree Homedir共享的Quota Tree。 |
- |
- |
用户 在无域环境下,存储系统使用本地认证的用户。 |
用户的命名原则如下:
说明:
不能使用系统保留用户,包括如下帐户:
|
test_user01 |
用户组 在无域环境下,存储系统使用本地认证的用户组。 |
用户组的命名原则如下:
说明:
不能使用系统保留用户,包括如下帐户:
|
default_group |
AD域信息 使用域认证时AD域环境信息。 |
AD域信息包含以下信息:
|
- |
DNS 使用域认证时DNS信息。 |
DNS服务器的IP地址。 |
- |
a:quota tree即配额树,是文件系统的特殊目录。在quota tree上可以设置目录配额,管理该目录内所有文件的使用空间。 |
||
说明: 您可以通过网络管理员获取相关数据。
设置
License管理配置网络
介绍通过DeviceManager配置存储系统逻辑端口IP地址的方法。
操作步骤
- 登录DeviceManager,在导航树上选择“
![]()
资源分配 > 端口”。
系统进入“端口”管理界面。
- 可选:创建绑定端口。
绑定端口可以增加链路的带宽和冗余。端口绑定后,端口的“最大传输单元(字节)”会变更为默认值,同时在华为交换机上需要将对应的交换机端口配置为静态LACP模式。
![]()
- 存储系统的端口绑定方式有如下限制:
- 同一个控制器下1个绑定端口最多支持8个以太网端口绑定在一起。
- 只支持相同速率端口类型(GE、10GE)接口模块的绑定。
- 不支持跨控制器的绑定,不支持非以太网口的绑定。
- SmartIO卡在使用集群模式和FC模式或在FCoE/iSCSI模式下运行FCoE业务时不允许绑定。
- SmartIO端口的MTU值(最大传输单元)必须与主机侧的MTU值保持一致。
- 只读用户不能绑定以太网端口。
- 每个端口只允许加入到一个绑定端口中,不能同时加入到多个绑定端口中。
- 绑定端口无法添加到端口组中。
- 端口绑定后,每个主机依然通过单个端口进行数据传输,因此只有在有多台主机的情况下才可能提高总的带宽。请根据实际环境情况确定是否需要绑定端口。
- 不同交换机厂商链路聚合模式名称不同,若使用的是其它厂商的交换机,有关交换机端口模式的配置请咨询对应厂商的技术支持。
- 存储系统的端口绑定方式有如下限制:
- 创建逻辑端口。
![]()
说明: 建议每个控制器创建的逻辑端口不超过64个,如果每个控制器超过64个逻辑端口,在大量端口故障的情况下,会造成逻辑端口集中漂移向少量可用端口,导致业务性能下降。 - 可选:配置路由。
当CIFS主机和存储系统不在同一网络时需要配置路由。
- 有域环境下,需要确保逻辑IP地址、域控服务器和DNS之间相互能ping通,如果不通,则需要添加逻辑IP地址到域控服务器和DNS的网段路由。
- 当配置CIFS共享访问时,如果CIFS主机和逻辑IP地址之间网络不通,则需要添加逻辑IP地址到CIFS主机的网段路由。
- 设置以太网端口的路由信息。
- 在“IP地址”中选择需要添加路由的逻辑端口的IP地址。
- 单击“增加”。系统弹出“增加路由”对话框。
![]()
对于双控存储系统,默认的内部心跳IP地址为“127.127.127.10”和“127.127.127.11”,对于四控存储系统,默认的内部心跳IP地址为“127.127.127.10”、“127.127.127.11”、“127.127.127.12”和“127.127.127.13”,所以不能设置为127.127.127.XXX网段的IP地址,且“网关”不能配置为“127.127.127.10”、“127.127.127.11”、“127.127.127.12”和“127.127.127.13”,否则会造成路由失败。(存储系统各控制器之间存在内部心跳链路,用以检测控制器工作状态,无需单独连线。内部心跳IP地址出厂时已预设,用户无法自行修改)。
- 在“类型”中选择需要添加的路由类型。可配置的路由类型有3种:
- 默认路由
在没有找到更加合适路由的情况下,数据都根据默认路由进行转发。默认路由的目的地址字段、目的掩码字段(IPv4)或前缀(IPv6)被系统全部自动设置为0,用户只需要添加网关。
- 主机路由
主机路由表示到达一台单独主机的路由。主机路由的目的掩码(IPv4)或前缀(IPv6)分别被系统自动设置为255.255.255.255或128,用户只需要添加目的地址和网关。
- 网段路由
网段路由表示到达一个网段的路由。用户需要分别添加目的地址、目的掩码(IPv4)或前缀(IPv6)和网关。例如,目的地址:172.17.0.0,目的掩码:255.255.0.0,网关:172.16.0.1。
- 默认路由
- 添加“目的地址”。
- 在“IP地址”中选择的是IPv4地址时,该参数表示与逻辑端口连接的应用服务器业务网口或存储设备逻辑端口的IPv4地址或网段。
- 在“IP地址”中选择的是IPv6地址时,该参数表示与逻辑端口连接的应用服务器业务网口或存储设备逻辑端口的IPv6地址或网段。
- 添加“目的掩码”(IPv4)或者“前缀”(IPv6)。
- 为IPv4地址添加“目的掩码”,该参数表示与逻辑端口连接的应用服务器业务网口或存储设备的逻辑端口IPv4地址的子网掩码。
- 为IPv6地址添加“前缀”,该参数表示与逻辑端口连接的应用服务器业务网口或存储设备的逻辑端口的IPv6地址的前缀。
- 在“网关”中输入本端存储系统逻辑端口IP地址所在的网关。
- 单击“确定”。
系统弹出“成功”对话框,提示操作成功。
![]()
说明: 选中一条路由,单击“移除”,可以删除此路由。
资源分配
配置本地认证用户(组)
无域环境下,需要配置本地认证用户(组),OceanStor 18500 V3/18800 V3存储系统开启Homedir共享后,可以通过本地认证用户访问Homedir共享。
(可选)创建本地认证用户组
通过该操作,可以创建新的本地认证用户组,本地认证用户组能够管理本地认证用户。
背景信息
系统有四个自动创建的本地认证用户组,这四个组为系统内部保留组,不能被删除:
- “default_group”:默认用户组。该组成员在访问存储系统的共享文件系统时,通过鉴权后,该组成员才能具有相应的权限。
- “Administrators”:管理员用户组。该组成员在访问存储系统的共享文件系统时,不需要经过共享级别的用户鉴权(share level ACL)以及目录文件级别的ACL(NT ACL),从而管理员用户组成员可以去操作任意共享里面的任意一个文件(具有这个共享的管理员权限),不需要进行鉴权操作。
- “AntivirusGroup”:防病毒用户组。该组成员能实现通过第三方杀毒软件扫描共享文件系统,具有管理员权限。
- “Backup Operators”:备份用户组。该组成员能实现通过第三方备份软件备份和恢复共享的文件系统,不具有管理员权限。
说明: ACL(Access Control List):访问控制列表,是用户或者用户组对于共享文件的操作权限的集合。ACL权限分为ACL权限存储和ACL权限鉴权两部分。用户登录共享后,对文件进行读写时,首先判断用户对共享的权限,然后再读取ACL权限,判定是否可以对文件进行读写。ACL权限在存储时,每一条权限称为ACE(Access Control Entry)。Windows客户端挂载CIFS共享后,客户端发送给服务器(这里为提供CIFS共享的存储系统)的都是NT ACL。
操作步骤
- 登录DeviceManager。
- 选择“
![]()
资源分配 > ![]()
认证用户 > 本地认证用户组”。 - 单击“创建”。
系统弹出“创建本地认证用户组”对话框。
![]()
- 在“用户组名”中输入新的用户组名。
![]()
说明: - 用户组的名称不允许包含“"”、“/”、“\”、“[”、“]”、“<”、“>”、“+”、“:”、“;”、“,”、“?”、“*”、“|”、“=”和“@”,尾字符不允许为“.”。如果创建名称时开头和结尾有空格,在名称创建成功后开头和结尾的空格不显示。
- 用户组名称可包含字母,且字母不区分大小写。如“aa”和“AA”不能同时创建。
- 用户组名称不能与本地认证用户名称相同。
- 用户组的名称长度为1~32个字符。
- 可选:在“描述”中添加该用户组的描述。
- 单击“确定”。
- 系统弹出“成功”对话框后,单击“确定”。
资源分配
认证用户
创建本地认证用户
通过该操作,可以创建本地用户。在本地认证的应用中,本地用户用于访问共享。也可将本地用户加入相应用户组,通过用户组进行认证,从而访问共享。
操作步骤
- 登录DeviceManager。
- 选择“
![]()
资源分配 > ![]()
认证用户”。 - 单击“本地认证用户”页签。
- 单击“创建”。
系统弹出“创建本地认证用户”对话框。
![]()
- 在“用户名”中输入新的用户名。
用户的命名原则如下:
- 用户名不允许包含空格、“"”、“/”、“\”、“[”、“]”、“<”、“>”、“+”、“:”、“;”、“,”、“?”、“*”、“|”、“=”和“@”,且尾字符不允许为“.”。
- 用户名可包含字母,且字母不区分大小写。如“aaaaaaaa”和“AAAAAAAA”不能同时创建。
- 用户名不能与本地认证用户组名称相同。
- 用户名名称默认长度为8~32个字符。
![]()
说明: 您可以在中对用户名最小长度进行修改。
- 在“密码”中输入该用户的密码。
系统默认的密码设置要求如下:
- 长度为8~16个字符。
- 必须包含特殊字符。特殊字符包括:“!"#$%&'()*+,-./:;<=>?@[\]^`{_|}~”和空格。
- 必须包含大写字母、数字、小写字母中的两种。
- 相同字符不能连续出现超过3次。
- 密码不能和帐号或帐号的倒写一样。
![]()
说明: 单击“更多”,在“设置安全策略”中可设置文件系统本地认证用户密码的安全策略。当未勾选“密码有效期(天)”时,该密码永不过期;但出于安全性考虑,建议勾选“密码有效期(天)”,设置密码的有效期。默认有效期为90天,当密码过期后,该用户无法访问共享。当密码过期时,可以重新设置密码或在“设置安全策略”中修改密码的安全策略。
- 在“确认密码”中再次输入该用户的密码。
- 选择“主组”。
系统弹出“选择主组”对话框。
![]()
说明: 用户所属的主组用于控制用户访问CIFS共享的权限。一个用户必须且只能属于某个特定的主组。
- 选择该用户所属的主用户组。单击“确定”。
- (可选)选择“附属组”。
系统弹出“选择附属组”对话框。
![]()
说明: 主组和附属组是相对于本地认证用户而言,两者之间没有关系。一个本地认证用户必须属于一个主组,而不必属于附属组。 - 单击“增加”。
系统弹出“选择用户组”对话框。
- 选择该用户所属的附属用户组。单击“确定”。
系统回到“选择附属组”对话框。
- 单击“确定”。
系统回到“创建本地认证用户”对话框。
- 可选:在“描述”中输入该本地认证用户的描述,便于以后管理或查找。
- 单击“确定”。
- 系统弹出“成功”对话框后,单击“确定”。
配置存储系统加入AD域环境
在域环境中,当存储系统开启Homedir共享后,域用户可以访问与其用户名相同的Homedir共享。
准备AD域配置数据
为何需要使用AD域?
在Windows环境下提供共享时,每一台提供共享的Windows主机都是一台独立自主的共享节点,需访问共享的用户账户和权限信息保存在独立的每个节点中。这样使得维护每台机器的信息变得非常复杂及难以控制。例如增加一个可访问用户时,需要在每个提供共享服务的节点主机中增加此用户的相应配置信息。
在使用AD域的模式下,所有的配置信息通过一个域控制器进行严格分配管理,并进行域访问的验证工作。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当访问共享时,只需要域控制器判断用户的鉴权信息是否正确,若配置正确即可以访问整个域的共享内容。
AD域的工作原理及全景图
- 创建DNS服务器,并通过服务器为AD域提供一个全域名(例如,123.com)。其他主机只需要输入全域名(123.com),并完成验证信息后便可访问共享。
- 在AD域控制器侧,完成AD域的搭建。
- 将需要提供共享服务的存储系统加入AD域中。
- 在AD域控制器侧创建域用户。创建完成后加入AD域中的主机使用域用户账户登录,便可访问域中的共享。
数据准备
为了顺畅地配置存储系统加入AD域环境,对于在配置过程中需要使用的数据,请提前准备或者根据实际情况进行规划。数据准备项包括“域管理员用户名”、“密码”、“全域名”、“组织单元”(可选)和“系统名称”。具体的参数说明及获取方式请参见“配置AD域认证参数”章节的参数说明。
配置存储系统与DNS服务器的连接
基本信息
配置AD域认证参数
在AD域环境中,需要将存储系统加入AD域,以便CIFS客户端访问系统共享资源时通过AD服务器的身份验证。同时管理员可以对域用户进行共享访问权限和配额的管理。如果不加入AD域,域用户将不能使用该共享服务器提供的共享服务。
前提条件
- AD域环境已完成搭建。
- 存储系统与DNS服务器已连接。
- AD域服务器和DNS服务器需要和存储系统的时间同步,时间相差不得大于5分钟。
- 存储系统与AD域环境之间88(TCP/UDP协议)、389(TCP/UDP协议)、445(TCP协议)、464(TCP/UDP协议)端口打开。
说明: - OceanStor 18500 V3/18800 V3存储系统仅支持业务端口(逻辑端口)与AD域服务器和DNS服务器相连,并要求每个控制器都能够和服务器进行通信。
- 若管理网和AD域服务器(或DNS服务器)无法通信,且业务网IP与AD域服务器IP(或DNS服务器IP)属于不同子网,需在存储系统配置业务网到AD域服务器(或DNS服务器)的路由,以保证业务网和AD域服务器(或DNS服务器)能正常通信。
- AD域服务器可以是主从域,父子域,主备域或信任域,但存储系统只能和一个AD域服务器相连。
注意事项
- 配置存储系统加入AD域时,请确保存储系统主控制器与DNS服务器和AD域服务器网络连通。
![]()
说明: 通过执行show controller general命令,可以查询所有控制器的信息。其中,回显“Role”字段代表控制器的集群角色。当“Role”为“Master”时,代表该控制器是存储系统的主控制器。
- 在启用“覆盖系统名称”的情况下,如果输入的“系统名称”与AD域服务器中已存在的系统名称重复,则输入的系统名称对应的存储系统信息将覆盖AD域服务器中已有系统名称对应的存储系统的所有信息。
- 使用简单的密码存在安全隐患,建议使用复杂度较高的密码,例如同时包含特殊字符、大写字母、小写字母及数字。
- 由于客户端与AD域服务器之间的网络传输有一定的安全风险,建议用户使用物理隔离、端到端加密等方式保证数据传输过程中的安全。
操作步骤
- 登录DeviceManager。
- 选择“
![]()
设置 > ![]()
存储设置 > 文件存储服务 > 域认证”。 - 在“AD域设置”区域,配置AD域认证。相关参数如表3-40所示。
![]()
表3-40 AD域参数说明参数名称
参数说明
参数设置
域管理员用户名
登录AD域服务器的管理员用户名。
[规则]
长度范围为1~63位。
[示例]
test123
[获取方式]
请联系域控制器管理员获取。
密码
登录AD域服务器的管理员密码。
[规则]
长度范围为1~127位。
[示例]
!QAZ2wsx
[获取方式]
请联系域控制器管理员获取。
全域名
AD域服务器的全域名。
[规则]
长度为1~127个字符。
[示例]
abc.com
[获取方式]
请联系域控制器管理员获取。
组织单元
域中包含的一类目录对象如用户、计算机、打印机等资源的总称,加入后将作为其中的一员。若不填,则默认加入到Computers组织单元。
如果在域控组织单元的“类型”为“容器”,则输入“cn=xxx,dc=abc,dc=com”,如果在域控组织单元的“类型”为“组织单位”则输入“ou=xxx,dc=abc,dc=com”。
[示例]
ou=xxx,dc=abc,dc=com
[获取方式]
- 在Windows AD域服务器上打开“Active Directory 用户和计算机”或“ADSI Edit”软件。
- 选择左侧文件夹目录并单击鼠标右键,选择“属性”选项。
- 在弹出的“属性”对话框中选择“属性编辑器”页签,查看“distinguishedName”属性值,该值即为组织单元。
系统名称
存储系统在AD域中的名称。加入域后客户端可以通过此名称来访问存储系统。
[规则]
只能包含字母、数字、“-”,且不能仅为数字,长度范围为1~15位。
[示例]
systemname
覆盖系统名称
如果域控制服务器中存在同名的系统名称,开启该选项后,将覆盖已有的系统名称。
[示例]
启用
域状态
是否已加入域。
[示例]
已退出域
- 单击“加入域”,完成AD认证配置。
存储设置
访问共享空间
介绍如何访问Homedir共享。通过访问Homedir共享可以使不同用户访问与其名称相同的共享目录。
操作步骤
- 在Windows客户端,右键单击“计算机”。
- 选择“映射网络驱动器”。
- 在“文件夹”中,输入映射的文件夹路径并选择“使用其他凭据连接”。
文件夹路径的输入格式为“\\logical ip address\username”。其中logical ip address指存储系统提供Homedir共享的逻辑端口IP地址,查看逻辑IP地址的具体方法请参见查看逻辑端口详细信息,username是指访问Homedir共享的用户名。
![]()
说明: - 如果使用域认证用户,则在username中按照“~域名~域用户名”的方式输入域用户。
- 如果使用本地认证用户,则在username中输入本地认证用户名。
- 单击“完成”。
- 在“Windows安全”对话框中,输入Homedir共享的用户名和密码,单击“确定”。
- 如果是在域环境中,则在“用户名”中按照“域名\域用户名”的方式输入域用户,在“密码”中输入域用户密码。
![]()
说明: 域用户在分配Homedir共享后,不能更改域用户信息,否则会导致无法访问CIFS共享。
- 如果是在无域环境中,则在“用户名”中输入本地认证用户名,在“密码”中输入本地认证用户密码。
- 如果是在域环境中,则在“用户名”中按照“域名\域用户名”的方式输入域用户,在“密码”中输入域用户密码。
- 查看映射的网络驱动器。
双击“计算机”,进入“计算机”界面,可查看映射的网络驱动器。
- 双击映射的网络驱动器可对Homedir共享空间进行访问。
上一页
