Administrator Guide
管理 SMB 共享上的 ACL 或 SLP
FluidFS 群集支持针对 SMB 共享、文件和文件夹的两级访问控制:
• 访问控制列表 (ACL):控制对特定文件和文件夹的访问权限。管理员可以控制用户和组能够执行的广泛操作。
• 共享级别权限 (SLP):控制对整个共享的访问权限。管理员控制对整个共享的只读、更改或完全访问权限。
SLP 存在局限性,因为它们仅处理任意给定用户或组在 SMB 共享级别上的完全控制、修改和读取权限。ACL 可以控制的操作
范围大大超出读取/更改/完全访问。使用 SLP 的默认设置(已授权用户具有完全控制权限),并使用 ACL 控制对 SMB 共享的
访问权限,除非存在无法使用 ACL 达成的特定 SLP 需求。
Windows 管理员应遵循 Microsoft 定义的 ACL 和 SLP 最佳做法。
注: 请勿尝试使用 MMC 创建 SMB 共享。MMC 只能用于设置 SLP。
自动 ACL 到 UNIX Word 777 映射
从 NFS 客户端显示带有 Windows ACL 的文件时,FluidFS 映射算法会显示经过转换的 UNIX 访问模式。无法实现完美转换,因
此使用了启发式教育法来从富 Windows ACL 转换为 9 位 UNIX 词语。但是,由于 ACL 内部使用了一些特殊 SID(例如,创建
者-所有者 ACE),映射可能不准确。对于某些应用程序,NFS 客户端必须看到准确的映射或更高权限访问的映射。否则,
NFS 应用程序可能无法执行被拒绝的操作。
此版本增加了一个选项,此选项会导致 NFS 客户端使用 UNIX Word 777 显示带有 SMB ACL 的所有对象(仅限显示)。可以在
“NAS 卷”设置下配置此选项(在默认情况下已禁用)。
1. 单击存储视图,然后选择 FluidFS 群集。
2. 单击文件系统选项卡。
3. 选择一个卷,然后单击编辑设置。
4. 在编辑 NAS 卷设置面板中,单击互操作性。
5. 选中启用 ACL 到 UNIX 777 映射复选框。
注: 仍会根据原始安全 ACL 执行 FluidFS 中的实际数据访问检查。
此功能仅适用于使用 Windows 或混合安全样式的 NAS 卷(用于带有 Windows ACL 的文件)。
在 SMB 共享上设置 ACL
要设置 ACL,请使用 Windows 资源管理器步骤。为本地用户帐户定义 ACL 时,必须使用以下格式:
<client_VIP_or_name>\<local_user_name>
使用 MMC 在 SMB 共享上设置 SLP
要设置 SLP,可以使用包含共享文件夹管理单元的 Microsoft 管理控制台 (MMC) 来设置权限。管理员可以从 Windows Server
2003/2008/2012 开始菜单使用预定义的 MMC 文件 (.msc),并且添加共享文件夹管理单元以连接到 FluidFS 群集。
关于此任务
MMC 不会让您选择要连接到远程计算机的具体用户。默认情况下,它通过登录到计算机的用户建立连接。要通过其他用户连
接:
• 如果您尝试管理的 FluidFS 群集已加入 Active Directory,请使用 <domain>\Administrator 登录到管理站。
• 使用 MMC 之前,通过在 Windows 资源管理器的地址栏中使用客户端 VIP 地址连接到 FluidFS 群集。使用管理员帐户登
录,然后连接到 MMC。
注: 您可能需要先重设本地管理员密码。
FluidFS NAS 卷、共享和导出
557