2011年4月12日 星期二

第四章 存取權限管理

FreeNAS存取權限管理提供三種方式:本機使用者/群組、連結Active Directory、連結LDAP。
clip_image002

4-1本機使用者/群組
所有類UNIX的系統,都具有相同類型的檔案權限結構,即每一個檔案和目錄為一個用戶和一個群組共同所有。但不表示著使用者或群組中成員,對該檔案或目錄享有特殊存取權限。
FreeNAS 所有的檔案存取都是經由帳號來達成,本機使用者帳號大致分為有三種類型:系統管理者(admin)、系統帳號、使用者。系統管理者的帳號,可以使用web介面登入來管理FreeNAS系統,系統帳號可以兼管部份系統功能,使用者只是單純用戶。
clip_image004
4-1-1 設定群組
1).選「群組」頁面。
clip_image006
2).增加一個群組:按下(+),在右邊部份。
clip_image008
clip_image010
3).在[名稱]:可自由地輸入文字,最好是取有意義的名字,勿用空白鍵等奇怪字元。
4).在[Group ID]:每個群組必須有一個GID(群組識別碼),可自行設定,最好用預設值。
5).在[描述]:可自由地說明文字。
6).按下[增加],設定完成。
7).要記得按下「套用」才能生效。
clip_image012
4-1-2 設定用戶
1).選「使用者」頁面。
clip_image014
2).增加一個用戶:按下(+),在右邊部份。
clip_image016
3).在[名稱]:可自由地輸入用戶的帳號,最好是取有意義的名字,勿用空白鍵等奇怪字元。
4).在[全名]:輸入用戶的名字,可自行設定。
5).在[密碼]:可自行設定。
6).在[User ID]:每個用戶必須有一個UID(用戶識別碼),可自行設定,最好用預設值。
7).在[Shell]:可選擇登入的Shell,當需要以命令提示字元功能時,[nologin]是不登入系統的。
8).在[主要群組]:必須選擇一個所屬群組。
9).在[其餘群組]:可選擇其他有關聯的群組。
clip_image018
10).在[家目錄]:輸入用戶所屬的家目錄,這是用戶可以使用的檔案空間。不填,則預設為/mnt。
11).在[使用者入口]:如果勾選,則允許用戶可由web介面使用系統部份管理功能。
12).按下[增加],設定完成。
13).要記得按下「套用」才能生效。
clip_image020
如果再增加一個用戶,請按下(+),在右邊部份。
clip_image022
clip_image024
增加了三個用戶。
4-2 Active Directory認證
Active Directory(中國大陸譯名為「活動目錄」,台灣則是維持英文不譯)是微軟Windows Server中,負責架構中大型網路環境的集中式目錄管理服務(Directory Services),在Windows 2000 Server開始內建於Windows Server產品中,它處理了在組織中的網路物件,物件可以是使用者,群組,電腦,網域控制站,郵件,設定檔,組織單元,樹系等等,只要是在Active Directory結構定義檔(schema)中定義的物件,就可以儲存在Active Directory資料檔中,並利用Active Directory Service Interface 來存取,實際上,許多Active Directory的管理工具都是利用這個介面來呼叫並使用Active Directory的資料。
Active Directory也被做為微軟部份伺服器軟體與網域構連的資料結構,例如Microsoft Exchange Server 2003-2007,均使用 AD 來儲存其個人信箱資料(透過建立新的Active Directory Schema),並將 AD 列為建置Exchange Server的必要條件。
Active Directory最早在1996年出現,並在Windows 2000中首次問世,研發代碼為Cascade,並歷經Windows 2000, Windows Server 2003的演化,目前 AD 已成為成熟的目錄服務元件,在 Windows Server 2008中,AD 更擴充其角色至五種服務(包含憑證、聯邦、權限控管與輕量級服務等)。
4-3 LDAP(Lightweight Directory Access Protocol)
LDAP 是什麼
  • LDAP 全名 Lightweight Directory Access Protocol
  • 為輕量級通訊協定(使用TCP/IP 及精簡的核心操作)
  • 為一種名錄服務可使用 LDAP 記錄各種的人員資訊,就像是通訊錄一樣,又更進階一點,他也可以拿來做帳號整合,若是在 AP 上都有所支援,那麼要使用同一組帳號密碼就不再是難以搞定的事了。
LDAP的用途
  • 將分散資料統合一處( 如個人資料, 伺服器資訊)
  • 便於組織資料管理
  • 可與許多應用軟體整合應用
  • 對於資料的存取具有權限保護

沒有留言:

張貼留言