ReadyNAS动手操作实验(二)
基于用户的访问权限配置
2010年1月
目 录
1. 实验目的 .................................................................................. 2 1.1 实验条件 ............................................................................ 2 2. 实验内容 .................................................................................. 2 2.1 实验拓扑图 ........................................................................ 2 2.2 ReadyNAS基于用户的访问权限配置实验完成目标 ............ 3 2.3 第一部分 配置设备安全模式为共享模式,针对CIFS、FTP、HTTP/S控制用户访问 .............................................................. 4 2.4 第二部分 配置设备安全模式为“用户模式”,针对CIFS、FTP、HTTP/S控制用户访问 .............................................................. 6 2.5 第三部分 配置设备安全模式为“区域模式”,针对CIFS、FTP、HTTP/S控制用户访问 .............................................................. 9
第 1 页 共 13 页
1. 实验目的
ReadyNAS存储作为NETGEAR存储产品线的重要组成部分,目前主要分为NAS网络存储与统一网络存储两个系列。 NAS网络存储包括:ReadyNAS Duo家用级、ReadyNAS NV+工作组级和ReadyNAS 1100部门级三大类。其中NV+和1100是具有相同的功能,Duo是在他们的基础上简化了比较复杂的商用功能。 统一网络存储包括:ReadyNAS NVX、ReadyNAS 2100、ReadyNAS Pro和ReadyNAS3200 4个系列。其中NVX和2100分别是NV+和1100的升级版,Pro是6槽的桌面式存储,而3200则是最新的12槽机架式存储。它们都增加了对iSCSI SAN的支持,可以建立iSCSI Target,主要是针对商业用户的数据库应用而设计的。
ReadyNAS可以实现对每一个访问的用户针对共享区分配不同的权限,以控制用户对不同共享区的访问。本实验的目的是希望大家能够掌握如何配置基于用户的权限控制。
1.1 实验条件
完成实验需要以下设备
1. ReadyNAS NV+或者ReadyNAS 1100一台 2. 一台交换机 3. PC两台
2. 实验内容
2.1 实验拓扑图
第 2 页 共 13 页
图一 实验拓扑图
2.2 ReadyNAS基于用户的访问权限配置实验完成目标
CIFS协议(网上邻居方式)访问权限控制
1. 在共享模式下,配置通过共享区密码来控制访问
2. 在用户模式下,配置不同的用户对共享区分别有禁止、只读、读写等不同的权限
3. 在AD域模式下,实现域帐号的同步,配置不同的用户对共享区有禁止、只读、读写等
不同的权限。
FTP协议访问权限控制
1. 在共享模式下,配置匿名访问共享区
2. 在用户模式下,配置不同的用户对共享区分别有禁止、只读、读写等不同的权限
3. 在AD域模式下,实现域帐号的同步,配置不同的用户对共享区有禁止、只读、读写等
不同的权限。
HTTP/S协议访问权限控制
1. 在共享模式下,配置匿名访问共享区
2. 在用户模式下,配置不同的用户对共享区分别有禁止、只读、读写等不同的权限
3. 在AD域模式下,实现域帐号的同步,配置不同的用户对共享区有禁止、只读、读写等
第 3 页 共 13 页
不同的权限。
2.3 第一部分 配置设备安全模式为共享模式,针对CIFS、FTP、HTTP/S控制用户访问
1. 选择“安全”“安全模式”,配置安全模式为“共享模式”。ReadyNAS出厂默认设置就是
共享模式。
2. 选择“共享”“共享区列表”,这里会列出所有的共享区。而如果希望增加共享区,可以
选择“增加共享区”。
3. 在“共享区列表”中选择希望控制它访问权限的共享区,然后点击它对应的CIFS小图标。
我们可以在此设置每一个共享区的访问密码,如果密码位置留空,则代表不需要密码就可以访问这个共享区。我们在这个实验里面,设置backup共享区的密码是123456,如下图二:
图 二
4. 进入CIFS协议权限配置界面。CIFS协议就是网上邻居访问方式的协议,控制它就是
控制通过网上邻居方式访问的权限。在共享模式下可以控制这个共享区实现禁止、只读、读/写三种不同的访问方式,但是只能针对所有用户设置权限,不能根据不同用户设置不同权限。我们设置backup共享区只有只读权限,而设置media共享区有读/写权限。如下图三,设置了backup共享区只读权限:
第 4 页 共 13 页
图 三
5. 我们通过在运行里面输入:\\\\192.168.1.173,这种访问网上邻居共享文件夹的方式来访
问ReadyNAS。由于是共享模式,PC会显示所有的共享区。这时候我们进去backup共享区,由于之前设置了密码,弹出一个对话框需要我们填写密码,如下图四:
图 伍
6. 密码正确则进入backup共享区。由于之前我们设置了这个共享区只读权限。所以我们
只能读取和下载文件,而不能上传、创建、删除文件。 7. 我们进入media共享区,由于我们没有对media共享区设置密码,所以可以直接进去,
而由于我们之前对这个共享区设置了读/写权限,所以我们可以对media共享区进行建立文件夹、修改文件、删除文件等写操作。
8. 选择“服务”“标准文件协议”,选择启用FTP协议,ReadyNAS默认没有启用FTP协
第 5 页 共 13 页
9. 10.
11. 12.
13.
议。
选择“共享”“共享区列表”,点击共享区对应的FTP协议小图标,进入FTP协议权限管理界面。
在本实验中,我们设置backup共享区可以读/写,media共享区为只读。然后使用ftp客户端登陆ReadyNAS。测试出可以往backup共享区上传文件,而只能从media共享区下载文件。(注意共享模式下,FTP只支持匿名访问,所以请清除之前为共享区设置的密码)
选择“共享”“共享区列表”,选择HTTP/S协议对应的小图标。
我们选择backup共享区的内定存取权限为“读/写”,选择media的内定存取权限为“只读”。(注意共享模式下,HTTP/S只支持匿名访问,所以请清除之前为共享区设置的密码)
打开IE浏览器,在地址栏里面输入ReadyNAS地址:http://192.168.1.173,测试从media共享区下载文件,从backup共享区上传文件。
2.4 第二部分 配置设备安全模式为“用户模式”,针对CIFS、FTP、HTTP/S控制用户访问
1. 选择“安全”“安全模式”,配置安全模式为“用户模式”。如果原来使用的是“共享模式”或
者“域模式”,现在想改成使用“用户模式”。在修改模式的时候会弹出告警,提示修改模式可能会导致之前存进的数据权限紊乱。如果的确希望修改,可以继续按确定。在改好安全模式后,逐一进去每一个共享区的“CIFS”权限控制页面。选择“高级选项”,在“将现有文件夹和文件的属主及权限改为上述设置。该选项可用于解决变换安全模式时所引起的存取问题”选项前打上勾,然后按“应用”。这样的操作在每一个共享区里面都要进行一遍,如此就能纠正修改安全模式导致的权限紊乱。如下图六:
图 六
2. 选择“安全”“用户和群组帐号”,页面会列出目前所有的用户。此时我们选择右上角的
第 6 页 共 13 页
“管理群组”,进入群组增加和管理界面。ReadyNAS的用户可以分别属于不同的群组,我们设置群组对于共享区的访问权限,即可实现属于这个群组的所有用户继承这些权限。
3. 选择“加入此群组”即可添加新的群组,并可以设置这个群组最大可上传的容量(如果为
0表示不限容量),GID不需要填,系统自动分配。如下图七
图 七
4. 添加好群组后,选择右上角的下拉菜单中“管理用户”。然后在页面中选择“加入此用户”,
添加新的用户名称、密码、使用容量(如果为0表示不限容量),UID不需要填,系统自动分配。如下图八
图 八
5. 选择“共享”“共享区列表”,这里会列出所有的共享区。 6. 在“共享区列表”中选择希望控制它访问权限的共享区,然后点击它对应的CIFS小图标。
如下图九:
第 7 页 共 13 页
图 九
7. 进入CIFS协议权限配置界面。CIFS协议就是网上邻居访问方式的协议,控制它就是
控制通过网上邻居方式访问的权限。在用户模式下可以控制这个共享区对不同的用户实现禁止、只读、读/写三种不同的访问方式。我们在此设置backup共享区的默认访问权限是禁止,而用户kevin拥有读/写权限,群组engineer拥有只读权限。还要注意的是,需要把页面下方“高级CIFS”栏目中,“自动设定新文件及文件夹的权限”选上,这样才能实现拥有读/写权限的用户拥有删除共享区中文件的权力,否则只能删除用户自己上传的文件。如下图十
图 十
8. 我们通过在运行里面输入:\\\\192.168.1.173,这种访问网上邻居共享文件夹的方式来访
问ReadyNAS。由于是用户模式,会弹出一个对话框让我们填写帐号/密码,我们在此填入用户名tom,密码123456(之前建立的用户和密码),即可看到所有共享区。需要注意的是会看到一个与用户同名的共享区。此为用户私有共享区,只有用户自己通过CIFS协议登陆才能看到和使用,其他用户不可访问。如下图十二:
第 8 页 共 13 页
9.
图 十二
根据之前设置用户tom属于engineer组,对backup共享区只有读的权限,没有写的权限。在此我们验证这个权限的控制。(通过网上邻居方式访问ReadyNAS,如果需要更换用户访问,需要注销一下PC操作系统,再重新访问ReadyNAS时就会提示输入用户帐号密码)
选择“服务”“标准文件协议”,选择启用FTP协议,ReadyNAS默认没有启用FTP协议。启用FTP协议时,选择校验模式为用户模式,默认是匿名模式。
选择“共享”“共享区列表”,点击共享区对应的FTP协议小图标,进入FTP协议权限管理界面。
在本实验中,我们设置backup共享区内定访问权限为只读。market群组可以读/写。然后使用用户kevin通过ftp客户端登陆ReadyNAS,测试出可以往backup共享区上传下载文件;使用用户tom通过ftp客户端登陆ReadyNAS,测试只能从backup下载,不能上传。
选择“共享”“共享区列表”,选择HTTP/S协议对应的小图标。
我们选择backup共享区的内定存取权限为“读/写”,允许存取的群组是market;选择media的内定存取权限为“只读”,允许存取的群组是engineer。 打开IE浏览器,在地址栏里面输入ReadyNAS地址:192.168.1.173,输入帐号kevin,密码123456,应该只能看到backup区,验证往backup共享区上传文件。验证完成选择退出,关闭IE。
再次打开IE浏览器,在地址栏里面输入ReadyNAS地址:192.168.1.173,输入帐号tom,密码123456,应该只能看到media区,验证从media共享区下载文件。验证完成选择退出,关闭IE。
10. 11. 12.
13. 14. 15.
16.
2.5 第三部分 配置设备安全模式为“区域模式”,针对CIFS、FTP、HTTP/S控制用户访问
1. 在局域网中一台服务器上建立Windows 2003的域控制器,添加群组market和
engineer,添加用户kevin密码123456属于群组market,添加用户tom密码123456属于群组engineer。
2. 选择“安全”“安全模式”,配置安全模式为“区域模式”。如果原来使用的是“共享模式”或
者“用户模式”,现在想改成使用“区域模式”。在修改模式的时候会弹出告警,提示修改模式可能会导致之前存进的数据权限紊乱。如果的确希望修改,可以继续按确定。在改
第 9 页 共 13 页
好安全模式后,逐一进去每一个共享区的“CIFS”权限控制页面。选择“高级选项”,然后在“将现有文件夹和文件的属主及权限改为上述设置。该选项可用于解决变换安全模式时所引起的存取问题”选项前打上勾,然后按“应用”。这样的操作在每一个共享区里面都要进行一遍,如此就能纠正修改安全模式导致的权限紊乱。如下图六:
图 十三
3. 选择“区域模式”首先要在“网络”“全局网络设置”中把DNS地址改成域控制器的IP地
址,因为一般域控制使用私有域名,只有服务器自己能解释这个域名。
4. 选择“安全”“安全模式”,选择区域模式,在下面参数中填入:域、范围(域控制器的
域名)、域控制器IP地址、域管理员帐号/密码,然后按“应用”即可。如下图十四
第 10 页 共 13 页
5. 6.
7.
8. 9.
图 十四
成功加入域之后,需要在1分钟后,选择重新启动ReadyNAS。
重启完成后,选择“安全”“用户和群组帐号”,页面会列出目前所有的用户。此时我们选择右上角的“管理群组”,进入群组增加和管理界面。可以看到列出了所有域中的群组。ReadyNAS的用户可以分别属于不同的群组,我们设置群组对于共享区的访问权限,即可实现属于这个群组的所有用户继承这些权限。
由于我们之前已经在域控制器里面添加好了群组和帐号,所以这些群组和帐号都可以在此查询到。所有对群组和帐号的修改都必须在域控制器里面进行,在ReadyNAS中不能修改他们的任何参数。但可以控制这些群组和帐号对ReadyNAS访问的权限。 选择“共享”“共享区列表”,这里会列出所有的共享区。 在“共享区列表”中选择希望控制它访问权限的共享区,然后点击它对应的CIFS小图标。如下图九:
图 九
10. 进入CIFS协议权限配置界面。CIFS协议就是网上邻居访问方式的协议,控制它就是
控制通过网上邻居方式访问的权限。在用户模式下可以控制这个共享区对不同的用户实现禁止、只读、读/写三种不同的访问方式。我们在此设置backup共享区的默认访问权限是禁止,而用户kevin拥有读/写权限,群组engineer拥有只读权限。还要注意的是,需要把页面下方“高级CIFS”栏目中,“自动设定新文件及文件夹的权限”选上,这样才能实现拥有读/写权限的用户拥有删除共享区中文件的权力,否则只能删除用户自己上传的文件。如下图十
第 11 页 共 13 页
图 十
11. 我们通过在运行里面输入:\\\\192.168.1.173,这种访问网上邻居共享文件夹的方式来访
问ReadyNAS。由于是区域模式,会弹出一个对话框让我们填写帐号/密码,我们在此填入用户名tom,密码123456(之前建立的用户和密码),即可看到所有共享区。需要注意的是会看到一个与用户同名的共享区。此为用户私有共享区,只有用户自己通过CIFS协议登陆才能看到和使用,其他用户不可访问。如下图十二:
12. 13. 14. 15.
图 十二
根据之前设置用户tom属于engineer组,对backup共享区只有读的权限,没有写的权限。在此我们可以验证这个权限的控制。同理,使用用户kevin登陆,验证读写权限。 选择“服务”“标准文件协议”,选择启用FTP协议,ReadyNAS默认没有启用FTP协议。启用FTP协议时,选择校验模式为用户模式,默认是匿名模式。
选择“共享”“共享区列表”,点击共享区对应的FTP协议小图标,进入FTP协议权限管理界面。
在本实验中,我们设置backup共享区内定访问权限为只读。market群组可以读/写。然后使用用户kevin通过ftp客户端登陆ReadyNAS,测试出可以往backup共享区上传下载文件;使用用户tom通过ftp客户端登陆ReadyNAS,测试只能从backup下载,
第 12 页 共 13 页
16. 17. 18.
19.
不能上传。
选择“共享”“共享区列表”,选择HTTP/S协议对应的小图标。
我们选择backup共享区的内定存取权限为“读/写”,允许存取的群组是market;选择media的内定存取权限为“只读”,允许存取的群组是engineer。 打开IE浏览器,在地址栏里面输入ReadyNAS地址:192.168.1.173,输入帐号kevin,密码123456,应该只能看到backup区,验证往backup共享区上传下载文件。验证完成选择退出,关闭IE。
再次打开IE浏览器,在地址栏里面输入ReadyNAS地址:192.168.1.173,输入帐号tom,密码123456,应该只能看到media区,验证从media共享区下载文件。验证完成选择退出,关闭IE。
第 13 页 共 13 页