一、适用环境
1、使用专业服务器的存储容量保存教学资源、企业资源,可供有权限用户共享读取访问。
2、需要对批量的用户进行管理,不同的用户属于不同的组,不同组具备不同的访问权限,如:有些用户只需要读取打开执行,有些用户需要能修改资源的内容、名称、目录结构。
3、共享资源可以是只读访问,如公共性的不变资源则要求不能修改内容;共享资源也可以由管理用户新增资源、删除淘汰的资源。
4、每个用户拥有自己独立的一部分空间,其他用户对私人独立空间无法查看或访问;同时也有公共能读取、执行、打开、下载的文件夹;还有公共能上传资料、修改、新增、删除的文件夹(管理员可对有权限的用户进行设定,有权限的用户可以对上传资源目录进行规定)。
二、思路与规划
(一)硬件资源规划
1、采用vmware的虚拟化技术
在专业服务器上安装ESXI6.7(192.168.0.7/24),本例使用openmediavault是debian Linux(192.168.128.99/24),安装在ESXI6.7的阵列磁盘中,新建8GB的系统硬盘空间,用于启动debian Linux系统,然后再将ESXI6.7的阵列磁盘规划8TB的厚置备延迟置零的存储空间用于存放教学资源或企业资源(根据后期对存储空间的要求,可动态调整8TB为更大的容量,且不会影响已经存储的数据)。至于ESXI6.7的安装、磁盘阵列的部署、万兆网卡的安装与虚拟化部署、debian Linux的安装、openmediavault的安装,不同网段的互通,请参考在前面的CSDN文章中有详细过程,本例的操作不再赘述。硬件服务器资源如下图:
2、本例中采用的debian Linux硬件资源如下图:
3、本例中使用的万兆网卡,如下图:
(二)系统资源规划
1、vCPU、v内存的容量、资料硬盘的存储根据实际使用的需求,可以动态调整,注意硬盘存储容量只能由小改大,不能由大改小。
2、操作系统使用虚拟化的ESXI6.7下运行的debian Linux系统,debian Linux系统本身运行对硬件的资源需求不高。而以后主要的教学资源或企业资源存储在8TB的虚拟化存储当中,所以对8TB的存储可动态扩充容量。
3、openmediavault这个平台已经包含在debian Linux系统中,下载地址:
https://www.openmediavault.org/
(三)用户、组、权限规划
1、用户规划(用于登录到共享资源平台)
(1)read只读型用户,专门用于打开、查看、浏览、下载资源
(2)write可写型用户,专门用于修改、新增、上传、删除资源
(3)admin管理型用户,专门用于对read和write资源进行统一管理,对每个用户的私人空间不具备管理权限
2、组规划(用于批量管理用户)
(1)read组,把只读型用户加入到该组中,当对read组配置权限时,其中的所有用户则会具备read组中配置好的权限
(2)write组,把可写型用户加入到该组中,当对write组配置权限时,其中的所有用户则会具备write组中配置好的权限
3、权限规划(根据用户的角色,进行权限的合理分配)
(1)SMB/CIFS共享权限:只读、可浏览
(2)存储器——服务——特权:write/read、read only、no access
(3)存储器——服务——ACL访问控制权限:所有者权限(只写、写/执行、只读、读/执行、读/写、读/写/执行);用户组权限;其他用户权限
4、本例客户端以windows共享的方式访问,增加了用户名+密码;前面的例子以NFS的无用户密码访问为主。
三、配置过程
(一)存储器配置
1、在debian Linux上添加一块8TB的硬盘后,如下图:
2、raid管理,本例不再配置
因为本例中的8TB virtual disk,是在物理服务器上已经用了4TB*7块硬盘做了raid 5之后,从中划分了8TB出来,所以性能上已经是7块硬盘同时工作,相当于1块硬盘速率的至少6倍,其中1块容量用于做奇偶校验,当某1块硬盘物理损坏后,还可以用新硬盘挂上后生成数据,所以1块硬盘坏数据不会丢失。
若没有做硬raid的话,可以在openmediavault中创建软raid,点+号,如下图:
3、文件系统配置
在存储器——文件系统中,点+号,将添加的8TB磁盘,配置为EXT4文件系统,并将它挂载,使之成为online状态,如下图:
4、共享文件夹配置
在存储器——共享文件夹,配置3个共享文件夹,如下图:
Share/read:用于共享只读的数据资源,可用于打开、查看、浏览、下载的动作
Share/write:用于共享可写的数据资源,可用于修改、新增、上传、删除的动作
Users:用于存储所有用户的私人空间,即用户主目录home的内容
(二)服务配置
1、开启用户——设置——主目录功能(用于私人空间),如下图:
2、开启服务——SMB/CIFS/设置——主目录功能(用于私人空间),如下图:
3、新建共享,取共享名share-read,公开选否,取消只读前的勾,勾选可浏览
4、完成读取共享share-read、写入共享share-write后,如下图:
(三)用户、组配置
1、新建3个用户,分别用于读、写、管理,并将用户分配到对应的组中,其中adm、root、users这3个组是系统中自带的组名称,read、write组需要手动创建好后,将admin1、read、write用户分别置于对应的组,如下图:
2、新建2个组(用于批量管理用户),把read用户添加到read组,把write用户添加到write组中。
(四)用户、组的权限及用户私人空间配置
1、存储器——共享文件夹,新建share/read的路径为共享文件夹
2、完成另外2个共享文件夹后,在共享文件夹中共有3个共享文件夹,如下图:
3、共享文件夹的特权配置
(1)配置share-read共享文件夹的特权,选中share-read后点特权,如下图:
(2)配置read用户、read组、write用户、write组对share-read共享文件夹的访问权限为read-only权限,即只读;配置admin1用户对share-read的共享文件夹的访问权限为read/write,即读写均可。
(3)配置share-write共享文件夹的特权,选中share-write后,点特权,如下图:
(4)配置read用户、read组对share-write共享文件夹只有read-only权,write用户、write组、admin1管理用户对share-write共享文件夹有read/write权,如下图:
(5)对于users共享文件夹,不配置特权,如下图:
4、共享文件夹的访问控制列表配置:
(1)选中users共享文件夹后,打开访问控制列表,如下图:
(2)在下图中选择要配置的共享文件夹/根目录,如下图:
(3)配置根目录的访问控制列表,如下图:
(4)配置share-read共享文件夹的访问控制列表,如下图:
(5)配置share-write共享文件夹的访问控制列表,如下图:
(6)配置admin1共享文件夹的访问控制列表,如下图:
注意:管理员宿主目录此处配置访问控制列表,对read用户、write用户、read组、write组为no access不允许访问。
四、结果验证
(一)read用户登录
1、在此电脑的地址栏上输入\192.168.128.99后,按回车键,如下图:
2、输入read用户的用户名和密码,如下图:
3、read用户登录后,可以看到有3个文件夹
(1)read:read用户的宿主目录,即私人空间文件夹,别的用户无法看到
(2)share-read:仅允许read用户读取、打开、浏览、下载里面的内容
(3)share-write:仅允许read用户读取、打开、浏览、下载里面的内容
4、read用户读取3个文件夹
(1)read用户读取share-write文件夹,能打开正常,如下图:
(2)read用户读取share-read文件夹,能打开正常,如下图:
(3)read用户读取read宿主文件夹
5、read用户写入到3个文件夹
(1)read用户写入到read文件夹,提示拒绝访问,如下图:
(2)read用户写入到share-read文件夹,提示拒绝访问,如下图:
(3)read用户写入到share-write文件夹,提示拒绝访问,如下图:
(二)write用户登录
1、关闭之前打开的所有共享文件夹,切换成write用户前,使用net use命令先查看当前保存的read用户共享
2、使用net use \192.168.128.99\IPC$ /delete命令删除当前保存的read用户共享,然后net use查看当前的共享为空,如下图:(注意删除共享记录时,根据net use看到的结果进行删除)
3、过30秒左右后,使用write用户登录,如下图:
4、此时write用户可以看到3个文件夹,但是已经没有之前看到的read宿主目录(私人空间)了,但可以看到自己的宿主目录write,如下图:
5、使用write用户验证权限
(1)write用户读/写write文件夹,能打开,也能上传文件,说明读写正常,如下图:
(2)write用户读/写share-read文件夹,能打开读取正常,写入拒绝,share-read共享文件夹是公共不改的资料,只允许普通用户读取。
(3)write用户读/写share-write文件,可打开读取正常,可上传写入正常,如下图:
(三)admin1用户登录
1、关闭之前打开的所有共享文件夹,再使用net use与net use \192.168.128.99 /delete命令删除记录的登录共享,如下图:
2、等待30秒左右后,再打开共享,使用admin1用户登录,如下图:
3、admin1用户登录后,能看到3个文件夹,其中read文件夹和write文件夹是用户read的私人空间目录,write文件夹是write用户的私人空间目录,所以admin1管理员也无法看到,如下图:
4、使用admin1管理用户验证权限
(1)admin1用户对admin1文件夹的读/写权限都正常,如下图:
(2)admin1用户对share-read文件夹的读/写权限都正常,如下图:
(3)admin1用户对share-write文件夹的读/写权限都正常,如下图:
(四)文件直接从共享的网盘打开,不需要下载后再打开,从功能上验证
1、MP4文件能直接打开,并正常播放,如下图:
2、PPTX文件能直接打开,如下图:
3、excel工作表文件能直接打开,如下图:
4、word文档能直接打开,如下图:
5、PDF文档能直接打开,如下图:
6、记事本文档能直接打开,如下图:
至此,read用户对read、share-read、share-write都只有读取权限;
Write用户share-read具有读取权限,对write、share-write有读写权限;
Admin1用户对admin1、share-read、share-write都有读写权限。
网盘的共享、权限、用户、组、特权、访问控制列表的配置完成,不足之处敬请批评指正。时间关系,其中的递归、继承权可自行理解。