L022 ReadyNAS基于用户的访问权限配置.doc

ReadyNAS动手操作实验（二）基于用户的访问权限配置2010年1月目 录1.实验目的21.1 实验条件22.实验内容22.1 实验拓扑图22.2 ReadyNAS基于用户的访问权限配置实验完成目标32.3 第一部分 配置设备安全模式为共享模式，针对CIFS、FTP、HTTP/S控制用户访问42.4 第二部分 配置设备安全模式为“用户模式”，针对CIFS、FTP、HTTP/S控制用户访问62.5 第三部分 配置设备安全模式为“区域模式”，针对CIFS、FTP、HTTP/S控制用户访问91. 实验目的ReadyNAS存储作为NETGEAR存储产品线的重要组成部分，目前主要分为NAS网络存储与统一网络存储两个系列。NAS网络存储包括：ReadyNAS Duo家用级、ReadyNAS NV+工作组级和ReadyNAS 1100部门级三大类。其中NV+和1100是具有相同的功能，Duo是在他们的基础上简化了比较复杂的商用功能。统一网络存储包括：ReadyNAS NVX、ReadyNAS 2100、ReadyNAS Pro和ReadyNAS3200 4个系列。其中NVX和2100分别是NV+和1100的升级版，Pro是6槽的桌面式存储，而3200则是最新的12槽机架式存储。它们都增加了对iSCSI SAN的支持，可以建立iSCSI Target，主要是针对商业用户的数据库应用而设计的。ReadyNAS可以实现对每一个访问的用户针对共享区分配不同的权限，以控制用户对不同共享区的访问。本实验的目的是希望大家能够掌握如何配置基于用户的权限控制。a) 1.1 实验条件完成实验需要以下设备1. ReadyNAS NV+或者ReadyNAS 1100一台2. 一台交换机3. PC两台2. 实验内容i. 2.1 实验拓扑图图一 实验拓扑图b) 2.2 ReadyNAS基于用户的访问权限配置实验完成目标CIFS协议（网上邻居方式）访问权限控制1. 在共享模式下，配置通过共享区密码来控制访问2. 在用户模式下，配置不同的用户对共享区分别有禁止、只读、读写等不同的权限3. 在AD域模式下，实现域帐号的同步，配置不同的用户对共享区有禁止、只读、读写等不同的权限。FTP协议访问权限控制1. 在共享模式下，配置匿名访问共享区2. 在用户模式下，配置不同的用户对共享区分别有禁止、只读、读写等不同的权限3. 在AD域模式下，实现域帐号的同步，配置不同的用户对共享区有禁止、只读、读写等不同的权限。HTTP/S协议访问权限控制1. 在共享模式下，配置匿名访问共享区2. 在用户模式下，配置不同的用户对共享区分别有禁止、只读、读写等不同的权限3. 在AD域模式下，实现域帐号的同步，配置不同的用户对共享区有禁止、只读、读写等不同的权限。c) 2.3 第一部分 配置设备安全模式为共享模式，针对CIFS、FTP、HTTP/S控制用户访问1. 选择“安全”“安全模式”，配置安全模式为“共享模式”。ReadyNAS出厂默认设置就是共享模式。2. 选择“共享”“共享区列表”，这里会列出所有的共享区。而如果希望增加共享区，可以选择“增加共享区”。3. 在“共享区列表”中选择希望控制它访问权限的共享区，然后点击它对应的CIFS小图标。我们可以在此设置每一个共享区的访问密码，如果密码位置留空，则代表不需要密码就可以访问这个共享区。我们在这个实验里面，设置backup共享区的密码是123456，如下图二：图 二4. 进入CIFS协议权限配置界面。CIFS协议就是网上邻居访问方式的协议，控制它就是控制通过网上邻居方式访问的权限。在共享模式下可以控制这个共享区实现禁止、只读、读/写三种不同的访问方式，但是只能针对所有用户设置权限，不能根据不同用户设置不同权限。我们设置backup共享区只有只读权限，而设置media共享区有读/写权限。如下图三，设置了backup共享区只读权限：图 三5. 我们通过在运行里面输入：73，这种访问网上邻居共享文件夹的方式来访问ReadyNAS。由于是共享模式，PC会显示所有的共享区。这时候我们进去backup共享区，由于之前设置了密码，弹出一个对话框需要我们填写密码，如下图四：图 伍6. 密码正确则进入backup共享区。由于之前我们设置了这个共享区只读权限。所以我们只能读取和下载文件，而不能上传、创建、删除文件。7. 我们进入media共享区，由于我们没有对media共享区设置密码，所以可以直接进去，而由于我们之前对这个共享区设置了读/写权限，所以我们可以对media共享区进行建立文件夹、修改文件、删除文件等写操作。8. 选择“服务”“标准文件协议”，选择启用FTP协议，ReadyNAS默认没有启用FTP协议。9. 选择“共享”“共享区列表”，点击共享区对应的FTP协议小图标，进入FTP协议权限管理界面。10. 在本实验中，我们设置backup共享区可以读/写，media共享区为只读。然后使用ftp客户端登陆ReadyNAS。测试出可以往backup共享区上传文件，而只能从media共享区下载文件。（注意共享模式下，FTP只支持匿名访问，所以请清除之前为共享区设置的密码）11. 选择“共享”“共享区列表”，选择HTTP/S协议对应的小图标。12. 我们选择backup共享区的内定存取权限为“读/写”，选择media的内定存取权限为“只读”。（注意共享模式下，HTTP/S只支持匿名访问，所以请清除之前为共享区设置的密码）13. 打开IE浏览器，在地址栏里面输入ReadyNAS地址：73，测试从media共享区下载文件，从backup共享区上传文件。d) 2.4 第二部分 配置设备安全模式为“用户模式”，针对CIFS、FTP、HTTP/S控制用户访问1. 选择“安全”“安全模式”，配置安全模式为“用户模式”。如果原来使用的是“共享模式”或者“域模式”，现在想改成使用“用户模式”。在修改模式的时候会弹出告警，提示修改模式可能会导致之前存进的数据权限紊乱。如果的确希望修改，可以继续按确定。在改好安全模式后，逐一进去每一个共享区的“CIFS”权限控制页面。选择“高级选项”，在“将现有文件夹和文件的属主及权限改为上述设置。该选项可用于解决变换安全模式时所引起的存取问题”选项前打上勾，然后按“应用”。这样的操作在每一个共享区里面都要进行一遍，如此就能纠正修改安全模式导致的权限紊乱。如下图六：图 六2. 选择“安全”“用户和群组帐号”，页面会列出目前所有的用户。此时我们选择右上角的“管理群组”，进入群组增加和管理界面。ReadyNAS的用户可以分别属于不同的群组，我们设置群组对于共享区的访问权限，即可实现属于这个群组的所有用户继承这些权限。3. 选择“加入此群组”即可添加新的群组，并可以设置这个群组最大可上传的容量（如果为0表示不限容量），GID不需要填，系统自动分配。如下图七图 七4. 添加好群组后，选择右上角的下拉菜单中“管理用户”。然后在页面中选择“加入此用户”，添加新的用户名称、密码、使用容量（如果为0表示不限容量），UID不需要填，系统自动分配。如下图八图 八5. 选择“共享”“共享区列表”，这里会列出所有的共享区。6. 在“共享区列表”中选择希望控制它访问权限的共享区，然后点击它对应的CIFS小图标。如下图九：图 九7. 进入CIFS协议权限配置界面。CIFS协议就是网上邻居访问方式的协议，控制它就是控制通过网上邻居方式访问的权限。在用户模式下可以控制这个共享区对不同的用户实现禁止、只读、读/写三种不同的访问方式。我们在此设置backup共享区的默认访问权限是禁止，而用户kevin拥有读/写权限，群组engineer拥有只读权限。还要注意的是，需要把页面下方“高级CIFS”栏目中，“自动设定新文件及文件夹的权限”选上，这样才能实现拥有读/写权限的用户拥有删除共享区中文件的权力，否则只能删除用户自己上传的文件。如下图十图 十8. 我们通过在运行里面输入：73，这种访问网上邻居共享文件夹的方式来访问ReadyNAS。由于是用户模式，会弹出一个对话框让我们填写帐号/密码，我们在此填入用户名tom，密码123456（之前建立的用户和密码），即可看到所有共享区。需要注意的是会看到一个与用户同名的共享区。此为用户私有共享区，只有用户自己通过CIFS协议登陆才能看到和使用，其他用户不可访问。如下图十二：图 十二9. 根据之前设置用户tom属于engineer组，对backup共享区只有读的权限，没有写的权限。在此我们验证这个权限的控制。（通过网上邻居方式访问ReadyNAS，如果需要更换用户访问，需要注销一下PC操作系统，再重新访问ReadyNAS时就会提示输入用户帐号密码）10. 选择“服务”“标准文件协议”，选择启用FTP协议，ReadyNAS默认没有启用FTP协议。启用FTP协议时，选择校验模式为用户模式，默认是匿名模式。11. 选择“共享”“共享区列表”，点击共享区对应的FTP协议小图标，进入FTP协议权限管理界面。12. 在本实验中，我们设置backup共享区内定访问权限为只读。market群组可以读/写。然后使用用户kevin通过ftp客户端登陆ReadyNAS，测试出可以往backup共享区上传下载文件；使用用户tom通过ftp客户端登陆ReadyNAS，测试只能从backup下载，不能上传。13. 选择“共享”“共享区列表”，选择HTTP/S协议对应的小图标。14. 我们选择backup共享区的内定存取权限为“读/写”，允许存取的群组是market；选择media的内定存取权限为“只读”，允许存取的群组是engineer。15. 打开IE浏览器，在地址栏里面输入ReadyNAS地址：73，输入帐号kevin，密码123456，应该只能看到backup区，验证往backup共享区上传文件。验证完成选择退出，关闭IE。16. 再次打开IE浏览器，在地址栏里面输入ReadyNAS地址：73，输入帐号tom，密码123456，应该只能看到media区，验证从media共享区下载文件。验证完成选择退出，关闭IE。e) 2.5 第三部分 配置设备安全模式为“区域模式”，针对CIFS、FTP、HTTP/S控制用户访问1. 在局域网中一台服务器上建立Windows 2003的域控制器，添加群组market和engineer，添加用户kevin密码123456属于群组market，添加用户tom密码123456属于群组engineer。2. 选择“安全”“安全模式”，配置安全模式为“区域模式”。如果原来使用的是“共享模式”或者“用户模式”，现在想改成使用“区域模式”。在修改模式的时候会弹出告警，提示修改模式可能会导致之前存进的数据权限紊乱。如果的确希望修改，可以继续按确定。在改好安全模式后，逐一进去每一个共享区的“CIFS”权限控制页面。选择“高级选项”，然后在“将现有文件夹和文件的属主及权限改为上述设置。该选项可用于解决变换安全模式时所引起的存取问题”选项前打上勾，然后按“应用”。这样的操作在每一个共享区里面都要进行一遍，如此就能纠正修改安全模式导致的权限紊乱。如下图六：图 十三3. 选择“区域模式”首先要在“网络”“全局网络设置”中把DNS地址改成域控制器的IP地址，因为一般域控制使用私有域名，只有服务器自己能解释这个域名。4. 选择“安全”“安全模式”，选择区域模式，在下面参数中填入：域、范围（域控制器的域名）、域控制器IP地址、域管理员帐号/密码，然后按“应用”即可。如下图十四图 十四5. 成功加入域之后，需要在1分钟后，选择重新启动ReadyNAS。6. 重启完成后，选择“安全”“用户和群组帐号”，页面会列出目前所有的用户。此时我们选择右上角的“管理群组”，进入群组增加和管理界面。可以看到列出了所有域中的群组。ReadyNAS的用户可以分别属于不同的群组，我们设置群组对于共享区的访问权限，即可实现属于这个群组的所有用户继承这些权限。7. 由于我们之前已经在域控制器里面添加好了群组和帐号，所以这些群组和帐号都可以在此查询到。所有对群组和帐号的修改都必须在域控制器里面进行，在ReadyNAS中不能修改他们的任何参数。但可以控制这些群组和帐号对ReadyNAS访问的权限。8. 选择“共享”“共享区列表”，这里会列出所有的共享区。9. 在“共享区列表”中选择希望控制它访问权限的共享区，然后点击它对应的CIFS小图标。如下图九：图 九10. 进入CIFS协议权限配置界面。CIFS协议就是网上邻居访问方式的协议，控制它就是控制通过网上邻居方式访问的权限。在用户模式下可以控制这个共享区对不同的用户实现禁止、只读、读/写三种不同的访问方式。我们在此设置backup共享区的默认访问权限是禁止，而用户kevin拥有读/写权限，群组engineer拥有只读权限。还要注意的是，需要把页面下方“高级CIFS”栏目中，“自动设定新文件及文件夹的权限”选上，这样才能实现拥有读/写权限的用户拥有删除共享区中文件的权力，否则只能删除用户自己上传的文件。如下图十图 十11. 我们通过在运行里面输入：73，这种访问网上邻居共享文件夹的方式来访问ReadyNAS。由于是区域模式，会弹出一个对话框让我们填写帐号/密码，我们在此填入用户名tom，密码123456（之前建立的用户和密码），即可看到所有共享区。需要注意的是会看到一个与用户同名的共享区。此为用户私有共享区，只有用户自己通过CIFS协议登陆才能看到和使用，其他用户不可访问。如下图十二：图 十二12. 根据之前设置用户tom属于engineer组，对backup共享区只有读的权限，没有写的权限。在此我们可以验证这个权限的控制。