文档章节

在 isilon 的 Samba 中接入 LDAP 认证并严格控制权限

anglix
 anglix
发布于 2016/05/22 14:28
字数 372
阅读 275
收藏 8
  • 最近收到一个基于 isilon 的Windows共享访问的需求:
  1. 要求指定IP能访问;
  2. 目录按用户来区分读写权限;
  3. 上传的文件不允许修改和删除。
  • 指定IP访问比较容易了:

可以在网络各个层面控制。
也可以在 isilon 系统中控制:

isi smb shares modify public-share --host-acl=allow:192.168.10.31 --host-acl=allow:10.10.22.33 --host-acl=deny:ALL --zone system
isi smb shares view public-share --zone system 
  • 按用户区分权限,首先得接入认证系统。我考虑接入LDAP统一认证:
  1. 笔者用的 OpenLDAP - v2.4.40+dfsg-1+deb8u2 并开启了 smb 支持。
  2. 通过 smb 认证的用户,需要增加 sambaConfigsambaSamAccountsambaNTPasswordsambaSID属性:
    LDAP-SMB
  3. isilon - v7.2.1.1 管理后台配置认证 ACCESS - Authencication Providers - LDAP :
    isilon的ldap配置
    注意
    Windows Password Attribute 务必改为 sambaNTPassword,否则Windows用户无法验证!
  4. 正确填写 Distinguished Name 和 Query Filter 以便用于用户和群组的授权:
    smb授权
    注意
    默认的权限非常严格,在实践中会带来巨大的教育和维护成本。
    于是上图中的 Advanced SMB Share Settings 里有所放开。
  5. 其中的 source 目录,通过 Windows 的权限控制实现:允许上传、禁止更新或删除:
    目录权限控制
    显示申明允许“创建文件/写入数据”,明确禁止“删除”和“修改属性”
  • 测试通过,玩得开心。

© 著作权归作者所有

共有 人打赏支持
anglix

anglix

粉丝 32
博文 35
码字总数 17615
作品 0
珠海
系统管理员
私信 提问
在 isilon 中使用 ldap 登录管理后台

LDAP 的配置见: 将Samba接入LDAP认证并严格控制权限 创建一条权限规则: 给这条规则授权,权限列表可通过 查看: 给用户授权 : 成功登录并控制权限:

anglix
2016/05/25
42
0
在 isilon 中使用 ldap 登录 ftp 服务

LDAP 的配置见: 将Samba接入LDAP认证并严格控制权限 查看当前 配置: 关键配置 : 创建用户 后即可使用 帐号登录使用: 由于 /ifs 指定了 noexec 选项,所以放在 /ifs 目录下的脚本都不能直...

anglix
2016/05/25
44
0
Samba 4.0.1 发布,Windows 和 Unix 互通

Samba 4.0.1 是一个安全的发行版本,解决了 CVE-2013-0172 问题,该问题是发生在 Samba 作为 AD DC 运行时可能会提供认证用户写 LDAP 目录对象的权限。 Samba,是种自由软件,用来让UNIX系列...

oschina
2013/01/16
1K
0
关于Django项目接入LDAP用户认证

简介 以下内容主要介绍关于Django系统的后台admin管理页面中如何采用LDAP用户认证,并实现登陆的办法 用户认证接入前提 关于Django接入LDAP。首先,你得有一个LDAP系统(http://eric_ldap.osc...

HelloEric
2016/08/15
582
0
用Python建设企业认证和权限控制平台

目前大家对Python的了解更多来源是数据分析、Ai,再就是运维工具开发,本文主要是利用Python进行web开发,web开发使用Python进行开发同样也是非常受欢迎的,例如:FaceBook,豆瓣,知乎,饿了...

布道
2017/12/20
0
0

没有更多内容

加载失败,请刷新页面

加载更多

C++ vector和list的区别

1.vector数据结构 vector和数组类似,拥有一段连续的内存空间,并且起始地址不变。 因此能高效的进行随机存取,时间复杂度为o(1); 但因为内存空间是连续的,所以在进行插入和删除操作时,会造...

shzwork
今天
3
0
Spring之invokeBeanFactoryPostProcessors详解

Spring的refresh的invokeBeanFactoryPostProcessors,就是调用所有注册的、原始的BeanFactoryPostProcessor。 相关源码 public static void invokeBeanFactoryPostProcessors(Configu......

cregu
昨天
4
0
ibmcom/db2express-c_docker官方使用文档

(DEPRECIATED) Please check DB2 Developer-C Edition for the replacement. What is IBM DB2 Express-C ? ``IBM DB2 Express-C``` is the no-charge community edition of DB2 server, a si......

BG2KNT
昨天
3
0
Ubuntu 18.04.2 LTS nvidia-docker2 : 依赖: docker-ce (= 5:18.09.0~3-0~ubuntu-bionic)

平台:Ubuntu 18.04.2 LTS nvidia-docker2 版本:2.0.3 错误描述:在安装nvidia-docker2的时候报dpkg依赖错误 nvidia-docker2 : 依赖: docker-ce (= 5:18.09.0~3-0~ubuntu-bionic) 先看一下依......

Pulsar-V
昨天
4
0
学习笔记1-goland结构体(struct)

写在前面:若有侵权,请发邮件by.su@qq.com告知。 转载者告知:如果本文被转载,但凡涉及到侵权相关事宜,转载者需负责。请知悉! 本文永久更新地址:https://my.oschina.net/bysu/blog/3036...

不最醉不龟归
昨天
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部