阿里云SMB协议文件存储服务支持基于AD域的用户身份认证及权限访问控制介绍

  • 时间:
  • 浏览:1
  • 来源:UU直播快三官方_大发UU直播快3

用户访问及权限控制。用户通过IDC内的应用资源但是VPC内的VM访问文件系统建立连接的但是,首先通过目前但是实现的文件系统权限组进行权限验证,根据配置的权限组信息控制客户端的连接及访问,但是 根据下面的逻辑进行用户认证和访问控制:

但是要使用阿里云SMB协议文件存储服务的基于AD域系统的用户身份认证及访问权限控制功能,请提交工单。

基于AD域系统的用户认证及访问控制的流程离米 如下图所示:

下面是使用基于AD域系统的用户身份认证及访问权限控制但是前要的相关知识点:

目前的阿里云SMB协议文件存储服务不支持多用户的文件/目录级别的权限访问控制,但是 提供了四种 支持云账号以及源地址IP为基础的文件系统级别的鉴权和访问控制。在四种 文件系统级别的访问控制中,首先云账号后能 通过设置访问权限组,设置十个 文件系统后能 被访问的源IP地址列表以及相应的读写权限。但是 ,在用户建立TCP连接请求时,从TCP连接中提取对应的VPC以及源IP地址信息,通过查找匹配权限组来设置该链接的读写权限。如下图所示:

在四种 通过权限组进行文件系统级别的权限控制下,用户假使 能登录授权的机器,就能以权限组配置的权限访问相应的文件系统。不同的用户登录机器后,不再进行用户认证,有着相同的权限(匿名用户访问)。另外,但是权限控制基于文件系统级别,不到细粒度地在文件和目录级别做访问权限控制。

在本文中,大伙儿儿首先简单介绍文件系统的用户认证和访问权限控制的概念,但是 介绍阿里云SMB协议文件存储服务支持基于AD域系统的用户身份认证及访问权限控制的实现。

文件访问权限控制, 包括文件的访问权限授权和访问权限控制十个 方面。在文件系统中,目录和文件的属主不会后能 对系统中的用户进行读、写、修改等访问的授权。当十个 用户访问目录和文件时,文件系统会根据认证后的用户身份,对比系统中但是设置的授权信息进行比对,来决定四种 访问与否被允许。在兼容POSIX的文件系统语义中(如Linux),四种 是通过大伙儿儿熟悉的mode来进行文件访问控制。具体来说,每个文件或目录的拥有者(owner)是由uid和gid描述的,基本的访问控制mode也即经典的rwxrwxrwx控制串。其中前三位是表示owner uid对应的用户拥有的权限读、写和执行权限,里边三位和最后三位分别是是owner gid对应的组以及所有或多或少用户(others)所拥有的读、写和执行权限。而在Windows的文件系统中,访问控制是通过ACL(Access Control List)来描述和控制。ACL即权限控制表,用于描述十个 对象(文件或目录)上的一系列存取权限。ACL中的每条权限控制项(Access Control Entry, ACE)通常由十个 后能 验证身份的Security Principal(如用户、用户组,服务账号等)和该Security Principal在四种 对象上拥有的一系列权限组成。常见的权限但是包括读、写、执行、删除、审计等。稍具体的请参考《阿里云SMB协议文件系统ACL权限控制使用指南》中相关的介绍。

经过对客户需求以及友商产品同类功能的分析,大伙儿儿也设计了支持客户VPC但是客户IDC内的AD域控制器的用户管理和文件系统访问权限控制,另十个 后能 打通混合云客户的云上和云下用户认证以及文件系统权限控制。

大伙儿儿来简单介绍一下文件系统的用户认证和访问权限控制的概念。顾名思义,这里饱含十个 层次的概念。首先是用户认证,也假使 身份识别,这是识别十个 用户在十个 系统中的身份及所在的组的过程。在网络文件系统的应用场景中,这是十个 涉及到三方的过程。用户管理认证模块负责管理用户的信息,包括身份ID,所在的组等,但是 提供身份认证服务。客户端拿着他所声称的身份去访问文件服务器,文件服务器前要不会后能 以四种 土土办法确认四种 身份嘴笨 是用户管理认证模块认可的身份。在SMB文件访问协议中,支持的用户认证协议有Kerberos以及NTLM。《Kerberos网络身份认证协议介绍及SMB文件系统对其的支持》具体介绍了这Kerberos网络身份认证协议以及和文件服务器的交互过程。而用户认证模块,比较常用的有文件系统本地的用户管理认证,以及结构的AD域、LDAP域但是NIS域用户管理认证。

在大伙儿儿的实现中,采用的Kerberos用户认证协议,主要考虑是在NTLM协议的实现中,前要从文件服务向AD发起认证请求,而AD在用户的VPC网络中但是在线下IDC内。在阿里云中,另十个 从云服务向用户VPC但是IDC资源发起的请求前要开通反向网络访问但是 前要客户的授权,另十个 其冗杂性要大大增加。而Kerberos的认证协议不前要文件服务和客户AD的直接交流,也就除理了反向网络打通的冗杂性。

在SMB协议文件系统服务中,用户身份的认证是由域控制器来提供的。用户后能 在配置了域控制器的Windows但是Linux服务器上,以域身份连接并访问SMB文件系统,但是 文件系统服务器得到用户的域身份,来达到目录和文件级别的访问权限控制。

在四种 实现中,文件及目录的访问授权后能 通过Windows提供的文件浏览器进行。

但是要使用阿里云SMB协议文件存储服务的基于AD域系统的用户身份认证及访问权限控制功能,请提交工单。

今天,大伙儿儿很高兴地宣布,阿里云SMB协议文件存储服务也后能 支持基于AD域系统的用户身份认证及访问权限控制了,使线下传统的基于微软的Active Directory域的文件系统及应用后能 无缝地迁移到阿里云上来,进一步降低SMB协议的文件系统使用和运维成本。阿里云SMB协议文件存储服务后能 依赖用户部署在线下但是阿里云上的AD域控制器,通过Kerberos网络身份认证协议来进行AD域用户身份的认证,但是 基于认证的域身份来进行目录和文件级别的访问权限控制。

目前的阿里云SMB协议文件存储服务不支持多用户的文件/目录级别的权限访问控制,只提供了四种 支持云账号以及源地址IP为基础的文件系统级别的鉴权和访问控制。随着太少的企业客户的上云,也冒出了更多的阿里云客户对大伙儿儿提出了对不同的用户进行文件及目录级别的访问控制的要求。比如某医院,大伙儿儿目前使用的是EMC Isilon存储,采用了Isilon自带的用户管理。大伙儿儿希望在上云后,不会后能 有和EMC Isilon同类的用户管理体验以及同类的对不同用户的文件目录访问权限控制。另外比如某渲染公司,大伙儿儿目前的本地存储采用了微软AD域的用户认证,希望在上云后大伙儿儿的文件存储不会后能 和大伙儿儿本地的AD域控制器打通,另十个 大伙儿儿的用户不管从本地但是云上的VM都能进行同样的用户认证,但是 云上的文件存储权限控制和线下一致。