创建CIFS共享

前提条件

存储节点的防火墙已经关闭。

操作步骤

1. 选择“资源 > 资源 > 共享 > CIFS共享”。
2. 在左上方的“帐户”下拉框中选择需要创建CIFS共享的命名空间所属的帐户。
3. 单击“创建”。

   系统右侧弹出“创建CIFS共享”页面。

4. 设置CIFS共享的基本参数。

   相关参数如表1所示。

   表1 CIFS共享基本参数

   参数名称	参数说明
   共享名称	共享的名称，用于用户访问共享资源时使用。 [取值范围] 名称不能重复。 共享名称不能包含如下字符 " / \ [ ] : | < > + ; , ? * = #，首尾字符不能为空格，同时不能使用如下系统保留名称ipc$、autohome、~和print$。 说明： ipc$是共享命名管道的资源，命名管道是一种简单的进程间通信机制。 autohome是为了autohome共享预留的共享名称。 ~是为了autohome共享预留的符号。 print$ 是共享打印机。 长度为1～80个字符（1个中文字符占3个字符长度）。 说明： 系统默认创建有共享名称为“c$”的ADMIN共享。“c$”共享具有以下特征： 共享路径为根目录“/”，共享权限为Administrators完全控制权限。 每当创建一个新的帐户，该帐户会自动创建一个“c$”共享。 不可以被删除，可以添加新的用户权限。 可以查看或修改“c$”共享的属性。例如，在Windows管理控制台（Microsoft Management Console，MMC）上，你可以修改“c$”共享的描述、脱机设置等。 在MMC上，通过“c$”共享可以浏览命名空间和Dtree，并且可以直接选择命名空间或Dtree为其创建共享，无需手动输入共享路径。
   命名空间	需要创建CIFS共享的命名空间。 说明： 若所选命名空间是远程复制的从端，在访问命名空间上的数据时，数据可能正在被修改。执行该操作前请确认应用可以容忍可能出现的数据不一致现象。
   Dtree	需要创建CIFS共享的Dtree。如果不选择Dtree，CIFS共享对整个命名空间创建。

5. 设置CIFS共享的高级属性。单击“高级”。

   相关参数如表2所示。

   表2 CIFS共享高级参数

   参数名称	参数说明
   描述	CIFS共享的描述。 说明： 长度范围为0~255位（1个中文字符占3个字符长度）。
   添加默认ACL	选择是否添加默认ACL。添加默认ACL功能用于当共享根目录无ACL时，对CIFS共享根目录设置默认ACL（everyone完全控制，且应用于当前目录、文件和子目录），后续可以更改该默认ACL。如果想保持原UNIX MODE权限，则不要启用添加默认ACL功能。
   Notify	开启后，一个客户端针对一个目录内的变更操作（如新增目录、新增文件、修改目录、修改文件等），可被其他正在访问此目录及其父目录的客户端感知。变更操作在自动刷新后显示。
   SMB3加密	选择是否开启SMB3加密，开启后，系统将对共享进行加密，保证数据安全，但会造成性能下降。 须知： 开启该功能后将会对SMB3业务性能产生影响。请确认是否需要开启该功能。 说明： 开启SMB3加密后，默认只允许SMB3客户端访问共享。
   非加密客户端访问	开启后，无加密能力的客户端也可以访问共享。 须知： 开启该功能后将会允许旧版本客户端（例如：windows7）以明文方式访问启用SMB3加密功能的共享。请确认是否需要开启该功能。 说明： 该功能仅在SMB3加密功能开启后才生效。
   Oplock	Oplock（Opportunistic locking，机会锁）是提升客户端访问效率的一种机制，用于在文件发送到共享存储之前进行本地缓冲。以下场景不推荐启用该功能： 对数据完整性要求很高的场景。开启Oplock功能后，存在网络中断、客户端故障等导致客户端本地缓存丢失的风险，如果上层业务软件无数据保障、修复或重试机制，可能会造成数据丢失。 多个客户端访问相同文件的场景。此场景如果开启了Oplock功能，会对整个系统性能产生一定的影响。 说明： 帐户级别Oplock功能与共享Oplock开关同时打开，共享Oplock开关才能生效。
   Lease	租约锁，允许客户端用租约密钥锁定文件，服务器可以撤消锁定。 说明： SMB 2.1及更高版本的客户端才支持租约锁。 请先执行CLI命令change service cifs enable_leasev2=yes打开Lease锁，帐户级别Lease锁与共享Lease开关同时打开，共享Lease开关才能生效。
   ABE	启用ABE（Access Based Enumeration）后，共享目录中不显示用户无权限的文件和文件夹。 说明： SMB2/SMB3支持ABE功能，SMB1不支持。
   显示以前的版本	启用显示以前的版本的功能后，客户端能够显示和回滚以前的版本。

6. 设置访问CIFS共享的用户或用户组。
   1. 在“权限”区域，单击“增加”。

      系统弹出“增加用户/用户组”对话框。

   2. 选择用户或用户组的“类型”。

      取值包括：“Everyone”、“Windows本地认证用户”、“Windows本地认证用户组”、“AD域用户”和“AD域用户组”。

      • 如果选择“Windows本地认证用户”或“Windows本地认证用户组”，在列表中选择需要增加的用户或用户组。
      • 如果选择“AD域用户”或“AD域用户组”，在“名称”中输入对应用户或用户组的名称。
        

        • 名称格式为“域名\域用户名”或“域名\域用户组名”。
        • 名称总长度为1~256个字符（1个中文字符占3个字符长度）。
        • 同时输入多个名称时，以回车键分隔。
        • 如果用户没有CIFS共享管理员权限，需要修改共享使用的命名空间或Dtree的根目录权限为777后，才能在命名空间或Dtree的根目录下创建文件/目录。修改命名空间根目录权限的CLI命令为：

          change namespace general name=命名空间名称 unix_permissions=777

          修改Dtree根目录权限的CLI命令为：

          change dtree general dtree_name=Dtree名称 file_system_id=命名空间ID unix_permissions=777

   3. 在“权限级别”中，为增加的用户或用户组选择访问CIFS共享的权限。

      具体权限细分说明如表3所示。

      表3 CIFS共享权限说明

      权限项目	禁止	只读	读写	完全控制
      查看文件和子目录	Xa	√b	√	√
      查看文件里面的内容	X	√	√	√
      运行可执行文件	X	√	√	√
      添加文件或者子目录	X	-c	√	√
      改变文件内容	X	-	√	√
      删除文件和子目录	X	-	√	√
      重命名	X	-	√	√
      修改文件/目录的ACL权限	X	-	-	√
      a：当前权限级别下，用户不具有表格左侧项目的权限。 b：当前权限级别下，用户具有表格左侧项目的权限。 c：当前权限级别下，用户不涉及表格左侧项目的权限。

      

      对审计日志命名空间创建共享时，不支持设置为“读写”和“完全控制”权限。

   4. 单击“确定”。

      系统将所选择的用户或用户组加入到“权限”列表。

7. 单击“确定”。