创建CIFS Homedir共享

Homedir是CIFS共享方式的一种,Homedir是指把命名空间以私有目录的形式共享给用户,该用户只能查看和访问与其名称一致的共享目录,无法查看或访问其他用户的私有目录。

操作步骤

  1. 选择“资源 > 资源 > 共享 > CIFS共享”。
  2. 在左上方的“帐户”下拉框中选择需要创建CIFS Homedir共享的命名空间所属的帐户。
  3. 单击“创建Homedir”。

    系统右侧弹出“创建CIFS Homedir共享”页面。

  4. 设置CIFS Homedir共享的基本参数。

    具体参数信息如表1所示。
    表1 CIFS Homedir共享基本参数

    参数名称

    参数说明

    共享名称

    用于用户访问共享资源时使用。

    说明:

    若需要使用autohome的Homedir共享,则共享名称必须设置为“autohome”。

    [取值范围]

    • 名称不能重复。
    • 共享名称不能包含如下字符 " / \ [ ] : | < > + ; , ? * = #,首尾字符不能为空格,同时不能使用如下系统保留名称ipc$、~和print$。
      说明:
      • ipc$是共享命名管道的资源,命名管道是一种简单的进程间通信机制。
      • ~是为了autohome共享预留的符号。
      • print$ 是共享打印机。
    • 长度为1~80个字符(1个中文字符占3个字符长度)。

    [示例]

    share_for_user1

    相对路径

    用户目录相对路径。在访问Homedir共享时,用户实际访问的目录就是由映射规则中配置的“共享路径”(由命名空间和Dtree组成)和这里设置的“相对路径”共同组合而成。当“共享路径”下不存在该相对路径时,若映射规则中开启了“自动创建路径”功能,系统会自动创建该相对路径。否则,请在共享路径下手动创建该相对路径,确保共享访问时该目录存在。

    [取值范围]

    • 相对路径中第一个字符必须是“/”。
    • 相对路径不能包含如下字符\:*?"<>|,“/”不能连续出现。
    • 相对路径中可以包含普通字符和特殊字符串“%d”和“%w”。“%d”代表域名,“%w”代表用户名。若相对路径中包含特殊字符串“%d/%w”,将自动匹配用户的域名和用户名,从而每名用户有自己独立的空间,达到命名空间以私有目录的形式共享给用户的目的。

      例如,相对路径是“/home_%d/%w”,则“china”域用户“usera”的homedir相对目录为“/home_china/usera/”。假设用户创建的Homedir共享名称为“Homedirtest”;映射规则中配置的用户名为“usera”,共享路径为“/fstest/dtreetest”;则“usera”用户在访问该Homedir共享时,实际进入的路径即为“/fstest/dtreetest/home_china/usera”目录。

    • 长度范围为1~255个字符(1个中文字符占3个字符长度)。

    [示例]

    /home_%d/%w

  5. 单击“高级”,设置CIFS Homedir共享的高级属性。

    相关参数如表2所示。

    表2 CIFS Homedir共享高级参数

    参数名称

    参数说明

    描述
    CIFS Homedir共享的描述。
    说明:

    长度范围为0~255位(1个中文字符占3个字符长度)。

    添加默认ACL

    选择是否添加默认ACL。添加默认ACL功能用于当共享根目录无ACL时,对CIFS共享根目录设置默认ACL(everyone完全控制,且应用于当前目录、文件和子目录),后续可以更改该默认ACL。如果想保持原UNIX MODE权限,则不要启用添加默认ACL功能。

    Notify

    开启后,一个客户端针对一个目录内的变更操作(如新增目录、新增文件、修改目录、修改文件等),可被其他正在访问此目录及其父目录的客户端感知。变更操作在自动刷新后显示。

    SMB3加密

    选择是否开启SMB3加密,开启后,系统将对共享进行加密,保证数据安全,但会造成性能下降。

    须知:

    开启该功能后将会对SMB3业务性能产生影响。请确认是否需要开启该功能。

    说明:

    开启SMB3加密后,默认只允许SMB3客户端访问共享。

    非加密客户端访问

    开启后,无加密能力的客户端也可以访问共享。

    须知:

    开启该功能后将会允许旧版本客户端(例如:windows7)以明文方式访问启用SMB3加密功能的共享。请确认是否需要开启该功能。

    说明:

    该功能仅在SMB3加密功能开启后才生效。

    Oplock

    Oplock(Opportunistic locking,机会锁)是提升客户端访问效率的一种机制,用于在文件发送到共享存储之前进行本地缓冲。以下场景不推荐启用该功能:

    • 对数据完整性要求很高的场景。开启Oplock功能后,存在网络中断、客户端故障等导致客户端本地缓存丢失的风险,如果上层业务软件无数据保障、修复或重试机制,可能会造成数据丢失。
    • 多个客户端访问相同文件的场景。此场景如果开启了Oplock功能,会对整个系统性能产生一定的影响。
    说明:

    帐户级别Oplock功能与共享Oplock开关同时打开,共享Oplock开关才能生效。

    Lease

    租约锁,允许客户端用租约密钥锁定文件,服务器可以撤消锁定。

    说明:
    • SMB 2.1及更高版本的客户端才支持租约锁。
    • 请先执行CLI命令change service cifs enable_leasev2=yes打开Lease锁,帐户级别Lease锁与共享Lease开关同时打开,共享Lease开关才能生效。

    ABE

    启用ABE(Access Based Enumeration)后,共享目录中不显示用户无权限的文件和文件夹。

    说明:

    SMB2/SMB3支持ABE功能,SMB1不支持。

    显示以前的版本

    启用显示以前的版本的功能后,客户端能够显示和回滚以前的版本。

  6. 为用户或用户组设置CIFS Homedir共享的访问权限。

    1. 在“权限”区域,单击“增加”。

      系统弹出“增加用户/用户组”对话框。

    2. 选择用户或用户组的“类型”。

      取值包括:“Everyone”、“Windows本地认证用户”、“Windows本地认证用户组”、“AD域用户”和“AD域用户组”。

      • 如果选择“Windows本地认证用户”或“Windows本地认证用户组”,在列表中选择需要增加的用户或用户组。
      • 如果选择“AD域用户”或“AD域用户组”,在“名称”中输入对应用户或用户组的名称。
        • 名称格式为“域名\域用户名”或“域名\域用户组名”。
        • 名称总长度为1~256个字符(1个中文字符占3个字符长度)。
        • 同时输入多个名称时,以回车键分隔。
        • 如果用户没有CIFS共享管理员权限,需要修改共享使用的命名空间或Dtree的根目录权限为777后,才能在命名空间或Dtree的根目录下创建文件/目录。修改命名空间根目录权限的CLI命令为:
          change namespace general name=命名空间名称 unix_permissions=777
          修改Dtree根目录权限的CLI命令为: 
          change dtree general dtree_name=Dtree名称 file_system_id=命名空间ID unix_permissions=777
    3. 在“权限级别”中,为增加的用户或用户组选择访问CIFS Homedir共享的权限。

      具体权限细分说明如表3所示。

      表3 CIFS Homedir共享权限说明

      权限项目

      禁止

      只读

      读写

      完全控制

      查看文件和子目录

      Xa

      b

      查看文件里面的内容

      X

      运行可执行文件

      X

      添加文件或者子目录

      X

      -c

      改变文件内容

      X

      -

      删除文件和子目录

      X

      -

      重命名

      X

      -

      修改文件/目录的ACL权限

      X

      -

      -

      a:当前权限级别下,用户不具有表格左侧项目的权限。

      b:当前权限级别下,用户具有表格左侧项目的权限。

      c:当前权限级别下,用户不涉及表格左侧项目的权限。
    4. 单击“确定”。

      系统将所选择的用户或用户组加入到“权限”列表。

  7. 增加映射规则。

    1. 单击“增加”。

      系统右侧弹出“增加映射规则”页面。

    2. 在“用户名”中设置CIFS Homedir映射规则的用户名。
      • 用户名长度范围是1~255位。
      • 用户名可以是普通用户或者域用户的用户名。域用户通过“\”来连接域名和用户名,且只能有一个“\”,例如“china\user001”。域名只支持NetBIOS名字。
      • 支持通配符“*”,用户名中只能有一个通配符“*”且位于末位。例如,“china\*”表示“china”域下的所有用户。
      • 用户名中不能包含“"/[]<>+:;,?=|”和空格,“\”不能作为首尾字符,“.”不能作为尾字符,“*”只能作为尾字符,“\”和“*”只能出现一次。
    3. 在“命名空间”下拉框中,选择待创建映射规则的命名空间。

      如果命名空间的安全模式为UNIX,创建用映射规则时,需要确保用户拥有Homedir相对路径的访问权限,否则该用户将无法访问Homedir共享。

    4. 在“Dtree”下拉框中,选择待创建映射规则的Dtree。
    5. 在“优先级”中,设置映射规则的优先级。
      • 优先级的取值范围为1到1024。取值小的优先级高。
      • 映射规则根据优先级进行排序,数字越小,优先级越高,相同优先级按照创建规则的先后顺序排序,用户按此映射规则进行匹配。
    6. 选择是否启用“自动创建路径”。启用后,如果CIFS Homedir共享路径下相对路径不存在,系统会自动创建该路径。
      • 不启用“自动创建路径”功能时,如果用户路径不存在则本条映射规则匹配失败,继续匹配下一条映射规则。
      • 若命名空间的安全模式为UNIX模式,命名空间根目录UNIX权限默认为“755”,需要通过CLI命令change

        namespace general name=命名空间名称 unix_permissions=777修改UNIX权限,这样自动创建路径功能才会有效,否则匹配到此规则的用户无法将访问Homedir共享。

    7. 单击“确定”。

      系统将所配置的映射规则加入到“映射规则”列表。

  8. 单击“确定”。
父主题: 配置和管理CIFS共享