[go: up one dir, main page]

CN105656949A - 一种网络文件系统的访问权限控制方法及系统 - Google Patents

一种网络文件系统的访问权限控制方法及系统 Download PDF

Info

Publication number
CN105656949A
CN105656949A CN201610202393.3A CN201610202393A CN105656949A CN 105656949 A CN105656949 A CN 105656949A CN 201610202393 A CN201610202393 A CN 201610202393A CN 105656949 A CN105656949 A CN 105656949A
Authority
CN
China
Prior art keywords
network group
client
authority
content
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610202393.3A
Other languages
English (en)
Inventor
张�浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Beijing Electronic Information Industry Co Ltd
Original Assignee
Inspur Beijing Electronic Information Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Beijing Electronic Information Industry Co Ltd filed Critical Inspur Beijing Electronic Information Industry Co Ltd
Priority to CN201610202393.3A priority Critical patent/CN105656949A/zh
Publication of CN105656949A publication Critical patent/CN105656949A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种网络文件系统的访问权限控制方法及系统,该方法包括:接收来自NFS客户端的针对目标文件的访问请求;根据客户端主机名或客户端用户名或客户端所属域名确定客户端的所属网络组;参考预设的网络组与权限内容的对应关系,查找与所属网络组相对应的权限内容;根据查找到的权限内容,判断访问请求是否合法;如果是,则控制NFS客户端访问目标文件;否则,显示无权访问目标文件的提示信息。可见,本发明中,管理员对一个网络组的权限内容进行配置即是对这个网络组中所有成员的权限内容进行批量配置,实现了减少权限管理员的工作量,进而提高工作效率的目的;同时也丰富了权限管理功能的设置方式。

Description

一种网络文件系统的访问权限控制方法及系统
技术领域
本发明涉及网络文件系统技术领域,特别是涉及一种网络文件系统的访问权限控制方法及系统。
背景技术
网络文件系统(NFS,NetworkFileSystem),顾名思义就是能够通过网络对远端文件进行各种操作的系统,其最大的功能就是能够实现异构机器之间的文件和目录的共享。具体地,客户端可以像访问本地文件系统一样,透明地访问存储在远端NFS服务器上的文件。而为了使得大量用户可以无干扰的使用,通常会对不同层次的用户给予不同的访问权限,可见,NFS的访问权限控制至关重要。
目前,NFS针对主机名、网络IP等的权限控制已经被大家所熟知,权限管理员需要对每个主机名或者网络IP的权限进行一一设置。然而,随着网络用户的不断增加,主机名或者网络IP的数量会越来越多,这意味着大大增加了权限管理员在进行权限管理时的工作量,耗时长,工作效率低。
可见,目前的访问权限控制方法已经不能满足集群文件系统对NFS的需求,亟需一种新的网络文件系统的访问权限控制方法,以减少权限管理员的工作量,进而提高工作效率。
发明内容
有鉴于此,本发明提供了一种网络文件系统的访问权限控制方法及系统,以实现减少权限管理员的工作量,进而提高工作效率的目的。
为解决上述技术问题,本发明提供一种网络文件系统的访问权限控制方法,应用于NFS服务器,该方法包括:
接收来自NFS客户端的针对目标文件的访问请求,所述访问请求携带客户端主机名、客户端用户名以及客户端所属域名;
根据所述客户端主机名或所述客户端用户名或所述客户端所属域名确定所述客户端的所属网络组;
参考预设的网络组与权限内容的对应关系,查找与所述所属网络组相对应的权限内容;
根据查找到的权限内容,判断所述访问请求是否合法;如果是,则控制所述NFS客户端访问所述目标文件;否则,显示无权访问所述目标文件的提示信息。
上述方法中,优选的,在所述参考预设的网络组与权限内容的对应关系,查找与所述所属网络组相对应的权限内容之前,还包括:
获取权限管理员为每个所述网络组配置的权限内容,建立所述网络组与权限内容的对应关系;其中,每个所述网络组包括主机名、用户名和域名。
上述方法中,优选的,所述获取权限管理员为每个所述网络组配置的权限内容,建立所述网络组与权限内容的对应关系,包括:
利用NIS服务器或LDAP服务器建立所述网络组与权限内容的对应关系,并将所述网络组与权限内容的对应关系以映射文件形式存至所述NIS服务器或所述LDAP服务器。
上述方法中,优选的,所述参考预设的网络组与权限内容的对应关系,查找与所述所属网络组相对应的权限内容,包括:
从所述NIS服务器或所述LDAP服务器中获取所述映射文件,并从所述映射文件中提取所述网络组与权限内容的对应关系;
参考提取的所述网络组与权限内容的对应关系,查找与所述所属网络组相对应的权限内容。
上述方法中,优选的,所述根据所述客户端主机名或所述客户端用户名或所述客户端所属域名确定所述客户端的所属网络组,包括:
判断是否存在所述客户端主机名对应的网络组;
当存在所述客户端主机名对应的网络组时,将其作为所述客户端的所属网络组,如果不存在,则判断是否存在所述客户端用户名对应的网络组;
当存在所述客户端用户名对应的网络组时,将其作为所述客户端的所属网络组,如果不存在,则判断是否存在所述客户端所属域名对应的网络组;
当存在所述客户端所属域名对应的网络组时,将其作为所述客户端的所属网络组。
本发明还提供了一种网络文件系统的访问权限控制系统,应用于NFS服务器,该系统包括:
接收单元,用于接收来自NFS客户端的针对目标文件的访问请求,所述访问请求携带客户端主机名、客户端用户名以及客户端所属域名;
网络组确定单元,用于根据所述客户端主机名或所述客户端用户名或所述客户端所属域名确定所述客户端的所属网络组;
权限内容查找单元,用于参考预设的网络组与权限内容的对应关系,查找与所述所属网络组相对应的权限内容;
权限控制单元,用于根据查找到的权限内容,判断所述访问请求是否合法;如果是,则控制所述NFS客户端访问所述目标文件;否则,显示无权访问所述目标文件的提示信息。
上述系统中,优选的,还包括:
对应关系建立单元,用于在所述参考预设的网络组与权限内容的对应关系,查找与所述所属网络组相对应的权限内容之前,获取权限管理员为每个所述网络组配置的权限内容,建立所述网络组与权限内容的对应关系;其中,每个所述网络组包括主机名、用户名和域名。
上述系统中,优选的,所述对应关系建立单元具体用于利用NIS服务器或LDAP服务器建立所述网络组与权限内容的对应关系,并将所述网络组与权限内容的对应关系以映射文件形式存至所述NIS服务器或所述LDAP服务器。
上述系统中,优选的,所述权限内容查找单元包括:
提取子单元,用于从所述NIS服务器或所述LDAP服务器中获取所述映射文件,并从所述映射文件中提取所述网络组与权限内容的对应关系;
查找子单元,用于参考提取的所述网络组与权限内容的对应关系,查找与所述发起访问的客户端主机所属的网络组相对应的权限内容。
上述系统中,优选的,所述网络组确定单元具体用于:
判断是否存在所述客户端主机名对应的网络组;当存在所述客户端主机名对应的网络组时,将其作为所述客户端的所属网络组,如果不存在,则判断是否存在所述客户端用户名对应的网络组;当存在所述客户端用户名对应的网络组时,将其作为所述客户端的所属网络组,如果不存在,则判断是否存在所述客户端所属域名对应的网络组;当存在所述客户端所属域名对应的网络组时,将其作为所述客户端的所属网络组。
以上本发明提供的一种网络文件系统的访问权限控制方法及系统中,NFS服务器接收来自NFS客户端的针对目标文件的访问请求,所述访问请求携带客户端主机名、客户端用户名以及客户端所属域名;根据所述客户端主机名或所述客户端用户名或所述客户端所属域名确定所述客户端的所属网络组;参考预设的网络组与权限内容的对应关系,查找与所述所属网络组相对应的权限内容;根据查找到的权限内容,判断所述访问请求是否合法;如果是,则控制所述NFS客户端访问所述目标文件;否则,显示无权访问所述目标文件的提示信息。
可见,本发明中,管理员对一个网络组的权限内容进行配置即是对这个网络组中所有主机名、用户名和域名的权限内容进行批量配置,实现了减少权限管理员的工作量,进而提高工作效率的目的,同时也丰富了权限管理功能的设置方式。
同时,管理员只需将NFS客户端所对应的主机名、用户名和域名中任意一个或者多个纳入相应的网络组,即能实现对NFS客户端的访问权限进行控制,以此,丰富了权限管理功能的设置方式,丰富了对网络文件系统中内容的共享,而且可以对NFS客户端对NFS服务器中目标文件的访问达到更加准确和细腻的控制,极大的增强了NFS在集群工作中的应用性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种网络文件系统的访问权限控制方法的流程图;
图2为本发明实施例提供的一种网络文件系统的访问权限控制系统的结构框图示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的核心是提供一种网络文件系统的访问权限控制方法及系统,以实现减少权限管理员的工作量,进而提高工作效率的目的。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。
参考图1,图1示出了本发明实施例提供的一种网络文件系统的访问权限控制方法的流程图,该方法具体可以包括如下步骤:
步骤S100、接收来自NFS客户端的针对目标文件的访问请求。
本发明实施例方法的执行主体为网络文件系统的访问权限控制系统,在具体实施过程中,该系统可以以软件的形式运行在NFS服务器上。以下以NFS服务器为执行主体来对本发明方案进行描述,以增加方案的场景代入感,有助于本领域技术人员理解本发明所提供的技术方案。如上现有技术,现有技术中,NFS的权限控制主要是集中在主机名、网络IP、网络IP段(通过掩码的方式)的权限控制,而NFS针对网络组的权限控制还不明确。
对此,本发明填补了NFS对网络组控制的空缺,具体地:
每个网络组包括主机名、用户名和域名,可以说,网络组是不同主机名、不同用户名和不同域名的集合,每个网络组中的所有成员对NFS服务器的访问权限时一样的。对于网络组这样一个集合,如果将主机名、用户名和域名看作里面不同类型的成员的话,那么,实际上,每个网络组只要至少包含两种类型的成员即可,并不是严格限定为上述三种成员,本领域技术人员可根据实际情况进行相适应的设置。以下以每个网络组包含主机名、用户名和域名三种类型成员为例进行说明。
在实际应用中,管理员可以先将访问权限一样的不同的主机名、用户名和域名划分成一个网络组,即以网络组为单位来进行管理;简单来说,我们可以把网络组看成一个班级,主机名、用户名和域名便是班级里的学生。当要给一批主机名、用户名和域名分配同一个权限时,就可以将这些主机名、用户名和域名都归到一个网络组中,只要给这个组分配此权限,组内的所有成员就都会拥有此权限。就好像一个班级发了一个通知,班级内的所有学生都会收到这个通知一样,网络组是为了方便管理用户的权限而设计的。
本发明中,基于上述管理员对网络组的权限的管理方案,在具体实施过程中,NFS服务器可以先获取权限管理员为每个网络组配置的权限内容,然后建立网络组与权限内容的对应关系,以便后续需要时使用。
进一步地,本发明可以支持外部NIS/LADP服务器的认证方式,可以更加方便和准确的实现网络文件系统中内容的共享。具体地,可以利用NIS(NetworkInformationService)服务器或LDAP(LightweightDirectoryAccessProtocol)服务器建立网络组与权限内容的对应关系,并将网络组与权限内容的对应关系以映射文件形式存至NIS服务器或LDAP服务器。
本发明中,可以理解的是NFS客户端向NFS服务器发送的访问请求可以携带客户端主机名、客户端用户名以及客户端所属域名,这些都是NFS客户端自身的参数。
可见,在本发明中,管理员对一个网络组的权限内容进行配置即是对这个网络组中所有成员的权限内容进行批量配置,实现了减少权限管理员的工作量,进而提高工作效率的目的。
步骤S101、根据客户端主机名或客户端用户名或客户端所属域名确定客户端的所属网络组。
根据上述描述我们知道,每个网络组包括主机名、用户名和域名,管理员在授权时是对整个网络组进行授权。可以理解的是,在被授权的网络组中,所有成员对NFS服务器的访问权限一致。也就是说,对于同一NFS客户端而言,其所对应的对NFS服务器的访问权限通常是固定的,也就是说,同一NFS客户端所对应的主机名、用户名和域名中任意一个所在的网络组所对应的权限内容均是一致的。
本发明中,考虑到管理员只需将NFS客户端所对应的主机名、用户名和域名中任意一个或者多个纳入相应的网络组,即能实现对NFS客户端的访问权限进行控制。也就是说,这些成员(主机名、用户名和域名)并不一定都是对于同一NFS客户端匹配存在的,其中,对于同一NFS客户端匹配存在指的是某NFS客户端所对应的主机名、用户名和域名三者都在某个网络组中。
基于上述分析,在管理员管理网络组进行授权的时候,可能只将某NFS客户端的客户端主机名纳入了网络组,而没有将用户名和域名纳入网络组,或者其他情况。但是,只要通过NFS客户端发送访问请求中的的客户端主机名、客户端用户名和客户端所属域名中的任意一个查找到其所对应的网络组,既能确定这个NFS客户端是否有权利访问NFS服务器中的目标文件。
对此,本发明给出了以下确定客户端的所属网络组的顺序:
(1)判断是否存在客户端主机名对应的网络组;
(2)当存在客户端主机名对应的网络组时,将其作为客户端的所属网络组,如果不存在,则判断是否存在客户端用户名对应的网络组;
(3)当存在客户端用户名对应的网络组时,将其作为客户端的所属网络组,如果不存在,则判断是否存在客户端所属域名对应的网络组;
(4)当存在客户端所属域名对应的网络组时,将其作为客户端的所属网络组。
当然,以上顺序仅仅是举个例子,在实际应用中,本领域技术人员可根据实际情况进行相适应的调整。
步骤S102、参考预设的网络组与权限内容的对应关系,查找与所属网络组相对应的权限内容。
具体地,从NIS服务器或LDAP服务器中获取映射文件,并从映射文件中提取网络组与权限内容的对应关系;参考提取的网络组与权限内容的对应关系,查找与发起访问的客户端主机所属的网络组相对应的权限内容。
步骤S103、根据查找到的权限内容,判断访问请求是否合法;如果是,则进入步骤S104;否则,进入步骤S105。
步骤S104、控制NFS客户端访问目标文件。
具体地,控制发起访问的客户端主机访问NFS服务器中相应的目标文件。
步骤S105、显示无权访问目标文件的提示信息。
综上,在本发明中,管理员对一个网络组的权限内容进行配置即是对这个网络组中所有成员的权限内容进行批量配置,实现了减少权限管理员的工作量,进而提高工作效率的目的。
同时,管理员只需将NFS客户端所对应的主机名、用户名和域名中任意一个或者多个纳入相应的网络组,即能实现对NFS客户端的访问权限进行控制,以此,丰富了权限管理功能的设置方式,丰富了对网络文件系统中内容的共享,而且可以对NFS客户端对NFS服务器中目标文件的访问达到更加准确和细腻的控制,极大的增强了NFS在集群工作中的应用性。
基于上述本发明实施例所公开的技术方案,在本发明另一实施例中,在实际应用中,本发明所讨论的硬件环境是处在集群环境中,因此,在集群环境搭建完成后,修改NFS配置文件,为NFS服务器添加CLIENT块,对不同网络组的权限进行配置。在客户端上配置NIS服务或LDAP服务,并在/etc下创建netgroup文件,然后利用NIS或LDAP生成netgroup的映射文件,从而实现NFS对网络组中所设置的用户的权限控制。
NIS/LDAP服务器:负责由网络组文件生成网络组映射文件(包括组名、主机名、用户名、域名),供NFS服务器查看。这里只是生成映射文件,没有权限控制。实际的权限控制的NFS服务端的Client块中设置。
本发明所提出的网络文件系统的访问权限控制方法分别支持外部NIS/LDAP服务器认证,下面分为两部分来讲。需要说明的是,下面涉及到的具体代码和参数仅仅只是举例说明,并不严格局限于此:
一、NIS服务器认证方式:
1、配置NIS服务器
2、配置网络组文件
首先,在NISServer端建立文件/etc/netgroup,其中netgroup文件编写如下:
网络组名(主机名,用户名,域名)
例如:nihao(example,example,hello)
3、生成映射文件
首先,修改/var/yp/Makefile文件,在第一行尾部添加netgrp,比如:
然后,执行/usr/lib64/yp/ypinit-m
直接按下ctrl+d即可,在执行过程中出现如下字样说明配置正确:
Weneedafewminutestobuildthedatabases...
Building/var/yp/tianxia/ypservers...
Running/var/yp/Makefile...
gmake[1]:Enteringdirectory`/var/yp/tianxia′
Updatingpasswd.byname...
Updatingpasswd.byuid...
Updatinggroup.byname...
Updatinggroup.bygid...
Updatinghosts.byname...
Updatinghosts.byaddr...
Updatingrpc.byname...
Updatingrpc.bynumber...
Updatingservices.byname...
Updatingservices.byservicename...
Updatingnetid.byname...
Updatingprotocols.bynumber...
Updatingprotocols.byname...
Updatingmail.aliases...
Updatingnetgroup...
Updatingnetgroup.byhost...
Updatingnetgroup.byuser...
gmake[1]:Leavingdirectory`/var/yp/tianxia′
其中,出现如上述倒数第四行至倒数第二行显示的Updatingnetgroup、Updatingnetgroup.byhost、Updatingnetgroup.byuser等字段,说明配置生效。
4、在NISserver上启动NIS服务
5、在NIS客户端添加NIS认证
6、NFS是通过innetgr函数来读NIS数据库文件,函数原型如下:
intinnetgr(constchar*netgroup,constchar*host,
constchar*user,constchar*domain);
7、在NFS服务器的配置文件中添加CLIENT块,例如
8、启动NFS服务,并在客户端进行挂载,即可实现对网络组权限的控制。
二、LDAP服务器认证方式
1、配置LDAP服务器,并启动。
2、配置网络组文件
首先,在NISServer端建立文件/etc/netgroup,其中,netgroup文件编写如下:
网络组名(主机名,用户名,域名)
例如:nihao(example,example,hello)
3、首先生成根
1)修改migrate_common.ph文件
将$DEFAULT_BASE=”dc=padl,dc=com”修改为配置ldap时设置的域,这里为$DEFAULT_BASE=”dc=example,dc=com”
2)创建根
./migrate_base.pl>base.ldif
3)将根文件添加到ldap数据库中
ldap–x–D“cn=admin,dc=example,dc=com”–wsecret–fbase.ldif添加根完成。
3、添加网络组到LDAP数据库
cat/etc/netgroup>netgroup.tmp
./migrate_netgroup.plnetgroup.tmp>netgroup.ldif
ldap–x–D“cn=admin,dc=example,dc=com”–wsecret–fnetgroup.ldif
基于上述本发明实施例提供的网络文件系统的访问权限控制方法,本发明实施例还提供了一种网络文件系统的访问权限控制系统,参考图2,该系统200可以包括如下内容:
接收单元201,用于接收来自NFS客户端的针对目标文件的访问请求,访问请求携带客户端主机名、客户端用户名以及客户端所属域名;
网络组确定单元202,用于根据客户端主机名或客户端用户名或客户端所属域名确定客户端的所属网络组;
权限内容查找单元203,用于参考预设的网络组与权限内容的对应关系,查找与所属网络组相对应的权限内容;
权限控制单元204,用于根据查找到的权限内容,判断访问请求是否合法;如果是,则控制NFS客户端访问目标文件;否则,显示无权访问目标文件的提示信息。
本发明中,上述系统200具体还可以包括:对应关系建立单元,用于在参考预设的网络组与权限内容的对应关系,查找与所属网络组相对应的权限内容之前,获取权限管理员为每个网络组配置的权限内容,建立网络组与权限内容的对应关系;其中,每个网络组包括主机名、用户名和域名。
本发明中,上述对应关系建立单元具体用于利用NIS服务器或LDAP服务器建立网络组与权限内容的对应关系,并将网络组与权限内容的对应关系以映射文件形式存至NIS服务器或LDAP服务器。
本发明中,上述权限内容查找单元203具体可以包括以下内容:
提取子单元,用于从NIS服务器或LDAP服务器中获取映射文件,并从映射文件中提取网络组与权限内容的对应关系;
查找子单元,用于参考提取的网络组与权限内容的对应关系,查找与发起访问的客户端主机所属的网络组相对应的权限内容。
本发明中,上述网络组确定单元202具体可以用于:判断是否存在客户端主机名对应的网络组;当存在客户端主机名对应的网络组时,将其作为客户端的所属网络组,如果不存在,则判断是否存在客户端用户名对应的网络组;当存在客户端用户名对应的网络组时,将其作为客户端的所属网络组,如果不存在,则判断是否存在客户端所属域名对应的网络组;当存在客户端所属域名对应的网络组时,将其作为客户端的所属网络组。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于系统类实施例而言,由于其与方法实施例基本相似,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
以上对本发明所提供的一种网络文件系统的访问权限控制方法及系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (10)

1.一种网络文件系统的访问权限控制方法,其特征在于,应用于NFS服务器,该方法包括:
接收来自NFS客户端的针对目标文件的访问请求,所述访问请求携带客户端主机名、客户端用户名以及客户端所属域名;
根据所述客户端主机名或所述客户端用户名或所述客户端所属域名确定所述客户端的所属网络组;
参考预设的网络组与权限内容的对应关系,查找与所述所属网络组相对应的权限内容;
根据查找到的权限内容,判断所述访问请求是否合法;如果是,则控制所述NFS客户端访问所述目标文件;否则,显示无权访问所述目标文件的提示信息。
2.如权利要求1所述的方法,其特征在于,在所述参考预设的网络组与权限内容的对应关系,查找与所述所属网络组相对应的权限内容之前,还包括:
获取权限管理员为每个所述网络组配置的权限内容,建立所述网络组与权限内容的对应关系;其中,每个所述网络组包括主机名、用户名和域名。
3.如权利要求2所述的方法,其特征在于,所述获取权限管理员为每个所述网络组配置的权限内容,建立所述网络组与权限内容的对应关系,包括:
利用NIS服务器或LDAP服务器建立所述网络组与权限内容的对应关系,并将所述网络组与权限内容的对应关系以映射文件形式存至所述NIS服务器或所述LDAP服务器。
4.如权利要求3所述的方法,其特征在于,所述参考预设的网络组与权限内容的对应关系,查找与所述所属网络组相对应的权限内容,包括:
从所述NIS服务器或所述LDAP服务器中获取所述映射文件,并从所述映射文件中提取所述网络组与权限内容的对应关系;
参考提取的所述网络组与权限内容的对应关系,查找与所述所属网络组相对应的权限内容。
5.如权利要求1至4任意一项所述的方法,其特征在于,所述根据所述客户端主机名或所述客户端用户名或所述客户端所属域名确定所述客户端的所属网络组,包括:
判断是否存在所述客户端主机名对应的网络组;
当存在所述客户端主机名对应的网络组时,将其作为所述客户端的所属网络组,如果不存在,则判断是否存在所述客户端用户名对应的网络组;
当存在所述客户端用户名对应的网络组时,将其作为所述客户端的所属网络组,如果不存在,则判断是否存在所述客户端所属域名对应的网络组;
当存在所述客户端所属域名对应的网络组时,将其作为所述客户端的所属网络组。
6.一种网络文件系统的访问权限控制系统,其特征在于,应用于NFS服务器,该系统包括:
接收单元,用于接收来自NFS客户端的针对目标文件的访问请求,所述访问请求携带客户端主机名、客户端用户名以及客户端所属域名;
网络组确定单元,用于根据所述客户端主机名或所述客户端用户名或所述客户端所属域名确定所述客户端的所属网络组;
权限内容查找单元,用于参考预设的网络组与权限内容的对应关系,查找与所述所属网络组相对应的权限内容;
权限控制单元,用于根据查找到的权限内容,判断所述访问请求是否合法;如果是,则控制所述NFS客户端访问所述目标文件;否则,显示无权访问所述目标文件的提示信息。
7.如权利要求6所述的系统,其特征在于,还包括:
对应关系建立单元,用于在所述参考预设的网络组与权限内容的对应关系,查找与所述所属网络组相对应的权限内容之前,获取权限管理员为每个所述网络组配置的权限内容,建立所述网络组与权限内容的对应关系;其中,每个所述网络组包括主机名、用户名和域名。
8.如权利要求7所述的系统,其特征在于,所述对应关系建立单元具体用于利用NIS服务器或LDAP服务器建立所述网络组与权限内容的对应关系,并将所述网络组与权限内容的对应关系以映射文件形式存至所述NIS服务器或所述LDAP服务器。
9.如权利要求8所述的系统,其特征在于,所述权限内容查找单元包括:
提取子单元,用于从所述NIS服务器或所述LDAP服务器中获取所述映射文件,并从所述映射文件中提取所述网络组与权限内容的对应关系;
查找子单元,用于参考提取的所述网络组与权限内容的对应关系,查找与所述发起访问的客户端主机所属的网络组相对应的权限内容。
10.如权利要求6至9任意一项所述的系统,其特征在于,所述网络组确定单元具体用于:
判断是否存在所述客户端主机名对应的网络组;当存在所述客户端主机名对应的网络组时,将其作为所述客户端的所属网络组,如果不存在,则判断是否存在所述客户端用户名对应的网络组;当存在所述客户端用户名对应的网络组时,将其作为所述客户端的所属网络组,如果不存在,则判断是否存在所述客户端所属域名对应的网络组;当存在所述客户端所属域名对应的网络组时,将其作为所述客户端的所属网络组。
CN201610202393.3A 2016-04-01 2016-04-01 一种网络文件系统的访问权限控制方法及系统 Pending CN105656949A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610202393.3A CN105656949A (zh) 2016-04-01 2016-04-01 一种网络文件系统的访问权限控制方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610202393.3A CN105656949A (zh) 2016-04-01 2016-04-01 一种网络文件系统的访问权限控制方法及系统

Publications (1)

Publication Number Publication Date
CN105656949A true CN105656949A (zh) 2016-06-08

Family

ID=56497073

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610202393.3A Pending CN105656949A (zh) 2016-04-01 2016-04-01 一种网络文件系统的访问权限控制方法及系统

Country Status (1)

Country Link
CN (1) CN105656949A (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106778327A (zh) * 2016-11-28 2017-05-31 龙存(苏州)科技有限公司 一种分布式文件系统的安全认证方法
CN108322421A (zh) * 2017-01-16 2018-07-24 医渡云(北京)技术有限公司 计算机系统安全管理方法及装置
CN108833369A (zh) * 2018-05-28 2018-11-16 郑州云海信息技术有限公司 一种访问文件系统的方法、装置及设备
CN109347822A (zh) * 2018-10-16 2019-02-15 杭州迪普科技股份有限公司 一种用户访问未授权资源的提示方法及装置
CN109643356A (zh) * 2016-08-08 2019-04-16 株式会社树软件 阻止网络钓鱼或勒索软件攻击的方法和系统
CN110647510A (zh) * 2019-09-04 2020-01-03 苏州浪潮智能科技有限公司 一种用户名标识映射方法、系统、服务器及计算机介质
CN110888853A (zh) * 2019-11-26 2020-03-17 廊坊新奥燃气有限公司 资料管理系统及方法
CN111400355A (zh) * 2020-03-24 2020-07-10 网易(杭州)网络有限公司 一种数据查询方法及装置
CN112003830A (zh) * 2020-07-29 2020-11-27 苏州浪潮智能科技有限公司 一种集群文件系统权限控制方法及装置
CN114461571A (zh) * 2021-12-24 2022-05-10 天翼云科技有限公司 一种基于网络文件系统的配额方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030081784A1 (en) * 2001-10-31 2003-05-01 Mahesh Kallahalla System for optimized key management with file groups
CN101103354A (zh) * 2004-11-29 2008-01-09 诺基亚公司 基于对共享式数据的访问权限来提供服务
CN102341809A (zh) * 2009-03-12 2012-02-01 国际商业机器公司 分布式文件系统访问
US20140082508A1 (en) * 2009-10-26 2014-03-20 Netapp, Inc. Simplified and unified management for network-attached storage
CN103841113A (zh) * 2014-03-20 2014-06-04 武汉理工大学 一种基于用户模式文件系统的安全网络文件系统
CN104980401A (zh) * 2014-04-09 2015-10-14 北京亿赛通科技发展有限责任公司 Nas服务器数据安全存储系统、安全存储及读取方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030081784A1 (en) * 2001-10-31 2003-05-01 Mahesh Kallahalla System for optimized key management with file groups
CN101103354A (zh) * 2004-11-29 2008-01-09 诺基亚公司 基于对共享式数据的访问权限来提供服务
CN102341809A (zh) * 2009-03-12 2012-02-01 国际商业机器公司 分布式文件系统访问
US20140082508A1 (en) * 2009-10-26 2014-03-20 Netapp, Inc. Simplified and unified management for network-attached storage
CN103841113A (zh) * 2014-03-20 2014-06-04 武汉理工大学 一种基于用户模式文件系统的安全网络文件系统
CN104980401A (zh) * 2014-04-09 2015-10-14 北京亿赛通科技发展有限责任公司 Nas服务器数据安全存储系统、安全存储及读取方法

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109643356A (zh) * 2016-08-08 2019-04-16 株式会社树软件 阻止网络钓鱼或勒索软件攻击的方法和系统
CN109643356B (zh) * 2016-08-08 2022-11-01 株式会社树软件 阻止网络钓鱼或勒索软件攻击的方法和系统
CN106778327A (zh) * 2016-11-28 2017-05-31 龙存(苏州)科技有限公司 一种分布式文件系统的安全认证方法
CN108322421A (zh) * 2017-01-16 2018-07-24 医渡云(北京)技术有限公司 计算机系统安全管理方法及装置
CN108833369A (zh) * 2018-05-28 2018-11-16 郑州云海信息技术有限公司 一种访问文件系统的方法、装置及设备
CN109347822A (zh) * 2018-10-16 2019-02-15 杭州迪普科技股份有限公司 一种用户访问未授权资源的提示方法及装置
CN110647510A (zh) * 2019-09-04 2020-01-03 苏州浪潮智能科技有限公司 一种用户名标识映射方法、系统、服务器及计算机介质
CN110888853A (zh) * 2019-11-26 2020-03-17 廊坊新奥燃气有限公司 资料管理系统及方法
CN111400355A (zh) * 2020-03-24 2020-07-10 网易(杭州)网络有限公司 一种数据查询方法及装置
CN111400355B (zh) * 2020-03-24 2024-01-30 网易(杭州)网络有限公司 一种数据查询方法及装置
CN112003830A (zh) * 2020-07-29 2020-11-27 苏州浪潮智能科技有限公司 一种集群文件系统权限控制方法及装置
CN114461571A (zh) * 2021-12-24 2022-05-10 天翼云科技有限公司 一种基于网络文件系统的配额方法及装置

Similar Documents

Publication Publication Date Title
CN105656949A (zh) 一种网络文件系统的访问权限控制方法及系统
US11695744B2 (en) Using credentials stored in different directories to access a common endpoint
US10652235B1 (en) Assigning policies for accessing multiple computing resource services
US9596233B1 (en) Management and authentication in hosted directory service
CN105072135B (zh) 一种云文件共享的授权鉴权方法及系统
US11856046B2 (en) Endpoint URL generation and management
CN101971184B (zh) 根据标准协议opc ua通信且具有用于认证的单点登录机制的客户端/服务器系统及在这样的系统中实施单点登录的方法
WO2015090116A1 (zh) 一种登录方法和桌面管理设备
TWI652585B (zh) 遠端查詢訊息的方法及伺服器
EP2715971B1 (en) Automating cloud service reconnections
Basney et al. CILogon: A federated X. 509 certification authority for cyberinfrastructure logon
CN106612290A (zh) 一种面向系统集成的跨域单点登录方法
US8117254B2 (en) User name mapping in a heterogeneous network
CN101179387A (zh) 基于数字证书和多级域下的统一身份管理和认证方法
JP2020177537A (ja) 認証認可サーバー、クライアント、サービス提供システム、アクセス管理方法とプログラム
CN103078877A (zh) 基于dns的用户认证和域名访问控制方法及系统
US8745175B2 (en) Automatic application provisioning
CN103997479A (zh) 一种非对称服务ip代理方法和设备
EP2668580A1 (en) A system and method for accessing a service
CN105262800A (zh) 一种应用于集群nas文件系统的权限控制方法及系统
CN102299945A (zh) 网关配置页面登录方法、系统及门户认证服务器
JP2001265216A (ja) 公開鍵証明書の掲載方法および公開鍵証明書の掲載装置
US8028072B2 (en) Method, apparatus and computer program product implementing session-specific URLs and resources
CN107018140B (zh) 一种权限控制方法和系统
JP2003162449A (ja) アクセス統合管理システム、アクセス統合管理装置及び方法並びにプログラム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20160608