CN109740367A - 一种文件系统访问控制列表的映射方法 - Google Patents
一种文件系统访问控制列表的映射方法 Download PDFInfo
- Publication number
- CN109740367A CN109740367A CN201910016943.6A CN201910016943A CN109740367A CN 109740367 A CN109740367 A CN 109740367A CN 201910016943 A CN201910016943 A CN 201910016943A CN 109740367 A CN109740367 A CN 109740367A
- Authority
- CN
- China
- Prior art keywords
- control list
- client
- accesses control
- file system
- format
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 238000013507 mapping Methods 0.000 title claims abstract description 48
- 230000004044 response Effects 0.000 claims abstract description 16
- 238000006243 chemical reaction Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 6
- 230000000694 effects Effects 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 3
- 230000006872 improvement Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000000149 penetrating effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
Landscapes
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种文件系统访问控制列表的映射方法,应用于文件服务器,能响应客户端对文件系统中目标节点的操作请求,获取客户端的访问控制列表,判断该客户端的访问控制列表与自身的访问控制列表的格式是否相同,若不同则将客户端的访问控制列表的格式转换为自身的访问控制列表的格式,得到目标访问控制列表,以便于通过查询目标访问控制列表判断该客户端是否有权限执行所述操作请求。可见,该方法实现了在客户端发起操作请求的时候,对访问控制列表的格式进行统一的目的,避免了造成无法访问的问题,提高了文件服务器的场景适应性。此外,本发明还提供了一种文件系统访问控制列表的映射装置、文件服务器及存储系统,其作用与上述方法相对应。
Description
技术领域
本发明涉及存储领域,特别涉及一种文件系统访问控制列表的映射方法、装置、文件服务器及存储系统。
背景技术
Linux系统中用户对文件的操作权限有r(读),w(写),x(可执行)三种,而对linux下的文件或目录而言,用户身份分为:所有者,所属组,其它人,且文件的所有者,所属组都只能是一个,所以在对文件分配用户的使用权限时,只能对这三种身份进行分配rwx权限。
随着NFS-Ganesha网络文件系统客户端的增加,用户对文件访问的权限控制的粒度需求逐渐增多,目前,NFS-Ganesha用户态网络文件系统V4协议版本并不支持POSIX ACL标准访问控制列表,NFS内核态V4协议版本提供了NFSv4ACL,它是一种更细粒度的权限控制列表草案,然而,当服务器端和客户端应用不同格式的ACL,会造成无法正常访问的问题。
发明内容
本发明的目的是提供一种文件系统访问控制列表的映射方法、装置、文件服务器及存储系统,用以解决当服务器端和客户端应用不同格式的ACL,会造成无法正常访问的问题。
为解决上述技术问题,本发明提供了一种文件系统访问控制列表的映射方法,应用于文件服务器,所述方法包括:
响应于客户端对文件系统中目标节点的操作请求,获取所述客户端的访问控制列表;
判断所述客户端的访问控制列表与自身的访问控制列表的格式是否相同;
若不相同,则将所述客户端的访问控制列表的格式转换为自身的访问控制列表的格式,得到目标访问控制列表,以便于通过查询所述目标访问控制列表判断所述客户端是否有权限执行所述操作请求。
可选的,所述响应于客户端对文件系统中目标节点的操作请求,获取所述客户端的访问控制列表,包括:
响应于客户端对文件系统中目标文件或目标目录的操作请求,获取所述客户端的访问控制列表。
可选的,在所述将所述客户端的访问控制列表的格式转换为自身的访问控制列表的格式,得到目标访问控制列表之后,还包括:
对所述目标访问控制列表进行存储,并存储所述目标访问控制列表与所述客户端之间的对应关系。
可选的,所述访问控制列表的格式包括:POSIX ACL和/或NFSv4ACL。
相应的,本发明还提供了一种文件系统访问控制列表的映射装置,应用于文件服务器,所述装置包括:
获取模块:用于响应于客户端对文件系统中目标节点的操作请求,获取所述客户端的访问控制列表;
判断模块:用于判断所述客户端的访问控制列表与自身的访问控制列表的格式是否相同;
转换模块:用于若不相同,则将所述客户端的访问控制列表的格式转换为自身的访问控制列表的格式,得到目标访问控制列表,以便于通过查询所述目标访问控制列表判断所述客户端是否有权限执行所述操作请求。
可选的,获取模块具体用于:
响应于客户端对文件系统中目标文件或目标目录的操作请求,获取所述客户端的访问控制列表。
可选的,所述装置还包括:
存储模块:用于对所述目标访问控制列表进行存储,并存储所述目标访问控制列表与所述客户端之间的对应关系。
可选的,所述访问控制列表的格式包括:POSIX ACL和/或NFSv4ACL。
此外,本发明还提供了一种文件服务器,包括:
存储器:用于存储计算机程序;
处理器:用于执行所述计算机程序,以实现如上所述的一种文件系统访问控制列表的映射方法的步骤。
最后,本发明还提供了一种存储系统,包括多个客户端,还包括如上所述的一种文件服务器。
本发明所提供的一种文件系统访问控制列表的映射方法,应用于文件服务器,该方法包括:响应于客户端对文件系统中目标节点的操作请求,获取客户端的访问控制列表,然后判断该客户端的访问控制列表与自身的访问控制列表的格式是否相同,并在不相同的时候,将客户端的访问控制列表的格式转换为自身的访问控制列表的格式,得到目标访问控制列表,以便于通过查询目标访问控制列表判断该客户端是否有权限执行所述操作请求。可见,该方法实现了在客户端发起操作请求的时候,对访问控制列表的格式进行统一的目的,避免了造成无法访问的问题,提高了文件服务器的场景适应性。
此外,本发明还提供了一种文件系统访问控制列表的映射装置、文件服务器及存储系统,其作用与上述方法相对应,这里不再赘述。
附图说明
为了更清楚的说明本发明实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所提供的一种文件系统访问控制列表的映射方法实施例一的实现流程图;
图2为本发明所提供的一种文件系统访问控制列表的映射方法实施例二的用户标识符映射关系示意图;
图3为本发明所提供的一种文件系统访问控制列表的映射方法实施例二的用户标识符映射流程示意图;
图4为本发明所提供的一种文件系统访问控制列表的映射方法实施例二的权限位的映射关系示意图;
图5为本发明提供的一种文件系统访问控制列表的映射装置实施例的功能框图;
图6为本发明所提供的一种文件服务器实施例的结构示意图;
图7为本发明所提供的一种存储系统实施例的结构示意图。
具体实施方式
本发明的核心是提供一种文件系统访问控制列表的映射方法、装置、文件服务器及存储系统,实现了在客户端发起操作请求的时候,对访问控制列表的格式进行统一的目的,避免了造成无法访问的问题,提高了文件服务器的场景适应性。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面对本发明提供的一种文件系统访问控制列表的映射方法实施例一进行介绍,实施例一应用于文件服务器,参见图1,实施例一包括:
步骤S101:响应于客户端对文件系统中目标节点的操作请求,获取所述客户端的访问控制列表。
文件系统是操作系统用于明确磁盘或分区上的文件的方法和数据结构,一般情况下,文件系统的组织结构为一个树状结构,其中每一个节点为一个文件或是一个目录,文件系统中的文件或目录都可能作为被访问的对象,因此,上述目标节点为某文件或某个目录。
访问控制列表(Access Control List,简称ACL)中包含了某个节点的权限信息,访问控制列表是用于指定文件系统对象的细粒度访问权限的列表,ACL包括一个或多个访问控制项ACE(Access Control Entries),每个访问控制项指定一个用户或一个用户组对某个节点的权限信息。在访问目标节点之前,先要查询该目标节点的访问控制列表,判断客户端或者用户是否有权限对目标节点进行访问。
步骤S102:判断所述客户端的访问控制列表与自身的访问控制列表的格式是否相同。
上述访问控制列表的格式包括:POSIX ACL和/或NFSv4ACL。其中,POSIX ACL,全称POSIX Access Control List,是指可移植操作系统的标准访问控制列表;NFSv4ACL,全称NFSv4Access Control List,是指网络文件系统的NFSv4版本权限控制列表。由于NFSv4ACL网络文件系统v4协议版本的权限控制列表草案与POSIX ACL标准权限控制列表草案对权限控制的粒度不同,属于两种不同权限控制列表草案,考虑到POSIX ACL在其他文件系统,诸如虚拟文件系统、分布式文件系统等应用十分广泛、具有较好的兼容性,与此同时,POSIXACL也作为Linux系统中标准的权限控制列表草案进行使用,NFSv4ACL仅是网络文件系统的一部分,仅支持NFS v4协议版本与其他文件系统兼容性差,NFSv4ACL与POSIX ACL之间的映射是一项重要技术。
步骤S103:若不相同,则将所述客户端的访问控制列表的格式转换为自身的访问控制列表的格式,得到目标访问控制列表,以便于通过查询所述目标访问控制列表判断所述客户端是否有权限执行所述操作请求。
在转换完成之后,可以对所述目标访问控制列表进行存储,并存储所述目标访问控制列表与所述客户端之间的对应关系。
本实施例所提供一种文件系统访问控制列表的映射方法,应用于文件服务器,该方法包括:响应于客户端对文件系统中目标节点的操作请求,获取客户端的访问控制列表,然后判断该客户端的访问控制列表与自身的访问控制列表的格式是否相同,并在不相同的时候,将客户端的访问控制列表的格式转换为自身的访问控制列表的格式,得到目标访问控制列表,以便于通过查询目标访问控制列表判断该客户端是否有权限执行所述操作请求。可见,该方法实现了在客户端发起操作请求的时候,对访问控制列表的格式进行统一的目的,避免了造成无法访问的问题,提高了文件服务器的场景适应性。
下面开始详细介绍本发明提供的一种文件系统访问控制列表的映射方法实施例二,实施例二详尽描述了访问控制列表的转换过程,具体的,实施例二主要描述了NFSv4ACL和POSIX ACL之间的互相映射过程,用以解决现有技术中NFS-Ganesha用户态网络文件系统v4协议版本不支持POSIX ACL标准权限控制列表草案的问题。
如上所述,ACL包括一个或多个ACE,ACE用于指定一个用户或一个用户组对某个节点的权限信息,一般情况下,如表1所示,ACE包含三种参数,分别为:ACE属性,用于说明本项规则的基础是什么,例如用户、用户所述的组等等;访问者的ID,例如当属性为“用户”时,这就是用户标识信息,当属性为“组”时,这就是访问者所属的组号;访问权限,当访问者的身份等特征与前两个字段相符时,允许对本ACL所属目标文件的访问(操作)种类,一般包括读、写、执行,也可以包括例如删除、改名等等操作。这个字段通常是个位图。除“允许操作”位图外,有些ACL还可能使用“禁止操作”位图。
表1
| ACE所包含的参数 | 参数含义 |
| ACE属性 | 该ACE针对的是用户还是用户组 |
| 访问者的ID | 访问者的个人ID或组号 |
| 访问权限 | 读、写、可执行等权限 |
由于NFSv4ACL比POSIX ACL权限控制粒度更精细,因此,可以将POSIX ACL映射到具有几乎相同语义的NFSv4ACL,然而将NFSv4ACL映射到具有相同语义的POSIX ACL非常复杂,需要指定NFSv4ACL的某些权限标志位映射到POSIX ACL。下面分别就这两个映射过程进行介绍:
第一方面,将POSIX ACL映射为NFSv4ACL,首先介绍用户标识符的映射过程,参见图2,图2展示了POSIX ACL与NFSV4ACL用户标示映射对应关系,下面对用户标识符的映射过程进行描述,如图3所示,该过程包括:
步骤S200:接收将POSIX ACL映射为NFSv4ACL的转换指令。
在接收到客户端发送的对文件系统中的目标节点的操作请求之后,获取该客户端的ACL,若判定客户端的ACL为POSIX ACL,而服务器的ACL为NFSv4ACL,则生成上述转换指令,触发将POSIX ACL映射为NFSv4ACL的操作。
步骤S201:将POSIX ACL中的ACL_USER额外用户的权限ACE的用户标识符UID转换为username。
步骤S202:将POSIX ACL中的ACL_GROUP额外用户组的权限ACE的用户标识符GID转换为groupname。
步骤S203:将POSIX ACL中ACL_USER_OBJ文件属主的权限ACE的用户标识符owner转换为“OWNER@”。
步骤S204:将POSIX ACL中ACL_GROUP_OBJ文件属组的权限ACE的用户标识符group转换为“GROUP@”。
步骤S205:将POSIX ACL中ACL_OTHER其他组的权限ACE的用户标识符other转换为“EVERYONE@”。
如表2所示,ACL_USER定义了额外的用户可以对此文件拥有的权限;ACL_GROUP定义了额外的组可以对此文件拥有的权限;ACL_USER_OBJ相当于Linux里file_owner的权限;ACL_GROUP_OBJ相当于Linux里group的权限;ACL_OTHER:相当于Linux里other的权限。
需要说明的是,本实施例不限定上述用户标识符的转换顺序,也就是上述步骤S201到步骤S205之间的先后顺序。
表2
然后,将给定POSIX ACL中的每个POSIX ACE(除了掩码ACE)映射到NFSv4权限允许的ACE,并根据POSIX ACE上的权限位确定NFSv4ACE的位掩码,根据如图4所示的POSIX ACL与NFSV4ACL权限映射对应关系,具体实施过程如下:
步骤S301:如果在POSIX ACE中设置了读权限位read bit,则在NFSv4ACE中ACE4_GENERIC_READ设置ACE4_READ_DATA。
步骤S302:如果在POSIX ACE中设置了写权限位write bit,则在NFSv4ACE中ACE4_GENERIC_WRITE设置ACE4_WRITE_DATA和ACE4_APPEND_DATA,需要说明的是,如果携带ACL的对象是目录,也要设置ACE4_DELETE_CHILD。
步骤S303:如果在POSIX ACE中设置了可执行权限位execute bit,则在NFSv4ACE中ACE4_GENERIC_EXECUTE设置ACE4_EXECUTE。
步骤S304:无条件的设置NFSv4ACE中的ACE4_READ_ACL,ACE4_READ_ATTRIBUTES和ACE4_SYNCHRONIZE。
步骤S305:如果ACE用于特殊的“OWNER@”实体,则设置ACE4_WRITE_ACL和ACE4_WRITE_ATTRIBUTES。
步骤S306:清除NFSv4权限位掩码中的所有其他位。
进一步,在每个ACE中设置GROUP标志,该标志对应于命名的用户组(但不在GROUP@ACE或任何其他特殊实体ACE中)。此时,我们已经用具有相同数量的ACE的NFSv4ACL替换了POSIX ACL。
第二方面,将NFSv4ACL映射为POSIX ACL,假设NFS网络文件系统的客户端提供的是NFSv4ACL权限控制列表,将其映射到其文件系统中的POSIX ACL,针对目录文件,我们将其分成两个ACL,一个是有效特性,一个是具有继承特性的,分类依据为:
没有继承标志的ACE放在有效的ACL中;设置了FILE_INHERIT和DIRECTORY_INHERIT的ACE将被置于有效和继承的ACL中;所有设置为FILE_INHERIT,DIRECTORY_INHERIT和INHERIT_ONLY的ACE仅存放在继承的ACL中。
此外,需要说明的是,继承标志的其他组合可以被拒绝或修改为上述之一,然后在每个ACL上执行以下步骤,首先,计算OTHER模式如下:
步骤S401:将bitmasks的other_allow和other_deny初始化为零。
步骤S402:对于ACL中的每个ACE,从顶部开始,如果ACE不是EVERYONE@ACE,请忽略它并转到下一个ACE。
步骤S403:如果ACE是EVERYONE@ALLOW ACE,则添加到other_allow此ACE中设置的任何位,但未在other_deny中设置。
步骤S404:如果ACE是EVERYONE@DENY ACE,则添加到other_deny此ACE中设置的任何位,但未在other_allow中设置。
进一步,计算计算GROUP_OBJ和GROUP掩码,包括以下步骤:
步骤S501:将每个GROUP掩码和每个GROUP_OBJ掩码中的允许和拒绝位掩码初始化为0。
步骤S502:对于ACL中的每个ACE,从顶部开始,如果ACE是OWNER@或用户ACE,请忽略它并移动到下一个ACE。
步骤S503:如果ACE是EVERYONE@ALLOW ACE,那么,对于每个GROUP或GROUP_OBJ设置允许掩码,设置EVERYONE中允许的位数ACE但不在此GROUP或GROUP_OBJ的拒绝掩码中。
步骤S504:如果ACE是EVERYONE@DENY ACE,那么,对于每个GROUP或GROUP_OBJ设置拒绝掩码,设置EVERYONE ACE中拒绝的位。
步骤S505:如果ACE是GROUP或GROUP@ALLOW ACE,则设置允许相应GROUP或GROUP_OBJ中的位允许掩码。
步骤S506:如果ACE是GROUP或GROUP@DENY ACE,则设置拒绝相应GROUP或GROUP_OBJ中的位拒绝掩码。
重复以上步骤,可以看到NFSv4ACL生成的映射产生唯一的POSIX ACL。
可见,本实施例提供的一种文件系统访问控制列表的映射方法,提出一种POSIXACL与NFSv4ACL之间相互映射的方法,解决了现有技术中NFS-Ganesha用户态网络文件系统v4协议版本不支持POSIX ACL标准权限控制列表草案的问题,还解决了NFS-Ganesha用户态网络文件系统v4协议版本与其他文件系统,诸如虚拟文件系统、分布式文件系统权限控制兼容性问题。
下面对本发明实施例提供的一种文件系统访问控制列表的映射装置进行介绍,下文描述的一种文件系统访问控制列表的映射装置与上文描述的一种文件系统访问控制列表的映射方法可相互对应参照。
如图5所示,该装置实施例包括:
获取模块501:用于响应于客户端对文件系统中目标节点的操作请求,获取所述客户端的访问控制列表。
判断模块502:用于判断所述客户端的访问控制列表与自身的访问控制列表的格式是否相同。
转换模块503:用于若不相同,则将所述客户端的访问控制列表的格式转换为自身的访问控制列表的格式,得到目标访问控制列表,以便于通过查询所述目标访问控制列表判断所述客户端是否有权限执行所述操作请求。
作为一种可选的实施方式,获取模块501具体用于:响应于客户端对文件系统中目标文件或目标目录的操作请求,获取所述客户端的访问控制列表。
作为一种可选的实施方式,所述装置还包括:
存储模块504:用于对所述目标访问控制列表进行存储,并存储所述目标访问控制列表与所述客户端之间的对应关系。
作为一种可选的实施方式,所述访问控制列表的格式包括:POSIX ACL和/或NFSv4ACL。
本实施例的一种文件系统访问控制列表的映射装置用于实现前述的一种文件系统访问控制列表的映射方法,因此该装置中的具体实施方式可见前文中的一种文件系统访问控制列表的映射方法的实施例部分,例如,获取模块501、判断模块502、转换模块503,分别用于实现上述一种文件系统访问控制列表的映射方法中步骤S101,S102,S103。所以,其具体实施方式可以参照相应的各个部分实施例的描述,在此不再展开介绍。
另外,由于本实施例的一种文件系统访问控制列表的映射装置用于实现前述的一种文件系统访问控制列表的映射方法,因此其作用与上述方法的作用相对应,这里不再赘述。
此外,本发明还提供了一种文件服务器实施例,如图6所示,该文件服务器包括:
存储器601:用于存储计算机程序;
处理器602:用于执行所述计算机程序,以实现如上所述的一种文件系统访问控制列表的映射方法的步骤。
最后,本发明还提供了一种存储系统实施例,如图7所示,该系统实施例包括多个客户端701,还包括如上所述的一种文件服务器702。
本实施例的一种文件服务器、及一种存储系统均用于实现前述的一种文件系统访问控制列表的映射方法,因此该文件服务器、存储系统的具体实施方式可见前文中的一种文件系统访问控制列表的映射方法的实施例部分,且二者的作用与上述方法实施例相对应,这里不再赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的一种文件系统访问控制列表的映射方法、装置、文件服务器以及存储系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (10)
1.一种文件系统访问控制列表的映射方法,其特征在于,应用于文件服务器,所述方法包括:
响应于客户端对文件系统中目标节点的操作请求,获取所述客户端的访问控制列表;
判断所述客户端的访问控制列表与自身的访问控制列表的格式是否相同;
若不相同,则将所述客户端的访问控制列表的格式转换为自身的访问控制列表的格式,得到目标访问控制列表,以便于通过查询所述目标访问控制列表判断所述客户端是否有权限执行所述操作请求。
2.如权利要求1所述的方法,其特征在于,所述响应于客户端对文件系统中目标节点的操作请求,获取所述客户端的访问控制列表,包括:
响应于客户端对文件系统中目标文件或目标目录的操作请求,获取所述客户端的访问控制列表。
3.如权利要求2所述的方法,其特征在于,在所述将所述客户端的访问控制列表的格式转换为自身的访问控制列表的格式,得到目标访问控制列表之后,还包括:
对所述目标访问控制列表进行存储,并存储所述目标访问控制列表与所述客户端之间的对应关系。
4.如权利要求1-3任意一项所述的方法,其特征在于,所述访问控制列表的格式包括:POSIX ACL和/或NFSv4 ACL。
5.一种文件系统访问控制列表的映射装置,其特征在于,应用于文件服务器,所述装置包括:
获取模块:用于响应于客户端对文件系统中目标节点的操作请求,获取所述客户端的访问控制列表;
判断模块:用于判断所述客户端的访问控制列表与自身的访问控制列表的格式是否相同;
转换模块:用于若不相同,则将所述客户端的访问控制列表的格式转换为自身的访问控制列表的格式,得到目标访问控制列表,以便于通过查询所述目标访问控制列表判断所述客户端是否有权限执行所述操作请求。
6.如权利要求5所述的装置,其特征在于,获取模块具体用于:
响应于客户端对文件系统中目标文件或目标目录的操作请求,获取所述客户端的访问控制列表。
7.如权利要求6所述的装置,其特征在于,所述装置还包括:
存储模块:用于对所述目标访问控制列表进行存储,并存储所述目标访问控制列表与所述客户端之间的对应关系。
8.如权利要求5-7任意一项所述的装置,其特征在于,所述访问控制列表的格式包括:POSIX ACL和/或NFSv4 ACL。
9.一种文件服务器,其特征在于,包括:
存储器:用于存储计算机程序;
处理器:用于执行所述计算机程序,以实现如权利要求1-4任意一项所述的一种文件系统访问控制列表的映射方法的步骤。
10.一种存储系统,其特征在于,包括多个客户端,还包括如权利要求9所述的一种文件服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910016943.6A CN109740367A (zh) | 2019-01-08 | 2019-01-08 | 一种文件系统访问控制列表的映射方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910016943.6A CN109740367A (zh) | 2019-01-08 | 2019-01-08 | 一种文件系统访问控制列表的映射方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109740367A true CN109740367A (zh) | 2019-05-10 |
Family
ID=66363935
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910016943.6A Withdrawn CN109740367A (zh) | 2019-01-08 | 2019-01-08 | 一种文件系统访问控制列表的映射方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109740367A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110647510A (zh) * | 2019-09-04 | 2020-01-03 | 苏州浪潮智能科技有限公司 | 一种用户名标识映射方法、系统、服务器及计算机介质 |
| CN110704868A (zh) * | 2019-09-06 | 2020-01-17 | 苏州浪潮智能科技有限公司 | NFSv4的访问控制列表修正方法、装置、设备及介质 |
| CN110941599A (zh) * | 2019-11-12 | 2020-03-31 | 浪潮电子信息产业股份有限公司 | 一种权限控制方法、装置及电子设备和存储介质 |
| CN111191265A (zh) * | 2019-12-31 | 2020-05-22 | 苏州浪潮智能科技有限公司 | 一种基于分布式NFS-Ganesha V4 ACL的权限控制方法及装置 |
| CN111259426A (zh) * | 2020-01-20 | 2020-06-09 | 苏州浪潮智能科技有限公司 | 一种基于网络文件系统的acl用户映射方法与系统 |
| CN112351062A (zh) * | 2020-09-04 | 2021-02-09 | 苏州浪潮智能科技有限公司 | 一种文件权限控制列表管理方法及相关组件 |
| CN112445764A (zh) * | 2020-11-27 | 2021-03-05 | 北京五一视界数字孪生科技股份有限公司 | 文件操作的方法、装置、存储介质及电子设备 |
| CN114021089A (zh) * | 2021-09-29 | 2022-02-08 | 苏州浪潮智能科技有限公司 | 一种目录访问控制方法、装置、设备及可读存储介质 |
| CN114285839A (zh) * | 2021-12-23 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种文件传输方法、装置、计算机存储介质和电子设备 |
-
2019
- 2019-01-08 CN CN201910016943.6A patent/CN109740367A/zh not_active Withdrawn
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110647510A (zh) * | 2019-09-04 | 2020-01-03 | 苏州浪潮智能科技有限公司 | 一种用户名标识映射方法、系统、服务器及计算机介质 |
| CN110704868A (zh) * | 2019-09-06 | 2020-01-17 | 苏州浪潮智能科技有限公司 | NFSv4的访问控制列表修正方法、装置、设备及介质 |
| CN110941599A (zh) * | 2019-11-12 | 2020-03-31 | 浪潮电子信息产业股份有限公司 | 一种权限控制方法、装置及电子设备和存储介质 |
| CN111191265A (zh) * | 2019-12-31 | 2020-05-22 | 苏州浪潮智能科技有限公司 | 一种基于分布式NFS-Ganesha V4 ACL的权限控制方法及装置 |
| CN111191265B (zh) * | 2019-12-31 | 2022-07-08 | 苏州浪潮智能科技有限公司 | 一种基于分布式NFS-Ganesha V4 ACL的权限控制方法及装置 |
| CN111259426A (zh) * | 2020-01-20 | 2020-06-09 | 苏州浪潮智能科技有限公司 | 一种基于网络文件系统的acl用户映射方法与系统 |
| CN111259426B (zh) * | 2020-01-20 | 2022-07-12 | 苏州浪潮智能科技有限公司 | 一种基于网络文件系统的acl用户映射方法与系统 |
| CN112351062B (zh) * | 2020-09-04 | 2022-06-17 | 苏州浪潮智能科技有限公司 | 一种文件权限控制列表管理方法及相关组件 |
| CN112351062A (zh) * | 2020-09-04 | 2021-02-09 | 苏州浪潮智能科技有限公司 | 一种文件权限控制列表管理方法及相关组件 |
| CN112445764A (zh) * | 2020-11-27 | 2021-03-05 | 北京五一视界数字孪生科技股份有限公司 | 文件操作的方法、装置、存储介质及电子设备 |
| CN112445764B (zh) * | 2020-11-27 | 2024-05-31 | 北京五一视界数字孪生科技股份有限公司 | 文件操作的方法、装置、存储介质及电子设备 |
| CN114021089A (zh) * | 2021-09-29 | 2022-02-08 | 苏州浪潮智能科技有限公司 | 一种目录访问控制方法、装置、设备及可读存储介质 |
| CN114285839A (zh) * | 2021-12-23 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种文件传输方法、装置、计算机存储介质和电子设备 |
| CN114285839B (zh) * | 2021-12-23 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种文件传输方法、装置、计算机存储介质和电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109740367A (zh) | 一种文件系统访问控制列表的映射方法 | |
| US8850041B2 (en) | Role based delegated administration model | |
| US7783737B2 (en) | System and method for managing supply of digital content | |
| US8843648B2 (en) | External access and partner delegation | |
| CN107688753A (zh) | 一种acl权限控制的方法与装置 | |
| US10404708B2 (en) | System for secure file access | |
| RU2598324C2 (ru) | Средства управления доступом к онлайновой службе с использованием внемасштабных признаков каталога | |
| US8555403B1 (en) | Privileged access to managed content | |
| US8689289B2 (en) | Global object access auditing | |
| US20140289829A1 (en) | Computer account management system and realizing method thereof | |
| US20090300710A1 (en) | Universal serial bus (usb) storage device and access control method thereof | |
| US20150006581A1 (en) | Method for a Storage Device Accessing a File and Storage Device | |
| US20120131646A1 (en) | Role-based access control limited by application and hostname | |
| EP2437199B1 (en) | A method, an apparatus, a computer system, a security component and a computer readable medium for defining access rights in metadata-based file arrangement | |
| JPH08161215A (ja) | ファイル管理システム | |
| US20030041154A1 (en) | System and method for controlling UNIX group access using LDAP | |
| TWI665557B (zh) | 共享記憶體控制器、共享記憶體模組及記憶體共享系統 | |
| JP6578356B2 (ja) | 固定された数の値を含む階層的に組織されたドメインに対して規定された属性を有するオブジェクトに対するアクセス制御 | |
| EP3292472A1 (en) | Memory access control method and system | |
| US20020184516A1 (en) | Virtual object access control mediator | |
| CN113946837A (zh) | 数据访问和数据访问权限的配置方法、设备、存储介质 | |
| CN109032799A (zh) | 存储资源管理方法、装置、设备及可读存储介质 | |
| CN108804936A (zh) | 一种基于分布式存储系统acl的权限管理方法及系统 | |
| US9116911B2 (en) | Remote file sharing based on content filtering | |
| CN107547520B (zh) | Flask安全模块的构建方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190510 |