CN110399736A - 一种分布式文件系统权限管理方法及相关组件 - Google Patents
一种分布式文件系统权限管理方法及相关组件 Download PDFInfo
- Publication number
- CN110399736A CN110399736A CN201910578057.2A CN201910578057A CN110399736A CN 110399736 A CN110399736 A CN 110399736A CN 201910578057 A CN201910578057 A CN 201910578057A CN 110399736 A CN110399736 A CN 110399736A
- Authority
- CN
- China
- Prior art keywords
- information
- client
- authority
- setting
- file system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 107
- 238000012795 verification Methods 0.000 claims abstract description 60
- 238000000034 method Methods 0.000 claims abstract description 48
- 238000007493 shaping process Methods 0.000 claims description 24
- 230000009471 action Effects 0.000 claims description 19
- 230000000977 initiatory effect Effects 0.000 claims description 19
- 230000007246 mechanism Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 8
- 230000009466 transformation Effects 0.000 claims description 5
- 230000006399 behavior Effects 0.000 claims description 4
- 230000009286 beneficial effect Effects 0.000 abstract description 3
- 230000008569 process Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000001276 controlling effect Effects 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 235000013399 edible fruits Nutrition 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000005034 decoration Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
本发明公开了一种分布式文件系统权限管理方法,该方法提出了以IP地址为基础的权限管理模式,预置以客户端IP为基础的文件操作权限信息,当接收到文件操作请求时,根据预置的以客户端IP为基础的文件操作权限信息对文件操作请求进行权限验证,生成权限验证结果;若权限验证结果显示文件操作请求合法,执行文件操作请求对应的操作。以IP为基础的权限控制可以满足客户以客户端为基础的多样化权限控制需求,保证了用户操作可以在安全的环境中实现,满足高可靠权限控制需求,实现了高效文件管理。本发明还提供了一种分布式文件系统权限管理装置、设备及一种可读存储介质,具有上述有益效果。
Description
技术领域
本发明涉及分布式文件系统管理领域,特别涉及一种分布式文件系统权限管理方法、装置、设备及一种可读存储介质。
背景技术
目前分布式文件系统权限管理以用户/用户组为基础,即根据用户输入的访问用户信息确定该用户下的文件操作请求,但是由于客户场景的复杂度越来越高,以用户、用户组为基础的权限控制已经不能满足客户的需求,比如允许合法用户在任意设备上进行文件操作对文件存在安全威胁,容易导致文件在非法设备上被非法窃取;用户在进行文件操作时需要手动输入用户名以及用户密码,较为繁琐,用户体验较差等。
因此,如何满足高可靠权限控制需求,实现高效文件管理,是本领域技术人员需要解决的技术问题。
发明内容
本发明的目的是提供一种分布式文件系统权限管理方法,该方法可以满足高可靠权限控制需求,实现高效文件管理;本发明的另一目的是提供一种分布式文件系统权限管理装置、设备及一种可读存储介质,具有上述有益效果。
为解决上述技术问题,本发明提供一种分布式文件系统权限管理方法,包括:
当接收到文件操作请求时,获取请求发起端信息;其中,所述请求发起端信息包括:请求操作信息以及发起端IP;
确定IP权限信息中所述发起端IP匹配的权限信息,得到目标权限信息;其中,所述IP权限信息为预置的以客户端IP为基础的文件操作权限信息;
根据所述目标权限信息对所述请求操作信息进行操作权限验证,生成权限验证结果;
若所述权限验证结果显示所述文件操作请求合法,执行所述文件操作请求对应的操作。
可选地,在获取请求发起端信息之前,还包括:
确定当前权限管理机制;
若所述当前权限管理机制为IP权限管理,则执行所述获取请求发起端信息的步骤;
若所述当前权限管理机制为用户/用户组权限管理,调用用户/用户组权限管理规则进行文件操作权限管理。
可选地,在根据所述目标权限信息对所述请求操作信息进行操作权限验证之前,还包括:
判断所述发起端IP是否为超级IP;其中,所述超级IP为预置管理员IP;
若是,执行所述文件操作请求对应的操作;
若否,则执行根据所述目标权限信息对所述请求操作信息进行操作权限验证的步骤。
可选地,所述IP权限信息的设置方法,包括:
当接收到IP权限信息设置请求时,对设置请求发起端进行安全性验证;
当所述安全性验证通过后,调用mds进行ACL条目设置。
可选地,调用mds进行ACL条目设置,包括:
将各客户端IP根据预设整形转化规则转化为整形地址,得到客户端整形IP;
将所述客户端整形IP作为客户端IP进行ACL条目设置。
可选地,对设置请求发起端进行安全性验证,包括:
判断所述设置请求发起端是否为预置管理客户端;
若是,判定所述安全性验证通过;
若否,判定安全性验证未通过,并返回客户端无设置权限的提示信息。
可选地,在调用mds进行ACL条目设置之前,还包括:
当所述安全性验证通过后,判断IP权限设置条数是否超过管理阈值;
若是,返回设置条数过多的提示信息;
若否,则执行所述调用mds进行ACL条目设置的步骤。
本发明公开一种分布式文件系统权限管理装置,包括:
信息获取单元,用于当接收到文件操作请求时,获取请求发起端信息;其中,所述请求发起端信息包括:请求操作信息以及发起端IP;
IP权限确定单元,用于确定IP权限信息中所述发起端IP匹配的权限信息,得到目标权限信息;其中,所述IP权限信息为预置的以客户端IP为基础的文件操作权限信息;
IP权限验证单元,用于根据所述目标权限信息对所述请求操作信息进行操作权限验证,生成权限验证结果;
操作执行单元,用于若所述权限验证结果显示所述文件操作请求合法,执行所述文件操作请求对应的操作。
本发明公开一种分布式文件系统权限管理设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现所述的分布式文件系统权限管理方法的步骤。
本发明公开一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被所述处理器执行时实现所述的分布式文件系统权限管理方法的步骤。
本发明所提供的分布式文件系统权限管理方法,提出了以IP地址为基础的权限管理模式,预置以客户端IP为基础的文件操作权限信息,当接收到文件操作请求时,根据预置的以客户端IP为基础的文件操作权限信息对文件操作请求进行权限验证,生成权限验证结果;若权限验证结果显示文件操作请求合法,执行文件操作请求对应的操作。以IP为基础的权限控制可以满足客户以客户端为基础的多样化权限控制需求,保证了用户操作可以在安全的环境中实现,满足高可靠权限控制需求,实现了高效文件管理。
本发明还提供了一种分布式文件系统权限管理装置、设备及一种可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种分布式文件系统权限管理方法的流程图;
图2为本发明实施例提供的一种校验流程的示意图;
图3为本发明实施例提供的一种设置方法流程图;
图4为本发明实施例提供的一种分布式文件系统权限管理装置的结构框图;
图5为本发明实施例提供的一种分布式文件系统权限管理设备结构示意图。
具体实施方式
本发明的核心是提供一种分布式文件系统权限管理方法,该方法可以保证删除业务正常执行的同时减轻元数据服务的压力;本发明的另一核心是提供一种分布式文件系统权限管理装置、设备及一种可读存储介质。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请以linux文件系统下POSIX ACL权限管理为基础,提出了一种以IP为基础的权限管理方法,可以给用户提供多种权限控制功能选项,满足多元化设置需求。
实施例一:
请参考图1,图1为本实施例提供的分布式文件系统权限管理方法的流程图;该方法主要包括以下步骤:
步骤s110:当接收到文件操作请求时,获取请求发起端信息。
其中,请求发起端信息包括:请求操作信息以及发起端IP,例如当接收到文件操作请求时,获取请求发起端的IP:192.168.0.1、请求操作的文件:文件1、以及对该文件的具体操作类型:读取。
获取发起端信息的过程为后台自动进行信息提取的过程,期间无需用户填充信息,简化了用户端流程,提升了用户体验。
步骤s120:确定IP权限信息中发起端IP匹配的权限信息,得到目标权限信息。
IP权限信息指预置的以客户端IP为基础的文件操作权限信息,预置以客户端IP为基础的文件操作权限信息即IP ACL,具体的IP ACL设置过程可以参见相关技术中关于以用户/用户组权限设置过程中的用户权限信息设置过程,可以仅将其中的用户/用户组权限替换为IP权限,当然,也可以基于用户权限设置方法采取其它IP权限信息设置,在此不做赘述。
预置的IP权限信息中包括若干IP对应的操作权限信息,如下表1所示为一种IP权限信息示意,需要从中挑选出当前发起文件操作请求的客户端对应的操作权限信息。
表1
基于IP进行权限验证,可以避免由客户端不合法对系统信息带来的安全威胁,将系统信息限制于若干台信任的客户端进行集中管控,也可以大大降低安全管控成本,同时保证信息的安全性。
步骤s130:根据目标权限信息对请求操作信息进行操作权限验证,生成权限验证结果。
当获取到发起端IP对应的预置权限信息后,根据该权限信息对当前请求操作行为进行权限验证,仍以上表1所示的权限信息为例,若当前发起端IP为192.168.0.101,请求操作信息为:读取文件2,则将该操作信息与该IP对应的预置权限信息中文件2对应的权限信息(文件2:不可读)进行验证,生成“验证失败”的权限验证结果,显示当前请求操作无权限。
具体的根据匹配的权限信息对请求操作进行权限验证的过程可以参照相关技术中以用户/用户组为基础的权限验证过程,在此不再赘述。
步骤s140:若权限验证结果显示文件操作请求合法,执行文件操作请求对应的操作。
若权限验证结果显示文件操作请求不合法,可以直接返回“无权限”提示信息,本实施例对该种情况下的处理方式不做限定。
基于上述介绍,本发明实施例公开的分布式文件系统权限管理方法,提出了以IP地址为基础的权限管理模式,预置以客户端IP为基础的文件操作权限信息,当接收到文件操作请求时,根据预置的以客户端IP为基础的文件操作权限信息对文件操作请求进行权限验证,生成权限验证结果;若权限验证结果显示文件操作请求合法,执行文件操作请求对应的操作。以IP为基础的权限控制可以满足客户以客户端为基础的多样化权限控制需求,保证了用户操作可以在安全的环境中实现,满足高可靠权限控制需求,实现了高效文件管理。
实施例二:
上述实施例提供了一种IP权限管理方案,由于某些情况下可能仍需要以用户/用户组进行权限管理,为全面满足不同用户在不同应用场景下的不同权限管理需求,优选地,可以同时设置两种权限管理方式,在获取请求发起端信息之前,进一步确定当前权限管理机制;若当前权限管理机制为IP权限管理,则执行上述实施例中获取请求发起端信息的步骤;若当前权限管理机制为用户/用户组权限管理,调用用户/用户组权限管理规则进行文件操作权限管理。IP权限管理可以参见上述实施例中的介绍,用户/用户组权限管理可以参见相关技术中的介绍,在此不再赘述。
通过在IP权限管理的基础上兼容传统用户/用户组权限管理,可以满足多样化权限控制需求,提升用户体验。
当然,也可以仅设置IP权限管理以增加管理的可靠性,本实施例中对此不做限定。
实施例三:
上述实施例中可能需要对用户发起的各操作请求进行权限验证以保证各操作的合法性,为保证信息安全性的同时简化权限验证步骤,出于不同用户种类的考虑可以预先设置IP类型:普通IP(即按照上述流程进行各操作验证)、超级IP(即管理员IP,可以不受限制的进行各种操作)。相应地,在根据目标权限信息对请求操作信息进行操作权限验证之前,具体可以参照以下步骤:
判断发起端IP是否为超级IP;
若是,执行文件操作请求对应的操作;
若否,则执行根据目标权限信息对请求操作信息进行操作权限验证的步骤。
通过进一步对IP种类进行判定,根据不同的IP种类进行不同的权限验证策略,不仅保证了信息的安全性,同时简化了超级IP操作权限验证流程,降低了资源利用。
实施例四:
上述实施例中对于IP权限信息的设置方法不做限定,本实施例中具体提供一种IP权限信息的设置机制,可以基于本实施例中的流程进行IP权限的设置。具体地,包括以下流程:
1、当接收到IP权限信息设置请求时,对设置请求发起端进行安全性验证;
其中,设置请求可以为新增请求以及调整请求;新增请求指添加新的IP对应的权限信息,调整请求指对已添加的IP对应的权限信息进行增删改等。
2、当安全性验证通过后,调用mds进行ACL条目设置。
本实施例中调用mds进行ACL条目设置,ACL功能主要是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户所能具备的访问权限,本实施例中调用mds进行按传统方式ACL设置减少了基于传统用户/用户组权限管理的变动,从而增加了兼容性。
其中,由于IP地址较为复杂,为避免管理过程产生的资源浪费,优选地,可以将各IP转换成对应的整形方便存储和处理,例如将192.168.0.100转化为对应的整形数据等,则具体地,调用mds进行ACL条目设置的过程可以包括以下步骤:
1、将各客户端IP根据预设整形转化规则转化为整形地址,得到客户端整形IP;
2、将客户端整形IP作为客户端IP存储于ACL条目中。
本实施例中对具体采用的整形转化规则不做限定,可以如上述所示直接删除各IP中相同部分,也可以进一步对差异IP部分进行处理等,可以根据需要设定相应的转化算法,本实施例中对此不再赘述。
另外,基于上述设置流程,为避免非法人员任意进行IP权限的设置,影响系统安全性以及运行稳定性,在进行设置前需要对设置请求发起端进行安全性验证,本实施例中对具体采取的验证手段不做限定,比如可以进行用户名以及密码的校验、也可以通过对发起请求的客户端进行验证等。其中,为简化用户侧流程,优选地,可以通过判断设置请求发起端是否为预置管理客户端;若是,判定安全性验证通过;若否,判定安全性验证未通过,并返回客户端无设置权限的提示信息。通过自动获取设置请求端的IP进行判断,用户侧无需输入任何信息,可以在保证设置安全性的同时实现自动化验证。
另外,由于可能会存在批量导入大量ACL条目的情况,该种情况下对于ACL条目的设置可能会占用不少的系统资源,为避免ACL条目设置占用过多系统资源导致影响系统其它流程的正常运行,优选地,可以在调用mds进行ACL条目设置之前,当安全性验证通过后,进一步判断IP权限设置条数是否超过管理阈值;若是,返回设置条数过多的提示信息;若否,则执行调用mds进行ACL条目设置的步骤。通过对同时间段内ACL设置条目进行限制,实现方式较为简单,且可以有效实现对资源的控制,保证系统的良好有序运行。本实施例中仅以通过设置条目为条件进行资源控制为例,其它资源控制手段均可参照本实施例的介绍,在此不再赘述。
实施例五:
上述实施例中对IP权限信息的设置方法以及IP权限信息的存储形式不做限定,本实施例提供一种基于Posix acl条目进行IP权限设置的过程,具体请参见下述介绍:
IP ACL采用命令setxacl(用于修改文件权限位),设置时将IP ACL数据存放在xattr(xattr扩展函数,用于支持‘扩展属性的文件系统’)属性中。setxacl–m i:IP地址:权限文件/目录,采用新的i参数设置针对某个IP的权限,复用原有的gid/uid(GID为GroupId,即组ID,用于标识用户组的唯一标识;UID为UserId,即用户ID,用于标识每个用户的唯一标示符),然后把IP地址转化成对应的整形进行存储(比如将192.168.0.100转换成整形100以方便存储和处理)。
另外,设置MON IP,MON(Monitor)的IP称为超级IP,其权限相当于用户、用户组ACL中的root用户,只有超级IP才能对文件和目录设置IP ACL,其他IP都不能设置。当开启IPACL校验时用户、用户组ACL不再生效,以IP权限为准。
设置后Posix acl中一条ACL条目包括e_tag(用户或用户组等)、e_perm(具体的权限包括rwx)、e_id(用户或用户组的id号)。同时包括用户或用户组的权限信息,也包括IP权限信息,可以在实现IP权限控制的同时兼容用户/用户组权限控制,满足用户多元化权限管理需求。
对基于上述IP权限信息设置方法生成的IP权限信息进行信息查询时可以沿用传统方法中ACL的流程。具体的进行操作校验的流程可以如下所示:
对unlink、create等校验want权限;
判断Client_ip_acl开关是否打开?
若未打开,调用用户/用户组权限进行权限管理;
若已打开,检查当前访问的IP是否为超级IP?
若是,直接返回超级IP对应的校验结果;
若不是,查找对应的IP权限信息并返回对应的验证结果。
图2所示为本实施例提供的上述校验流程的示意图,可参照上述步骤对照查看。
在此对基于上述权限管理方法下的IP ACL权限设置机制进行介绍,图3为该设置方法对应的流程示意图,请对照以下流程介绍:
1、通过fuse_default_permissions为真,则直接执行4;否则,执行下一步。
2、检查设置对象是否超过500条ACL用户?
3、若未超过,校验调用该IP是否有权限设置扩展属性xattr?
4、若具有,查看是否开启ACL属性,若client_acl_type==“posix_acl”,则ACL开启,执行下一步;否则,直接返回-EOPNOTSUPP。
5、若已开启,向mds发请求,设置IP权限。
基于上述IP权限信息设置方法,当需要添加新成员,在IP ACL中,e_tag增加ACL_IP成员,可以按照下述代码对进行设置:
本实施例提供的IP权限控制主要包括如下几个方面:一:在原有的posix acl e_tag条目中增加ACL_IP成员;二:复用原有的gid/uid,把IP地址转化成对应的整形进行存储;三:以IP地址为基础的权限设置、校验、查询逻辑。该权限控制策略复用原有的gid/uid,并通过IP地址转化成对应的整形进行存储等管理方式,形成了以IP地址为基础的权限管理模式,增加权限管理功能的选择性,可以满足用户多元化权限管理的需求。
实施例六:
请参考图4,图4为本实施例提供的分布式文件系统权限管理装置的结构框图;该装置主要包括:信息获取单元210、IP权限确定单元220、IP权限验证单元230以及操作执行单元240。本实施例提供的分布式文件系统权限管理装置可与上述分布式文件系统权限管理方法相互对照。
其中,信息获取单元210主要用于当接收到文件操作请求时,获取请求发起端信息;其中,请求发起端信息包括:请求操作信息以及发起端IP;
IP权限确定单元220主要用于确定IP权限信息中发起端IP匹配的权限信息,得到目标权限信息;其中,IP权限信息为预置的以客户端IP为基础的文件操作权限信息;
IP权限验证单元230主要用于根据目标权限信息对请求操作信息进行操作权限验证,生成权限验证结果;
操作执行单元240主要用于若权限验证结果显示文件操作请求合法,执行文件操作请求对应的操作。
可选地,本实施例提供的分布式文件系统权限管理装置中可以进一步包括管理机制确定单元,管理机制确定单元的输出端与信息获取单元以及用户权限管理单元连接,用于确定当前权限管理机制;若当前权限管理机制为IP权限管理,则控制信息获取单元执行获取请求发起端信息;若当前权限管理机制为用户/用户组权限管理,控制用户权限管理单元调用用户/用户组权限管理规则进行文件操作权限管理。
可选地,本实施例提供的分布式文件系统权限管理装置中可以进一步包括IP类型确定单元,IP类型确定单元的输入端与信息获取单元的输出端连接,输出端与IP权限确定单元以及操作执行单元的输入端连接,主要用于判断发起端IP是否为超级IP;其中,超级IP为预置管理员IP;若是,控制IP权限确定单元执行文件操作请求对应的操作;若否,则控制操作执行单元执行根据目标权限信息对请求操作信息进行操作权限验证的步骤。
可选地,本实施例提供的分布式文件系统权限管理装置中IP权限信息设置单元具体可以包括:
验证子单元,用于当接收到IP权限信息设置请求时,对设置请求发起端进行安全性验证;
ACL设置子单元,用于当安全性验证通过后,调用mds进行ACL条目设置。
可选地,ACL设置子单元中具体可以包括:
整形转化子单元,用于将各客户端IP根据预设整形转化规则转化为整形地址,得到客户端整形IP;
整形设置子单元,用于将客户端整形IP作为客户端IP进行ACL条目设置。
可选地,验证子单元具体可以用于判断设置请求发起端是否为预置管理客户端;若是,判定安全性验证通过;若否,判定安全性验证未通过,并返回客户端无设置权限的提示信息。
可选地,本实施例提供的IP权限信息设置单元中可以进一步包括资源限制单元,资源限制单元与ACL设置子单元连接,主要用于当安全性验证通过后,判断IP权限设置条数是否超过管理阈值;若是,返回设置条数过多的提示信息;若否,则控制ACL设置子单元执行调用mds进行ACL条目设置的步骤。
本实施例提供的分布式文件系统权限管理装置可以满足高可靠权限控制需求,实现高效文件管理。
实施例七:
下面对本申请提供的分布式文件系统权限管理设备进行介绍,具体对分布式文件系统权限管理设备的介绍可参照上述分布式文件系统权限管理方法的步骤,该设备主要包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现分布式文件系统权限管理方法的步骤。
请参考图5,本申请实施例提供的分布式文件系统权限管理设备的结构示意图,该分布式文件系统权限管理设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在分布式文件系统权限管理设备301上执行存储介质330中的一系列指令操作。
分布式文件系统权限管理设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上面图1所描述的分布式文件系统权限管理方法中的步骤可以由分布式文件系统权限管理设备的结构实现。
实施例八:
下面对本申请实施例提供的可读存储介质进行介绍,下文描述的可读存储介质与上文描述的分布式文件系统权限管理方法可相互对应参照。
本申请公开的一种可读存储介质,其上存储有程序,程序被处理器执行时实现分布式文件系统权限管理方法的步骤。
该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置,设备,存储介质和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,系统,存储介质和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个移动终端中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该产品存储在一个存储介质中,包括若干指令用以使得一台移动终端(可以是手机,或者平板电脑等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、终端或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的分布式文件系统权限管理方法、装置、设备及可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
Claims (10)
1.一种分布式文件系统权限管理方法,其特征在于,包括:
当接收到文件操作请求时,获取请求发起端信息;其中,所述请求发起端信息包括:请求操作信息以及发起端IP;
确定IP权限信息中所述发起端IP匹配的权限信息,得到目标权限信息;其中,所述IP权限信息为预置的以客户端IP为基础的文件操作权限信息;
根据所述目标权限信息对所述请求操作信息进行操作权限验证,生成权限验证结果;
若所述权限验证结果显示所述文件操作请求合法,执行所述文件操作请求对应的操作。
2.如权利要求1所示的分布式文件系统权限管理方法,其特征在于,在获取请求发起端信息之前,还包括:
确定当前权限管理机制;
若所述当前权限管理机制为IP权限管理,则执行所述获取请求发起端信息的步骤;
若所述当前权限管理机制为用户/用户组权限管理,调用用户/用户组权限管理规则进行文件操作权限管理。
3.如权利要求1所示的分布式文件系统权限管理方法,其特征在于,在根据所述目标权限信息对所述请求操作信息进行操作权限验证之前,还包括:
判断所述发起端IP是否为超级IP;其中,所述超级IP为预置管理员IP;
若是,执行所述文件操作请求对应的操作;
若否,则执行根据所述目标权限信息对所述请求操作信息进行操作权限验证的步骤。
4.如权利要求1所示的分布式文件系统权限管理方法,其特征在于,所述IP权限信息的设置方法,包括:
当接收到IP权限信息设置请求时,对设置请求发起端进行安全性验证;
当所述安全性验证通过后,调用mds进行ACL条目设置。
5.如权利要求4所示的分布式文件系统权限管理方法,其特征在于,调用mds进行ACL条目设置,包括:
将各客户端IP根据预设整形转化规则转化为整形地址,得到客户端整形IP;
将所述客户端整形IP作为客户端IP进行ACL条目设置。
6.如权利要求4所示的分布式文件系统权限管理方法,其特征在于,对设置请求发起端进行安全性验证,包括:
判断所述设置请求发起端是否为预置管理客户端;
若是,判定所述安全性验证通过;
若否,判定安全性验证未通过,并返回客户端无设置权限的提示信息。
7.如权利要求4所示的分布式文件系统权限管理方法,其特征在于,在调用mds进行ACL条目设置之前,还包括:
当所述安全性验证通过后,判断IP权限设置条数是否超过管理阈值;
若是,返回设置条数过多的提示信息;
若否,则执行所述调用mds进行ACL条目设置的步骤。
8.一种分布式文件系统权限管理装置,其特征在于,包括:
信息获取单元,用于当接收到文件操作请求时,获取请求发起端信息;其中,所述请求发起端信息包括:请求操作信息以及发起端IP;
IP权限确定单元,用于确定IP权限信息中所述发起端IP匹配的权限信息,得到目标权限信息;其中,所述IP权限信息为预置的以客户端IP为基础的文件操作权限信息;
IP权限验证单元,用于根据所述目标权限信息对所述请求操作信息进行操作权限验证,生成权限验证结果;
操作执行单元,用于若所述权限验证结果显示所述文件操作请求合法,执行所述文件操作请求对应的操作。
9.一种分布式文件系统权限管理设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任意一项所述的分布式文件系统权限管理方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至7任意一项所述的分布式文件系统权限管理方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910578057.2A CN110399736A (zh) | 2019-06-28 | 2019-06-28 | 一种分布式文件系统权限管理方法及相关组件 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910578057.2A CN110399736A (zh) | 2019-06-28 | 2019-06-28 | 一种分布式文件系统权限管理方法及相关组件 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110399736A true CN110399736A (zh) | 2019-11-01 |
Family
ID=68324255
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910578057.2A Pending CN110399736A (zh) | 2019-06-28 | 2019-06-28 | 一种分布式文件系统权限管理方法及相关组件 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110399736A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111563064A (zh) * | 2020-04-28 | 2020-08-21 | 上海鸿翼软件技术股份有限公司 | 一种文件操作的方法、系统、设备及可读存储介质 |
CN112351062A (zh) * | 2020-09-04 | 2021-02-09 | 苏州浪潮智能科技有限公司 | 一种文件权限控制列表管理方法及相关组件 |
CN112491813A (zh) * | 2020-11-10 | 2021-03-12 | 深圳市中博科创信息技术有限公司 | 指令的传输控制方法、装置及计算机可读存储介质 |
CN116070294A (zh) * | 2023-03-07 | 2023-05-05 | 浪潮电子信息产业股份有限公司 | 一种权限管理方法、系统、装置、服务器及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108989300A (zh) * | 2018-07-03 | 2018-12-11 | 郑州云海信息技术有限公司 | 一种存储环境ip权限控制方法与系统 |
CN109033857A (zh) * | 2018-07-25 | 2018-12-18 | 郑州云海信息技术有限公司 | 一种访问数据的方法、装置、设备及可读存储介质 |
CN109088875A (zh) * | 2018-08-24 | 2018-12-25 | 郑州云海信息技术有限公司 | 一种访问权限校验方法及装置 |
-
2019
- 2019-06-28 CN CN201910578057.2A patent/CN110399736A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108989300A (zh) * | 2018-07-03 | 2018-12-11 | 郑州云海信息技术有限公司 | 一种存储环境ip权限控制方法与系统 |
CN109033857A (zh) * | 2018-07-25 | 2018-12-18 | 郑州云海信息技术有限公司 | 一种访问数据的方法、装置、设备及可读存储介质 |
CN109088875A (zh) * | 2018-08-24 | 2018-12-25 | 郑州云海信息技术有限公司 | 一种访问权限校验方法及装置 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111563064A (zh) * | 2020-04-28 | 2020-08-21 | 上海鸿翼软件技术股份有限公司 | 一种文件操作的方法、系统、设备及可读存储介质 |
CN112351062A (zh) * | 2020-09-04 | 2021-02-09 | 苏州浪潮智能科技有限公司 | 一种文件权限控制列表管理方法及相关组件 |
CN112351062B (zh) * | 2020-09-04 | 2022-06-17 | 苏州浪潮智能科技有限公司 | 一种文件权限控制列表管理方法及相关组件 |
CN112491813A (zh) * | 2020-11-10 | 2021-03-12 | 深圳市中博科创信息技术有限公司 | 指令的传输控制方法、装置及计算机可读存储介质 |
CN112491813B (zh) * | 2020-11-10 | 2022-09-06 | 深圳市中博科创信息技术有限公司 | 指令的传输控制方法、装置及计算机可读存储介质 |
CN116070294A (zh) * | 2023-03-07 | 2023-05-05 | 浪潮电子信息产业股份有限公司 | 一种权限管理方法、系统、装置、服务器及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110399736A (zh) | 一种分布式文件系统权限管理方法及相关组件 | |
CN109510849B (zh) | 云存储的帐号鉴权方法和装置 | |
CN109033857B (zh) | 一种访问数据的方法、装置、设备及可读存储介质 | |
CN105227321B (zh) | 信息处理方法、服务器及客户端 | |
CN104184705B (zh) | 验证方法、装置、服务器、用户数据中心和系统 | |
US8184811B1 (en) | Mobile telephony content protection | |
CN104735091B (zh) | 一种基于Linux系统的用户访问控制方法和装置 | |
CN106960148A (zh) | 一种设备标识的分配方法和装置 | |
CN103473502A (zh) | 一种获取基于安卓的移动终端Root权限的方法和系统 | |
WO2014071725A1 (zh) | 软sim卡的启用方法及入网方法及终端及网络接入设备 | |
CN108259432A (zh) | 一种api调用的管理方法、设备及系统 | |
CN108259502A (zh) | 用于获取接口访问权限的鉴定方法、服务端及存储介质 | |
WO2016165505A1 (zh) | 连接控制方法及装置 | |
US20140099923A1 (en) | Subscriber device unlock | |
CN105429943B (zh) | 一种信息处理方法及其终端 | |
WO2015096501A1 (zh) | 智能移动终端上超级用户密码管理方法和装置 | |
CN106453321A (zh) | 一种认证服务器、系统和方法及待认证终端 | |
CN107566375B (zh) | 访问控制方法和装置 | |
CN111090882B (zh) | 一种redis数据库的操作控制方法、装置及设备 | |
CN107645474B (zh) | 登录开放平台的方法及登录开放平台的装置 | |
CN106209569A (zh) | 一种企业即时通讯的鉴权方法及装置 | |
CN114244568A (zh) | 基于终端访问行为的安全接入控制方法、装置和设备 | |
CN101854357B (zh) | 网络认证监控方法及系统 | |
CN112464213B (zh) | 一种操作系统访问控制方法、装置、设备及存储介质 | |
CN105451225A (zh) | 一种接入认证方法及接入认证设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191101 |
|
RJ01 | Rejection of invention patent application after publication |