CN111881103B - 一种基于nfs共享的ldap域用户acl权限控制方法及装置 - Google Patents

Abstract

本发明提出了一种基于NFS共享的LDAP域用户ACL权限控制方法，应用于分布式存储系统中，包括：根据LDAP域的参数信息将集群以及客户端加入到LDAP域中；LDAP域中的集群开启NFS服务；创建LDAP域中的集群的用户目录；开启ACL服务，并存储ACL配置信息；获取集群环境，检测集群环境是否支持预设协议；设置并校验LDAP域用户ACL权限，本发明还提出了一种基于NFS共享的LDAP域用户ACL权限控制，有效的提高了存储系统的健壮性、易用性和功能的丰富性，增强分布式存储产品的竞争力。

Description

一种基于NFS共享的LDAP域用户ACL权限控制方法及装置

技术领域

本发明涉及权限控制领域，尤其是涉及一种基于NFS共享的 LDAP域用户ACL权限控制方法及装置。

背景技术

分布式存储在IT企业、云计算、大数据、虚拟化等领域得到了广泛应用。

分布式存储对文件存储系统的ACL(访问控制列表)权限功能要求也越来越高，仅提供给集群本地用户基础的ACL权限功能，只能够对集群本地用户的权限进行处理，已无法满足存储系统的使用，还需要能够对基于NFS(Network File System，网络文件系统)共享的LDAP(Lightweight Directory Access Protocol，轻量级目录访问协议，由LDAP服务器来集中存储要向客户端提供的信息)域用户的 ACL权限进行控制，并且需要能够设置、查询、修改、删除其域用户的ACL权限。

由于目前分布式存储的文件存储系统无法对基于NFS共享的 LDAP域用户的ACL权限进行控制，并且无法设置、查询、修改、删除其域用户ACL权限，降低了存储系统的健壮性、易用性和功能的丰富性，并严重影响分布式存储产品的竞争力。

发明内容

本发明为了解决现有技术中存在的问题，创新提出了一种基于NFS共享的LDAP域用户ACL权限控制方法及装置，有效解决由于现有分布式存储系统无法对基于NFS共享的LDAP域用户的ACL权限进行控制造成存储系统竞争力不够的问题，有效的提高了存储系统的健壮性、易用性和功能的丰富性，增强分布式存储产品的竞争力。

本发明第一方面提供了一种基于NFS共享的LDAP域用户ACL 权限控制方法，应用于分布式存储系统中，包括：

根据LDAP域的参数信息将集群以及客户端加入到LDAP域中；

LDAP域中的集群开启NFS服务；

创建LDAP域中的集群的用户目录；

开启ACL服务，并存储ACL配置信息；

获取集群环境，检测集群环境是否支持预设协议，如果支持，创建NFS共享服务，客户端挂载NFS服务，如果不支持，返回错误信息；

设置并校验LDAP域用户ACL权限。

可选地，所述LDAP域的参数信息包括：IP地址信息、端口号信息、域名信息。

可选地，创建LDAP域中的集群的用户目录具体包括：

获取默认存储池；

创建LDAP域用户组以及属于LDAP域用户组的LDAP域用户；

查看默认存储池类型，如果是纠删类型，创建纠删池目录，如果是replicated类型，创建副本池目录。

可选地，所述预设协议为NFS4.0协议。

可选地，设置并校验LDAP域用户ACL权限具体包括：

集群绑定客户端挂载NFS服务；

创建挂载目录下的目录和文件；

对创建的目录设置LDAP域用户共享目录权限，对创建的文件设置LDAP域用户共享目录文件权限；

查询并校验LDAP域用户权限。

进一步地，所述查询并校验LDAP域用户权限具体包括：

查询LDAP域用户权限与设置LDAP域用户共享目录权限以及 LDAP域用户共享目录文件权限是否均一致，如果均一致，则第一校验通过；如果任一权限不一致，则第一校验失败。

进一步地，还包括：

切换用户执行第一读写操作，修改LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限，重新获取并校验LDAP域用户权限与修改后的LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限是否均一致，如果均一致，则第二校验通过；如果任一权限不一致，则第二校验失败。

进一步地，还包括：

切换用户执行第二读写操作，删除LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限，重新获取并校验LDAP域用户权限中对应删除的LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限是否均为空，如果均为空，则第三校验通过；如果任一权限不为空，则第三校验失败。

进一步地，还包括：

切换用户执行第三读写操作，校验LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限读写功能是否均正常，如果均正常，则第四校验通过；如果任一项权限读写功能不正常，则第四校验失败。

本发明第二方面提供了一种基于NFS共享的LDAP域用户ACL 权限控制装置，应用于分布式存储系统中，包括：

加入模块，根据LDAP域的参数信息将集群以及客户端加入到 LDAP域中；

NFS开启模块，LDAP域中的集群开启NFS服务；

目录创建模块，创建LDAP域中的集群的用户目录；

ACL开启模块，开启ACL服务，并存储ACL配置信息；

集群环境检测模块，获取集群环境，检测集群环境是否支持预设协议，如果支持，创建NFS共享服务，客户端挂载NFS服务，如果不支持，返回错误信息；

ACL权限校验模块，设置并校验LDAP域用户ACL权限。

本发明采用的技术方案包括以下技术效果：

1、本发明有效解决由于现有分布式存储系统无法对基于NFS共享的LDAP域用户的ACL权限进行控制造成存储系统竞争力不够的问题，有效的提高了存储系统的健壮性、易用性和功能的丰富性，增强分布式存储产品的竞争力。

2、本发明技术方案可以满足客户根据自身需求，能够对基于NFS 共享的LDAP域用户的ACL权限进行控制，并且能够设置、查询、修改、删除其LDAP域用户ACL权限。

应当理解的是以上的一般描述以及后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明

为了更清楚说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单介绍，显而易见的，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明方案中实施例一方法的流程示意图；

图2为本发明方案中实施例一方法步骤S3的流程示意图；

图3为本发明方案中实施例一方法步骤S8的流程示意图；

图4为本发明方案中实施例一方法步骤S84的一流程示意图；

图5为本发明方案中实施例一方法步骤S84的另一流程示意图；

图6为本发明方案中实施例一方法步骤S84的另一流程示意图；

图7为本发明方案中实施例一方法步骤S84的另一流程示意图；

图8为本发明方案中实施例二装置的结构示意图。

具体实施方式

为能清楚说明本方案的技术特点，下面通过具体实施方式，并结合其附图，对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开，下文中对特定例子的部件和设置进行描述。此外，本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意，在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。

实施例一

如图1所示，本发明提供了一种基于NFS共享的LDAP域用户 ACL权限控制方法，应用于分布式存储系统中，包括：

S1，根据LDAP域的参数信息将集群以及客户端加入到LDAP 域中；

S2，LDAP域中的集群开启NFS服务；

S3，创建LDAP域中的集群的用户目录；

S4，开启ACL服务，并存储ACL配置信息；

S5，获取集群环境，检测集群环境是否支持预设协议，如果判断结果为是，则执行步骤S6，如果判断结果为否，则执行步骤S7；

S6，创建NFS共享服务，客户端挂载NFS服务；

S7，返回错误信息；

S8，设置并校验LDAP域用户ACL权限。

其中，在步骤S1中，LDAP域的参数信息包括：IP地址信息、端口号信息、域名信息。步骤S1的具体实现方式可以是通过第一命令实现，具体如下：icfs-admin-user–ldap–join–ip$IP–port $PORT–b dc＝$DC_NAME,dc＝com。

步骤S2具体实现方式可以是通过第二命令实现，具体如下： icfs-admin-nfs–start。

优选地，在步骤S2以及步骤S3之间，还应该清除客户端/media/ 目录下的挂载目录。

如图2所示，步骤S3具体包括：

S31，获取默认存储池；

S32，创建LDAP域用户组以及属于LDAP域用户组的LDAP域用户；

S33，查看默认存储池类型是否是纠删类型，如果判断结果为是，则执行步骤S34，如果判断结果为否，则执行步骤S35；

S34，创建纠删池目录；

S35，创建副本池目录。

其中，步骤S31的具体实现方式可以是通过第三命令实现，具体如下：icfs fs ls2>/dev/null|awk–F‘datapools:’‘{print$2}’|awk ‘{print$2}’|awk‘{pool＝$1；sub(/\[/,\”\”,pool])；printpool}’。

步骤S32的具体实现方式具体如下：通过第四命令创建LDAP 域用户组，第四命令具体是：icfs-admin-user–local–create–g $GROUP_NAME；通过第五命令创建属于LDAP域用户组的LDAP 域用户，第五命令具体是：icfs-admin-user–local–create–u $USER_NAME–password$PASSWORD–g$GROUP_NAME。

步骤S33的具体实现方式可以是通过第六命令实现，第六命令可以是：icfs-admin-pool–query-list。

步骤S34的具体实现方式可以是通过第七命令实现，第七命令可以是：icfs-admin-dir–create–p$DIR_PATH–u$USER_NAME –g$GROUP_NAME–mod rwxrwxrwx–pool$DEFAULT_POOL:4 –policy dynamic_proportion。

在步骤S35中，判断结果为否，对应默认存储池的类型为replicated(一种存储池类型)类型；具体实现方式可以是通过第八命令实现，第八命令可以是：icfs-admin-dir--create–p$DIR_PATH– u$USER_NAME–g$GROUP_NAME–mod rwxrwxrwx–pool $DEFAULT_POOL:–policy dynamic_proportion。

步骤S4中，开启ACL服务具体可以是通过第九命令实现，具体是：icfs-admin-acl–start–general–type posix_extend_acl与 icfs-admin-acl–start–fuse来开启ACL服务；存储ACL配置信息具体是：通过第十命令(cat/etc/icfs/icfs.conf)来读取当前ACL配置信息$ACL_CONF，并将读取当前ACL配置信息存入日志文件 (/var/acl.log)中，以便后期维护人员排查功能异常时使用。

步骤S5中，预设协议可以为NFS4.0协议。首先通过第十一命令 ()获取并检测集群环境是否支持预设协议(NFS4.0协议)，第十一命令具体是：sed–i‘s/Protocols＝3/Protocols＝3,4/g’ /etc/ganesha/ganesha.conf；其次，如果检测结果为否，则返回用户错误信息；如果检测结果为支持预设协议，并进一步判断检查客户端是否具备nfs4.0_acl_tools软件包(NFS4.0工具包)，如果不是，则要对返回用户提示信息(例如安装nfs4.0_acl_tools软件包或更改具备 nfs4.0_acl_tools软件包的客户端等)，如果检查结果为客户端具备 nfs4.0_acl_tools软件包，则通过第十二命令创建NFS共享服务，客户端挂载NFS服务，第十二命令具体是：icfs-admin-nfs–create-share “-p$DIR_PATH–a–rw--”。

如图3所示，步骤S8包括：

S81，集群绑定客户端挂载NFS服务；

S82，创建挂载目录下的目录和文件；

S83，对创建的目录设置LDAP域用户共享目录权限，对创建的文件设置LDAP域用户共享目录文件权限；

S84，查询并校验LDAP域用户权限。

步骤S81的具体实现方式是通过第十三命令，第十三命令是： mount–t nfs％CLUSTER_IP：$DIR_PATH“/media/-o vers＝4.0”。

在步骤S82中，创建挂载目录下的目录和文件，首先通过第十四命令在挂载目录下创建目录(文件夹)，第十四命令具体是：mkdir– p/media/$NEW_DIR；其次，通过第十五命令在挂载目录下创建文件，第十五命令具体是：touch/media/$NEW_FILE。

步骤S83，对创建的目录设置LDAP域用户共享目录权限，对创建的文件设置LDAP域用户共享目录文件权限，首先通过第十六命令对创建的目录设置LDAP域用户共享目录权限(包括读、写、可视、执行等)，第十六命令具体如下：nfs4_setfacl–a A::$USER_NAME:$SET_ACL/media/$NEW_DIR；其次，通过第十七命令对创建的文件设置LDAP域用户共享目录文件权限(包括读、写、可视、执行等)，第十七命令具体如下使用nfs4_setfacl–a A::$USER_NAME:$SET_ACL/media/$NEW_FILE。

如图4所示，步骤S84具体包括：

S8401，查询LDAP域用户权限与设置LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限是否均一致，如果判断结果为是，则执行步骤S8402，如果判断结果为否，则执行步骤S8403；

S8402，则第一校验通过；

S8403，则第一校验失败。

在步骤S8401中，查询LDAP域用户权限具体可以通过第十八命令实现，第十八命令具体是：nfs-getfacl/media/$NEW_DIR。

在步骤S8403中，判断结果为否，即LDAP域用户权限任一项与设置LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限不一致，则第一校验不通过。

如图5所示，步骤S84还包括：

S8404，切换用户执行第一读写操作，修改LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限；

S8405，重新获取并校验LDAP域用户权限与修改后的LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限是否均一致，如果判断结果为是，则执行步骤S8406，如果判断结果为否，则执行步骤S8407；

S8406，则第二校验通过；

S8407，则第二校验失败。

在步骤S8403中，判断结果为否，即LDAP域用户权限任一项与修改后的LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限不一致，则第二校验不通过。

如图6所示，步骤S84还包括：

S8408，切换用户执行第二读写操作，删除LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限；

S8409；重新获取并校验LDAP域用户权限中对应删除的LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限是否均为空，如果判断结果为是，则执行步骤S8410，如果判断结果为否，则执行步骤S8411；

S8410，则第三校验通过；

S8411，则第三校验失败。

在步骤S8411中，判断结果为否，即LDAP域用户权限中对应删除的LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限任一项不为空，则第三校验不通过。

如图7所示，步骤S84还包括：

S8412，切换用户执行第三读写操作；

S8413，校验LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限读写功能是否均正常，如果判断结果为是，则执行步骤 S8414，如果判断结果为否，则执行步骤S8415；

S8414，则第三校验通过；

S8415，则第三校验失败。

在步骤S8415中，判断结果为否，即LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限读写功能任一项不正常，则第四校验不通过。

在本发明实施例中，第一校验、第二校验、第三校验、第四校验均通过时，则LDAP域用户ACL权限校验通过，任一项校验不通过，则LDAP域用户ACL权限校验不通过。通过多种验证方式，保证了 LDAP域用户ACL权限的有效控制。

需要说明的是，本发明步骤S1-S8，均可以通过程序语言编程获取，其程序执行的思路与本发明具体步骤相对应。

本发明有效解决由于现有分布式存储系统无法对基于NFS共享的LDAP域用户的ACL权限进行控制造成存储系统竞争力不够的问题，有效的提高了存储系统的健壮性、易用性和功能的丰富性，增强分布式存储产品的竞争力。

本发明技术方案可以满足客户根据自身需求，能够对基于NFS 共享的LDAP域用户的ACL权限进行控制，并且能够设置、查询、修改、删除其LDAP域用户ACL权限。

实施例二

如图8所示，本发明技术方案还提供了一种基于NFS共享的 LDAP域用户ACL权限控制装置，应用于分布式存储系统中，包括：

加入模块101，根据LDAP域的参数信息将集群以及客户端加入到LDAP域中；

NFS开启模块102，LDAP域中的集群开启NFS服务；

目录创建模块103，创建LDAP域中的集群的用户目录；

ACL开启模块104，开启ACL服务，并存储ACL配置信息；

集群环境检测模块105，获取集群环境，检测集群环境是否支持预设协议，如果支持，创建NFS共享服务，客户端挂载NFS服务，如果不支持，返回错误信息；

ACL权限校验模块106，设置并校验LDAP域用户ACL权限。

本发明有效解决由于现有分布式存储系统无法对基于NFS共享的LDAP域用户的ACL权限进行控制造成存储系统竞争力不够的问题，有效的提高了存储系统的健壮性、易用性和功能的丰富性，增强分布式存储产品的竞争力。

本发明技术方案可以满足客户根据自身需求，能够对基于NFS 共享的LDAP域用户的ACL权限进行控制，并且能够设置、查询、修改、删除其LDAP域用户ACL权限。

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims (7)

1.一种基于NFS共享的LDAP域用户ACL权限控制方法，其特征是，应用于分布式存储系统中，包括：

根据LDAP域的参数信息将集群以及客户端加入到LDAP域中；

LDAP域中的集群开启NFS服务；

创建LDAP域中的集群的用户目录；创建LDAP域中的集群的用户目录具体包括：

获取默认存储池；

创建LDAP域用户组以及属于LDAP域用户组的LDAP域用户；

查看默认存储池类型，如果是纠删类型，创建纠删池目录，如果是replicated类型，创建副本池目录；

开启ACL服务，并存储ACL配置信息；

获取集群环境，检测集群环境是否支持预设协议，如果支持，创建NFS共享服务，客户端挂载NFS服务，如果不支持，返回错误信息；

设置并校验LDAP域用户ACL权限；设置并校验LDAP域用户ACL权限具体包括：

集群绑定客户端挂载NFS服务；

创建挂载目录下的目录和文件；

对创建的目录设置LDAP域用户共享目录权限，对创建的文件设置LDAP域用户共享目录文件权限；

查询并校验LDAP域用户权限；所述查询并校验LDAP域用户权限具体包括：

查询LDAP域用户权限与设置LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限是否均一致，如果均一致，则第一校验通过；如果任一权限不一致，则第一校验失败。

2.根据权利要求1所述的基于NFS共享的LDAP域用户ACL权限控制方法，其特征是，所述LDAP域的参数信息包括：IP地址信息、端口号信息、域名信息。

3.根据权利要求1所述的基于NFS共享的LDAP域用户ACL权限控制方法，其特征是，所述预设协议为NFS4.0协议。

4.根据权利要求1所述的基于NFS共享的LDAP域用户ACL权限控制方法，其特征是，还包括：

切换用户执行第一读写操作，修改LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限，重新获取并校验LDAP域用户权限与修改后的LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限是否均一致，如果均一致，则第二校验通过；如果任一权限不一致，则第二校验失败。

5.根据权利要求4所述的基于NFS共享的LDAP域用户ACL权限控制方法，其特征是，还包括：

切换用户执行第二读写操作，删除LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限，重新获取并校验LDAP域用户权限中对应删除的LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限是否均为空，如果均为空，则第三校验通过；如果任一权限不为空，则第三校验失败。

6.根据权利要求5所述的基于NFS共享的LDAP域用户ACL权限控制方法，其特征是，还包括：

切换用户执行第三读写操作，校验LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限读写功能是否均正常，如果均正常，则第四校验通过；如果任一项权限读写功能不正常，则第四校验失败。

7.一种基于NFS共享的LDAP域用户ACL权限控制装置，其特征是，应用于分布式存储系统中，包括：

加入模块，根据LDAP域的参数信息将集群以及客户端加入到LDAP域中；

NFS开启模块，LDAP域中的集群开启NFS服务；

目录创建模块，创建LDAP域中的集群的用户目录；创建LDAP域中的集群的用户目录具体包括：

获取默认存储池；

创建LDAP域用户组以及属于LDAP域用户组的LDAP域用户；

查看默认存储池类型，如果是纠删类型，创建纠删池目录，如果是replicated类型，创建副本池目录；

ACL开启模块，开启ACL服务，并存储ACL配置信息；

集群环境检测模块，获取集群环境，检测集群环境是否支持预设协议，如果支持，创建NFS共享服务，客户端挂载NFS服务，如果不支持，返回错误信息；

ACL权限校验模块，设置并校验LDAP域用户ACL权限；设置并校验LDAP域用户ACL权限具体包括：

集群绑定客户端挂载NFS服务；

创建挂载目录下的目录和文件；

对创建的目录设置LDAP域用户共享目录权限，对创建的文件设置LDAP域用户共享目录文件权限；

查询并校验LDAP域用户权限；所述查询并校验LDAP域用户权限具体包括：

查询LDAP域用户权限与设置LDAP域用户共享目录权限以及LDAP域用户共享目录文件权限是否均一致，如果均一致，则第一校验通过；如果任一权限不一致，则第一校验失败。

Images