针对多协议环境管理 EMC Celerra

Similar documents

Symantec™ Sygate Enterprise Protection 防护代理安装使用指南

针对 Windows 环境管理 EMC Celerra

KillTest 质量更高服务更好学习资料半年免费更新服务

HP StorageWorks Automated Storage Manager 用户指南

05_資源分享-NFS及NIS.doc

《计算机网络》实验指导书

Windows 2000/2003/xp (FRS) SYSVOL Domain Policies Scripts Staging Domain staging areas Domain name staging areas Domain name Policies Scripts AD 1.2 A

DOS下常用的网络命令.PDF

(Microsoft Word - 5\276\302\270g\260\252\256v .doc)

Microsoft Word - ã•−èµ¤å³°ä¿šéŽ©ä¿¡æ†¯ã•‰2016å¹´ç¬¬5æœ�ï¼‹æ•»ç¬¬124æœ�ï¼›.doc

国家信息中心2012年部门预算

財金資訊-84期.indd

CA Nimsoft Monitor Snap 快速入门指南

EMC RepliStor for Microsoft Windows 6.3 版安装指南

Microsoft Word - fy.doc

SL2511 SR Plus 操作手冊_單面.doc

PL600 IPPBX 用户手册_V2.0_.doc

( 数据来源 :2011 年剑桥大学 ) 上面这两张图片来自剑桥大学 2011 年提供的一个分析报告, 通过这个报告我们可以看出, 只要通过网络搜索引擎 (Shodan 搜索引擎 ) 进行简单

ME3208E2-1.book

AXIS P7224 Video Encoder Blade – Installation Guide

<4D F736F F D D352DBED6D3F2CDF8D7E9BDA8D3EBB9DCC0EDCFEEC4BFBDCCB3CCD5FDCEC42E646F63>

93年各縣國中教師甄試最新考情.doc

IP505SM_manual_cn.doc

Basic System Administration

Microsoft Word - PS2_linux_guide_cn.doc

100/120EX A-61588_zh-tw 9E8696

IC-900W Wireless Pan & Tilt Wireless Pan & Tilt Remote Control / Night Vision FCC ID:RUJ-LR802UWG

LTM Management Console

1 SQL Server 2005 SQL Server Microsoft Windows Server 2003NTFS NTFS SQL Server 2000 Randy Dyess DBA SQL Server SQL Server DBA SQL Server SQL Se

目录第一部分前言... 1 第二部分释义... 3 第三部分基金的基本情况... 7 第四部分基金份额的发售... 8 第五部分基金备案第六部分基金份额的申购与赎回第

Sun Storage Common Array Manager 阵列管理指南，版本 6.9.0

Java Desktop System å‘‚è¡„ç›‹ 2 å‘‚è¡„è¯´æŸ”

ARIS Design Platform

天主教永年高級中學綜合高中課程手冊目錄

User Group SMTP

WebSphere Studio Application Developer IBM Portal Toolkit... 2/21 1. WebSphere Portal Portal WebSphere Application Server stopserver.bat -configfile..

黑龙江省哈尔滨市规划局与黑龙江汇丰实业发展有限公司行政处罚纠纷上诉案中华人民共和国最高人民法院行政判决书 (1999) 行终字第 20 号上诉人 ( 原审被告 ) 黑龙江省

第一章　Linux與網路資源

本文由筱驀釹贡献

北京市工商局网络安全系统解决方案

口腔衛生保健創意教學活動設計

RG-NBS5816XS交换机RGOS 10.4(3)版本WEB管理手册

穨CAS1042快速安速說明.doc

一、银行结售汇业务

田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田有關田

浙江财经大学 891 统计学全套考研资料 <2016 年最新考研资料 > 浙江财经大学统计学 891 全套考研资料...22 浙江财经大学高等数学 601 全套考研资料

喜临门家具股份有限公司 2016 年第二次临时股东大会会议议程会议召集人 : 公司董事会现场会议时间 :2016 年 6 月 16 日 ( 星期五 ) 下午 14 时现场会议地点 : 浙江省绍兴市

Microsoft Word - 【預官_士_考選歷屆試題86~100】.doc

第一部分目录销售管理规范汇编... 5 Ⅰ 销售资格管理篇关于保险公司销售人员资格管理的规定关于银邮代理机构代理资格管理的规定关于银邮

关于调整可充抵保证金证券的通知（）

海军大连舰艇学院 807 有机化学全套考研资料 <2016 年最新考研资料 > 2-2 有机化学笔记, 此笔记为高分研究生复习所用, 借助此笔记可以大大提高复习效率, 把握报考院校 2

<4D F736F F D BEC7A67E2DB5A7B8D52DBB79A4E5AFE0A44FB4FAC5E7BEE3A658A5FE2E646F63>

Microsoft Word - Book 2 月下行.doc

国家文件关部门制定并实施与当地经济发展水平和校车服务需求相适应的校车服务方案, 统一领导组织协调有关部门履行校车安全管理职责县级以上地方人民政府教育公安交

江苏科技大学 809 机械设计全套考研资料 <2016 年最新考研资料 > 江苏科技大学 810 机械原理全套考研资料 <2016 年最新考研资料 > 江苏科技大学机械原

证券代码：证券简称：航空动力公告编号：2011临-【】

Microsoft Word - Book 11 人道行.doc

<4D F736F F D EA16DBB50B3AFA742A4A7AED1A16EBD67A6AEA4CEA8E4C3C0B34EAF53A6E2B1B4AA522D2DB3B9A5BFA9BE5F702E34332D35345F2E646F63>

Microsoft Word - _二_-1-2D研習講義-孫藝玨.doc

盐田区 2015 年社会建设行动计划 2015 年是全面深化改革的关键之年全面推进依法治区的开局之年, 也是十二五规划的收官之年十三五规划的谋划之年结合省市年度社会工作

山东财经大学 431 金融学综合全套考研资料 <2016 年最新考研资料 > 2-2 金融学笔记, 由考取本校本专业高分研究生总结而来, 重点突出, 借助此笔记可以大大提高复习 2-3 金

Microsoft Word - Book 3 巫山行.doc

親鸞和懺悔道的哲學

苏州科技学院 825 管理学原理全套考研资料 <2016 年最新考研资料 > 管理学原理真题 , 历年真题主要用来研究考研的考点, 重点和出题思路, 为考研最重要

太原科技大学 811 西方哲学史全套考研资料 <2016 年最新考研资料 > 1-1 本套资料没真题注 : 若考前收集到最新考研真题, 我们将免费邮件发送给购买资料的考生, 若考生自

重庆邮电大学数据结构 802 初试内部精华资料 1-1 数据结构 2007, 暂无答案 2-1 考研复习规划指导全年专业课复习计划, 指导考生科学时间分配, 提高备考效率, 免费赠送 2-2

鲁东大学 702 普通心理学 ( 含发展心理学 ) 全套考研资料 <2016 年最新考研资料 > 2-2 普通心理学笔记, 由考取本校本专业高分研究生总结而来, 重点突出, 借助此笔记可以大

Transcription:

P/N 300-008-087 修订版 A02 2008 年 10 月目录 Celerra 多协议环境简介.........................................3 Windows 和多协议文档......................................3 术语......................................................3 Celerra 多协议环境概念.........................................6 Celerra 多协议环境的系统要求...................................13 E-Lab 互操作性 Navigator...................................13 Celerra 多协议环境的用户界面选项...............................14 针对多协议环境管理 Celerra 的路线图.............................15 互操作性注意事项.............................................16 使用 NFS 和 CIFS 文件命名约定..............................16 解决文件命名冲突..........................................16 使用符号链接.............................................17 链接文件系统.............................................20 选择访问检查策略.............................................24 使用 MIXED 和 MIXED_COMPAT.............................26 继承规则.................................................29 备份和恢复文件系统对象....................................30 设置访问检查策略..........................................31 迁移到 MIXED 和 MIXED_COMPAT...........................31 重置 MIXED 和 MIXED_COMPAT.............................34 生成 Windows NT 凭据.........................................35 处理 Windows NT 凭据.....................................35 使用 Windows 2000 访问受信任域............................36 设置 Windows 默认域......................................37 定义 Windows NT 凭据缓存..................................37 设置生存时间过期戳记......................................38 生成 Windows NT 凭据.....................................38 将 UNIX 组包括到 Windows NT 凭据...........................39 仅使用 UNIX 权限执行访问检查...................................40 设置文件锁定策略.............................................41 装载文件系统.............................................42 1 / 78

从 Windows 客户端查看并设置 UNIX 权限..........................43 注意事项.................................................43 围绕 ACL 管理启用特殊功能..................................44 配置和管理 DFS 支持...........................................45 启用和禁用 DFS 支持.......................................50 使用宽链接...................................................51 处理步骤.................................................52 建立宽链接...............................................52 从 UNIX 客户端查看和设置 Windows ACL..........................59 检索 emcgetsd 和 emcsetsd.................................59 查看 ACL................................................59 修改 ACL................................................62 Celerra 多协议环境疑难解答.....................................66 获取帮助.................................................66 server_log 错误消息构造....................................66 Kerberos 错误代码.........................................67 NT 状态代码..............................................67 已知问题和限制............................................68 Celerra 多协议环境的错误消息...................................71 相关信息.....................................................72 客户培训计划.............................................73 索引........................................................75 2 / 78

Celerra 多协议环境简介在 UNIX 环境中, 使用网络文件系统 (NFS) 协议来访问文件系统在 Windows 环境中, 使用通用 Internet 文件系统 (CIFS) 协议来访问文件系统 EMC Celerra Network Server 通过提供多协议访问功能 ( 例如访问检查策略和锁定机制 ), 使 UNIX 和 Windows 用户能够共享相同的文件系统, 从而支持 NFS 和 CIFS 混合环境本文档是 Celerra Network Server 文档集的一部分, 面向负责在 Windows 和 UNIX 混合环境中实施 Celerra Network Server 的系统管理员 Windows 和多协议文档 Celerra Network Server 文档集中的下列文档说明如何在 Windows 环境和多协议环境中配置和管理 Celerra: Configuring and Managing CIFS on EMC Celerra ( 在 EMC Celerra 上配置和管理 CIFS) 说明如何使用命令行界面 (CLI) 在 Celerra Network Server 上配置基本的 CIFS 配置此外, 还可以使用 Celerra Manager 来配置此初始环境 Configuring and Managing CIFS on EMC Celerra ( 在 EMC Celerra 上配置和管理 CIFS) 包含在 Celerra Network Server 上进行 CIFS 初始配置后可能需要执行的高级过程, 以及关于在 Windows 环境中修改和管理 Celerra 的说明 Configuring NFS on EMC Celerra ( 在 EMC Celerra 上配置 NFS) 说明如何在 Celerra Network Server 上配置和管理 NFS ( 版本 2 3 和 4) 术语本节定义了对于理解 Celerra Network Server 上的针对多协议环境管理 EMC Celerra 功能很重要的术语 EMC Celerra Glossary (EMC Celerra 词汇表 ) 提供了完整的 Celerra 术语列表 Active Directory (AD) Windows 2000 和 Windows Server 2003 附带高级目录服务它将对象信息存储在网络上, 并通过 LDAP 等协议使此信息可供用户和网络管理员使用安全标识符 (SID) 用于定义 Microsoft Windows 环境中的用户或组的唯一标识符每个用户或组均具有其自己的 SID CIFS 服务在网络以及基于 Microsoft Windows 的计算机上提供共享的数据移动器上运行的 CIFS 服务器进程 CIFS 服务器使用 CIFS 协议传输文件的逻辑服务器数据移动器可以宿主 CIFS 服务器的多个实例每个实例都称为 CIFS 服务器访问控制列表 (ACL) 访问控制项 (ACE) 列表, 提供有关有权访问对象的用户和组的信息服务器消息块 (SMB) CIFS 协议使用的基础协议, 经过增强, 可在 Internet 上用于通过网络从服务器请求文件打印和通信服务 CIFS 协议使用 SMB 向多种类型的网络主机 ( 例如 LAN Intranet 和 Internet) 提供安全文件访问和传输 3 / 78

共享名称为文件系统或者 CIFS 用户可从特定 CIFS 服务器访问的文件系统上的资源指定的名称可能存在多个名称相同的共享, 分别由不同的 CIFS 服务器共享 Microsoft 分布式文件系统 (DFS) Windows 2000 和 Windows Server 2003 服务, 由位于网络服务器和客户端上的软件组成, 该软件将不同文件服务器上的共享文件夹透明地链接到单一命名空间默认 CIFS 服务器当您添加 CIFS 服务器并且不指定任何接口 ( 使用 server_cifs - add 命令的 interfaces= 选项 ) 时创建的 CIFS 服务器默认 CIFS 服务器使用所有未分配给数据移动器上其他 CIFS 服务器的接口 NetBIOS 名称由 WINS 识别的名称, WINS 将名称映射到 IP 地址轻型目录访问协议 (LDAP) 直接通过 TCP/IP 来运行的业界标准信息访问协议它是 Active Directory 和基于 LDAP 的目录服务器的主要访问协议 LDAP 版本 3 是按照 Internet 工程任务组 (IETF) RFC 2251 中的一组建议标准文档进行定义的身份验证对尝试访问资源对象或服务 ( 例如文件或目录 ) 的用户的身份进行验证的过程数据移动器 Celerra Network Server 中一个运行其自己的操作系统的机柜组件, 该组件从存储设备检索文件并使这些文件可供网络客户端使用该组件也称为刀片数据移动器在内部有时被称为 DART, 因为 DART 是在该平台上运行的软件通用 Internet 文件系统 (CIFS) 基于 Microsoft 服务器消息块 (SMB) 的文件共享协议它允许用户通过 Internet 和 Intranet 共享文件系统 Windows 2000 或 Windows Server 2003 域由 Microsoft Windows 2000 或 Windows Server 2003 控制和管理的 Microsoft Windows 域, 使用 Active Directory 来管理所有系统资源且使用 DNS 进行名称解析 Windows NT 域由 Microsoft Windows NT 服务器控制和管理的 Microsoft Windows 域, 使用 SAM 数据库来管理用户帐户组帐户和 NetBIOS 命名空间在 Windows NT 域中, 存在一个包含 SAM 的读 / 写副本的主域控制器 (PDC), 还可能存在若干包含 SAM 的只读副本的备份域控制器 (BDC) 网络基本输入 / 输出系统 (NetBIOS) 针对 IBM 个人计算机开发的网络编程接口和协议文件系统对存储系统上的文件和目录进行编录和管理的方法虚拟数据移动器 (VDM) Celerra 软件功能, 使用户能够管理性分隔 CIFS 服务器, 复制 CIFS 环境, 以及将 CIFS 服务器从一个数据移动器移到另一个数据移动器用户 ID (UID) 与特定用户相对应的数字标识符域 Microsoft Windows 服务器以及其他共享通用安全和用户帐户信息的计算机的逻辑分组计算机和用户等所有资源均为域成员, 且在域中具备一个对这些资源进行唯一标识的帐户域管理员为域中的每个用户分别创建一个用户帐户, 并且用户只需登录域一次用户不需要登录到每个服务器域控制器对用户登录进行身份验证并对 Windows 域的安全策略和安全帐户主数据库进行维护的服务器域控制器管理用户对网络的访问权限, 包括登录身份验证以及对目录和共享资源的访问权限请参见 Windows 2000 或 Windows Server 2003 域和 Windows NT 域 4 / 78

域名系统 (DNS) 名称解析软件, 允许用户根据域名在 UNIX 网络或 TCP/IP 网络上查找计算机 DNS 服务器维护一个特定数据库, 该数据库包含域名主机名及其对应的 IP 地址以及这些主机所提供的服务请参见 ntxmap 组标识符 (GID) 分配给特定用户组的数字标识符组策略对象 (GPO) 在 Windows 2000 或 Windows Server 2003 中, 管理员可以使用组策略来定义用户组和计算机组的配置选项 Windows 组策略对象可以控制本地域和网络安全设置等元素 5 / 78

Celerra 多协议环境概念 Celerra Network Server 的每个用户 (Windows 用户或 UNIX 用户 ) 必须使用唯一的数字用户标识符 (UID) 和组标识符 (GID) 进行标识但是, Windows 并不使用数字 ID 来标识用户相反, 它使用的是称为安全标识符 (SID) 的字符串 CIFS 用户 ID 解析在 Celerra Network Server 上配置 Windows 文件共享服务 ( 称为 CIFS) 之前, 必须选择一种方法将 Windows SID 映射到 UID 和 GID 所使用的方法取决于是仅存在 Windows 环境还是 UNIX 和 Windows ( 多协议 ) 环境这些方法包括 : Active Directory LDAP 目录本地文件网络信息服务 (NIS) Usermapper ( 内部或外部 ) EMC 建议在仅 Windows 环境中使用内部 Usermapper 仅具备 Windows 用户帐户的用户也可以在多协议环境中使用内部 Usermapper 配置 EMC Celerra 用户映射提供了可用于将 Windows 用户映射到 UNIX 样式的 UID 和 GID 的工具和方法列表, 以及可用于将用户从单协议环境迁移到多协议环境的工具文件系统对象安全性在多协议环境中, Celerra Network Server 使用其安全策略来管理文件系统的访问控制 UNIX 安全模型 UNIX 访问权限称为文件系统对象的模式位它们采用位字符串表示, 其中每个位表示向拥有文件的用户与文件系统对象相关联的组以及所有其他用户授予的访问模式或权限对于每个用户类别 ( 用户组或其他 ), UNIX 模式位表示为三组并置 rwx ( 读写和执行 ) 三元组, 如以下文件系统目录中所示 : 6 / 78

在以上示例中 : 每行的第一个字符表示文件类型, 其中, d 代表目录, l 代表符号链接, 或连字符 (-) 代表常规文件每行的接下来九个字符是指用户组或其他对象的读 / 写或执行权限集 kcb 是用户, 而 eng 是组 xyz.doc 是符号链接, 任何人都可以遍历该链接以检索 xyz.html 文件 abc.html 是一个常规文件, 任何人都可以读取该文件, 但是只有用户 kcb 可以写入该文件 schedule 是一个目录, 任何人都可以搜索和读取该目录, 但是只有用户 kcb 可以将文件插入该目录以及从该目录中删除文件 Windows 安全模型通过提供各种访问权限和 Allow ( 允许 ) 或 Deny ( 拒绝 ) 选项, Windows 安全模型提供比 UNIX 模型更丰富且更灵活的安全结构, 如第 7 页上的图 1 中所示图 1 Windows 访问权限示例 7 / 78

通过使用安全描述符 (SD) 授予或拒绝对文件系统对象的访问权限 SD 包含下列信息 : 对象的所有者, 也是文件系统对象的创建者, 有权更改该对象上的权限, 如所有者 SID 和主组 SID 访问控制列表 (ACL): 包括对象所有者信息描述访问权限的随机 ACL (DACL) 以及描述审核信息标准的系统 ACL (SACL) 对于 DACL, 每种访问权限均在访问控制项 (ACE) 中定义, 它显式允许或拒绝针对文件系统对象执行的特定操作指定的每个用户和组帐户在 ACL 中都具有一个表示所授予或遭拒绝的权限的 ACE Celerra Network Server 支持共享目录和文件级别的 ACL 用户凭据和访问检查在用户首次通过 CIFS 协议连接到 Celerra Network Server 时, 系统将构建和缓存 Windows 用户凭据凭据包含用户 SID 以及用户所属的组的所有 SID 在使用常规 UNIX 身份验证 (AUTH_SYS) 时, UNIX 用户凭据会随远程过程调用 (RPC) 协议请求一同发送, 并且包含一个 UID 以及用户所属的组的 GID ( 最多 16 个 ) 在安全 NFS 环境中, UNIX 用户凭据在执行 Kerberos 身份验证期间进行构建, 并且包含用户的 UID 以及用户所属的所有组的 GID 当用户请求访问文件系统对象时,Celerra Network Server 会将该用户的凭据与该文件系统对象上的权限进行比较对于提供域和用户名的 FTP 用户, Celerra Network Server 会联系域控制器以进行验证, 然后构建 Windows 凭据对于提供不合格用户名的 FTP 用户, Celerra Network Server 会根据本地密码和组文件 NIS 或 LDAP 目录服务中的信息构建 UNIX 样式的凭据 Celerra 访问检查策略在多协议环境中,Celerra Network Server 必须决定在确定向用户授予对文件系统对象的访问权限时要在文件或目录上使用的权限属性集此过程称为用户授权, 通过文件系统访问检查策略进行控制在使用 server_mount 命令装载文件系统时, 您可以指定如第 9 页上的表 1 中所述的 Celerra 访问检查策略之一默认情况下, 当首次使用控制站创建文件系统时, 该文件系统的根目录上没有 ACL UNIX 所有者是 root, 该用户是唯一对此文件系统具有写入权限的用户只有在首次与文件系统 CIFS 共享建立连接之后, Celerra 系统才会针对 EVERYONE 自动将此共享的根目录上的 ACL 权限设置为完全控制 8 / 78

只有当数据移动器的用户身份验证设置为建议的默认值 NT 时, 访问检查策略才适用可以使用 server_cifs 命令中的 -add security 选项设置此值表 1 Celerra 访问检查策略 ( 第 1 页, 共 2 页 ) 访问检查策略 NATIVE ( 默认值 ) NT UNIX 描述只有当文件或目录上的 UNIX 权限允许时, 才会授予通过 NFS 或 UNIX 身份验证的 FTP 对该文件或目录进行访问的权限只有当文件或目录上的 Windows 权限允许时, 才会授予通过 CIFS 或 Windows 身份验证的 FTP 进行访问的权限系统会维护每个文件和目录的 ACL 和 UNIX 权限 NFS 中文件系统对象权限的更改不会影响 CIFS 中的权限, CIFS 中文件系统对象权限的更改也不会影响 NFS 中的权限只有当 UNIX 和 Windows 权限允许时, 才会授予通过 NFS 或 UNIX 身份验证的 FTP 访问文件或目录的权限只有当 Windows 权限允许时, 才会授予通过 CIFS 或 Windows 身份验证的 FTP 进行访问的权限 (UNIX 权限没有任何影响 ) 系统会维护每个文件和目录的 ACL 和 UNIX 权限 NFS 中文件系统对象权限的更改不会影响 CIFS 中的权限, CIFS 中文件系统对象权限的更改也不会影响 NFS 中的权限只有当 UNIX 权限允许时, 才会授予通过 NFS 或 UNIX 身份验证的 FTP 访问文件或目录的权限 (Windows 权限没有任何影响 ) 只有当文件或目录上的 UNIX 和 Windows 权限允许时, 才会授予通过 CIFS 或 Windows 身份验证的 FTP 进行访问的权限系统会维护每个文件和目录的 ACL 和 UNIX 权限 NFS 中文件系统对象权限的更改不会影响 CIFS 中的权限, CIFS 中文件系统对象权限的更改也不会影响 NFS 中的权限 SECURE 通过 CIFS 和 NFS 提供最大安全性只有当文件或目录上的 UNIX 和 Windows 权限允许时, 才会授予通过 NFS FTP 或 CIFS 对该文件或目录进行访问的权限系统会维护每个文件和目录的 ACL 和 UNIX 权限 NFS 中文件系统对象权限的更改不会影响 CIFS 中的权限, CIFS 中文件系统对象权限的更改也不会影响 NFS 中的权限 MIXED 通过 NFS FTP 或 CIFS 对文件或目录的访问始终由 ACL 确定系统会维护每个文件和目录的 ACL 和 UNIX 权限从上一次设置或更改了权限的协议创建文件和目录的 ACL 例如, 如果 NFS 客户端设置或更改了文件或目录的权限, 则将根据 UNIX 模式位重新构建 ACL 如果 CIFS 客户端设置或更改了文件或目录的权限, 则将根据标准的 Windows 权限构建 ACL 在所有情况下, 不管客户端是使用 NFS CIFS 还是 FTP 协议, ACL 都会确定文件和目录访问权限 ACL 权限比 UNIX 模式位更细化, 因此并非在 ACL 中设置的所有权限都可以转换为 UNIX 模式位在某些情况下, 模式位显示的权限可能要多于用户实际拥有的权限有关详细描述, 请参见第 26 页上的使用 MIXED 和 MIXED_COMPAT 9 / 78

表 1 Celerra 访问检查策略 ( 第 2 页, 共 2 页 ) 访问检查策略 MIXED_COMPAT 描述通过 NFS FTP 或 CIFS 对文件或目录进行的访问由上一次设置或修改权限的协议 (NFS 或 CIFS) 确定系统会维护每个文件和目录的 ACL 和 UNIX 权限如果从 CIFS 客户端设置或更改了文件或目录的权限, 则访问权限由 ACL (EXPLICIT ACL) 确定 UNIX 模式位是根据 ACL 生成的, 但不用于访问检查如果从 UNIX 客户端设置或更改了文件或目录的权限, 则 UNIX 模式位将决定访问权限 ACL 仍将创建, 但不用于访问检查 ACL 权限比 UNIX 模式位更细化, 因此并非在 ACL 中设置的所有权限都可以转换为 UNIX 模式位在某些情况下, 模式位显示的权限可能要多于用户实际拥有的权限有关详细信息, 请参见第 26 页上的使用 MIXED 和 MIXED_COMPAT 注意 : 不会在访问检查策略为 UNIX 或 SECURE 的文件系统对象上建立 DFS 根目录, 因为不能使用 UNIX 权限创建任何 DFS 链接组件设置参数 cifs acl.unixcheckacl=0 会更改 UNIX 文件系统访问策略的行为, 以便不管用于访问文件系统的协议是什么, 都仅使用目录和文件上的 UNIX 模式位来确定用户对文件的访问权限文件系统仍将存储所有 ACL 集, 但不会影响用户的访问权限注意 : 如果使用此参数, 则您还可以考虑将服务器参数 cifs acl.extacl 的第 1 位设置为 2 这会将目录和文件上的 UNIX 模式位提供为目录和文件的 ACL 中的附加 ACE 用于 UNIX 用户的 Windows 样式的凭据在多协议环境中, 部分或全部用户将具有 UNIX 和 Windows 用户身份, 并且可以使用任一用户身份来访问 Celerra 存储的数据 Windows NT 凭据使 Celerra Network Server 在通过 NFS 检查 ACL 访问时能够充分考虑用户的 Windows 组成员身份当 UNIX 用户通过 NFS 为文件系统对象启动请求时, Celerra Network Server 会将 UNIX UID 映射到 Windows SID, 然后合并用户的 UNIX 和 Windows 组以生成 Windows NT 凭据 Windows NT 凭据与 Windows 凭据非常相似, 只是前者不包含本地组, 因为 UNIX 用户无法从本地计算机检索这些组在生成 Windows NT 凭据之后, 它将扩充 NFS RPC 请求中提供的 UNIX 凭据以进行 NFS 访问检查 Windows NT 凭据提供 : 文件系统对象的一致权限 ( 独立于访问该文件系统对象的协议 ) 用于存储 Windows NT 凭据的缓存, 可缩短访问检查处理时间不管客户端使用什么协议, 都使用 ACL 管理对数据的访问权限解除 NFS 版本 2 和 3 所施加的每用户 16 组的 UNIX 凭据限制在多协议环境中使用 Windows NT 凭据功能提供了极大的优势, 因为它在通过 NFS 检查 ACL 时能够充分考虑用户的 Windows 组成员身份 10 / 78

将数据移动器用作 DFS 服务器 Microsoft 的分布式文件系统 (DFS) 允许管理员将位于不同服务器上的共享文件夹分组到一个逻辑 DFS 命名空间 DFS 命名空间是目录树结构中显示的这些共享文件夹的虚拟视图通过使用 DFS, 管理员可以选择要在命名空间中查看的共享文件夹, 为这些文件夹分配名称, 然后设计显示文件夹时所用的树层次结构用户可以浏览命名空间, 而不需要了解服务器名称或宿主数据的实际共享文件夹每个 DFS 树结构都具有一个根目录目标, 它是运行 DFS 服务并宿主命名空间的主机服务器 DFS 根目录包含指向网络上的共享文件夹 ( 共享自身及其中的任何目录 ) 的 DFS 链接这些文件夹称为 DFS 目标 DFS 根服务器 Microsoft 提供两种类型的 DFS 根服务器 : 域 DFS 根服务器和独立 DFS 根服务器域 DFS 服务器将 DFS 层次结构存储在 Active Directory 中独立 DFS 根服务器将 DFS 层次结构存储在本地 Celerra Network Server 提供的功能与 Windows 2000 或 Windows Server 2003 独立 DFS 根服务器相同有关 DFS 的详细描述, 请访问 Microsoft 网站 http://www.microsoft.com 宽链接 Celerra Network Server 宽链接功能使用 Microsoft DFS 功能来解析 Windows 客户端的 UNIX 绝对符号链接这可以通过在 CIFS 共享上创建 DFS 根目录, 然后在该 DFS 根目录上创建链接以将 UNIX 装载点映射到 Windows 服务器 :\share\path 来实现此映射通过 MMC DFS 工具执行当文件系统对象的路径包含绝对符号链接时,Windows 客户端很难打开该文件系统对象的路径 Windows 客户端要求服务器根据给定路径对文件系统对象执行功能与 Windows 不同的是, UNIX 客户端使用装载点的相对目标路径这可以通向远程服务器上的文件系统对象 11 / 78

示例 UNIX 客户端装载了以下两个文件系统 : 在 /first 上装载了 server1:/ufs1 在 /second 上装载了 server2:/ufs2 在 ufs1 上, 存在指向 /second/home 的绝对符号目录链接 UNIX 客户端可以从 ufs1 轻松访问此链接但是, 由于此路径仅存在于 UNIX 客户端上, 不存在于本地服务器上, Windows 客户端无法跟踪此路径通过使用宽链接, Windows 客户端在跟踪绝对符号链接时, 能够从与 UNIX 客户端相同的目录访问文件 Celerra 系统通过使用数据移动器的 DFS 根目录功能来实现此目标借助宽链接转换, 您能够更加轻松地构建和维护单个多协议文件系统命名空间 ( 跨越多个文件服务器 ), 因为它减少了与维护 NFS 和 CIFS 命名空间结构定义 ( 例如, NFS 自动装载表和 DFS) 之间的一致性相关联的负担第 51 页上的使用宽链接提供了详细信息 12 / 78

Celerra 多协议环境的系统要求有关系统要求, 请参见 : Configuring and Managing CIFS on EMC Celerra ( 在 EMC Celerra 上配置和管理 CIFS) 了解 CIFS 访问要求 Configuring NFS on EMC Celerra ( 在 EMC Celerra 上配置 NFS) 了解 NFS 访问要求第 13 页上的 E-Lab 互操作性 Navigator, 获取支持的 NFS 和 CIFS 客户端列表 E-Lab 互操作性 Navigator EMC E-Lab TM 互操作性 Navigator 是一个可搜索的基于 Web 的应用程序, 它提供对 EMC 互操作性支持列表的访问可从 EMC Powerlink 网站 http://powerlink.emc.com 获得该应用程序登录到 Powerlink 后, 转至支持 > 互操作性和产品生命周期信息 > E-Lab 互操作性 Navigator 13 / 78

Celerra 多协议环境的用户界面选项 Celerra Network Server 使您可以根据支持环境和界面首选项灵活地管理网络存储本文档介绍了如何使用命令行界面 (CLI) 在多协议环境中配置 Celerra Network Server 您还可以通过使用以下 Celerra 管理应用程序之一执行其中某些任务 : Celerra Manager - Basic Edition Celerra Manager - Advanced Edition Microsoft 管理控制台 (MMC) 插件 Active Directory 用户和计算机 (ADUC) 扩展有关管理您的 Celerra 的其他信息, 请参阅 : Learning about EMC Celerra ( 了解 EMC Celerra), 位于 EMC Celerra Network Server Documentation CD 上 Celerra Manager 联机帮助 EMC Celerra Network Server Documentation CD 上的应用程序联机帮助系统 Installing EMC Celerra Management Applications ( 安装 EMC Celerra 管理应用程序 ) 文档提供了有关启动 Celerra Manager 以及安装 MMC 管理插件和 ADUC 扩展的说明 14 / 78

针对多协议环境管理 Celerra 的路线图针对多协议环境管理 Celerra 的任务包括 : 第 16 页上的互操作性注意事项第 24 页上的选择访问检查策略第 35 页上的生成 Windows NT 凭据第 40 页上的仅使用 UNIX 权限执行访问检查第 41 页上的设置文件锁定策略第 43 页上的从 Windows 客户端查看并设置 UNIX 权限第 45 页上的配置和管理 DFS 支持第 51 页上的使用宽链接第 59 页上的从 UNIX 客户端查看和设置 Windows ACL 15 / 78

互操作性注意事项虽然在大多数情况下多协议文件共享都可以无缝地呈现给最终用户, 但是在支持多协议环境方面还是有一些特别注意事项本节介绍 : 第 16 页上的使用 NFS 和 CIFS 文件命名约定第 16 页上的解决文件命名冲突第 17 页上的使用符号链接第 20 页上的链接文件系统使用 NFS 和 CIFS 文件命名约定第 16 页上的表 2 说明了 NFS 与 CIFS 协议之间文件命名约定的区别表 2 NFS 和 CIFS 文件命名约定 NFS 名称 CIFS 名称区分大小写不区分大小写, 但是保留大小写不变允许目录保存名称相同但大小写不同的文件不允许目录中包含两个名称相同但大小写不同的文件, 并且将这些名称标识为重复名称注意当为 Windows 客户端创建 UID 和 GID 名称时, 在 NIS 密码文件和组 UNIX 文件中必须使用小写编写 Windows 名称 ( 用户名域名和全局组名称 ) 执行显式用户和组映射时必须小心谨慎 ; Celerra Network Server 无法像 Windows 那样识别名称解决文件命名冲突由于文件命名约定不同, 由 NFS 用户创建的文件有时会让 CIFS 用户遇到冲突当 NFS 用户在单个目录中创建名称相同而仅大小写不同的文件时, 便会发生这种情况为解决命名冲突, Celerra Network Server 通过附加数字标识符来区分 CIFS 文件名例如 : NFS 和 CIFS 目录中的 NFS 文件 Aaa 对 CIFS 用户显示为 Aaa 相同目录中的第二个 NFS 文件 aaa 对于 NFS 用户是唯一的, 但是对 CIFS 用户显示为 aaa~1 第三个 NFS 文件 aaa 对于 NFS 用户是唯一的, 但是对 CIFS 用户显示为 aaa~2 16 / 78

使用符号链接符号链接是指由 UNIX 客户端创建的可指向另一个节点 ( 称为目标节点的文件或目录 ) 的特殊节点目标节点在符号链接节点中定义为路径名称通常, NFS 符号链接对于 Windows 客户端毫无意义, 因为客户端必须解析 ( 跟踪 ) 符号链接才能找到其目标但是, 在某些情况下, Celerra Network Server 会为 Windows 客户端解析符号链接, 以便这些客户端可以通过符号链接访问与 UNIX 客户端相同的文件和目录注意 : 要确保在使用常规基于 Windows 的备份工具 ( 如 NTbackup) 时备份了符号链接, 请设置 cifs acl.extacl 参数的第 3 位第 59 页上的从 UNIX 客户端查看和设置 Windows ACL 说明了 cifs acl.extacl 参数如果 Celerra 数据移动器能够代表 CIFS 用户访问目标, 则用户会看到符号链接的目标, 而不是链接自身, 并且用户不知道已跟踪了符号链接如果目标不可访问, 则用户会看到符号链接显示为文件, 但是无法访问该文件默认情况下, 只有当目标符合以下条件时, Celerra Network Server 才能解析 Windows 客户端的符号链接 : 不含绝对路径 ( 完整路径名称 ) 换句话说, 目标路径的开头不是斜杠 (/) 不属于包含符号链接的目录的父目录 ( 路径名称未使用.. 组成部分进行向上引用 ) 有效和无效符号链接的示例数据移动器可代表 Windows 客户端来跟踪指向 dir2/dir3 的符号链接, 因为目标相对于链接自身所在的目录除非设置了 shadow followabsolute 参数, 否则 Windows 客户端无法跟踪指向 /dir1/dir2/dir3 的符号链接这是因为目标相对于文件系统的根目录, 因此无法解析!! 警告当数据移动器代表 CIFS 客户端解析符号链接时,CIFS 客户端无法区分符号链接自身与符号链接的目标因此, 如果符号链接引用的是一个目录, 并且 Windows 用户尝试删除符号链接, 则系统将删除该链接及其所引用的目录内容! 警! 告不要使用 Microsoft Office 应用程序处理符号链接所代表的文件更新文件时, Microsoft Office 将在包含符号链接的目录中创建更新的文件, 而不是在符号链接的目标目录中创建更新的文件 17 / 78

!! 警告如果无法访问目标, 则无法通过 Windows 客户端删除符号链接在删除过程中, Microsoft 资源管理器将尝试打开该文件 ( 该文件不可访问 ), 但会失败除非设置了 shadow followdotdot 参数, 否则数据移动器无法代表 Windows 客户端跟踪指向../file 的符号链接即使设置了该参数, 也只有当目标位于链接自身所在的共享中时, 才会转换该链接更改默认的符号链接行为以下系统参数会修改符号链接的默认行为 : shadow followdotdot 如果指向父目录的目标路径支持符号链接, 请更改 shadow followdotdot 参数即使更改此参数, 目标节点必须仍位于同一共享空间中 ( 不可能指向共享外部 ), 除非同时启用了 shadow followabsolutpath 参数第 18 页上的更改 shadow followdotdot 参数提供了详细信息 shadow followabsolutpath 如果要支持使用绝对路径作为目标的符号链接, 请更改 shadow followabsolutpath 参数第 20 页上的启用具有绝对路径的符号链接提供了详细信息如果启用了 shadow followabsolutpath 参数以跟踪绝对路径, 则目标将由数据移动器解析数据移动器只能解析相对于数据移动器上的根文件系统的路径如果这是虚拟数据移动器, 则此路径必须是 VDM 的根目录 ( 例如, /mountpoint/directory); 否则, Windows 客户端无法访问该目标借助 NFS, 客户端可以读取符号链接的目标路径, 并尝试通过在客户端上执行本地查找来访问目标如果 NFS 客户端具有与数据移动器相同的装载点, 则 NFS 客户端只能访问带有绝对路径的目标更改 shadow followdotdot 参数默认情况下, 代表 Windows 客户端的数据移动器不会跟踪特定符号链接, 这些符号链接包含对父目录进行向上引用的路径名称如果更改了 shadow followdotdot 参数, 则代表 Windows 客户端的数据移动器将跟踪包含.. 组成部分的符号链接 18 / 78

!! 警告如果启用 shadow followdotdot 参数, 以便数据移动器代表 Windows 客户端向上跟踪符号链接, 则可能会在提供给 Windows 客户端的命名空间中创建无限循环执行命名空间搜索的应用程序存在陷入无限循环的风险操作要使代表 Windows 客户端的数据移动器能够跟踪目标路径名称中含有.. 组成部分的符号链接, 请使用以下命令语法 : $ server_param < 移动器名称 > -facility shadow -modify followdotdot - value 1 其中 : < 移动器名称 > = 数据移动器的名称示例 : $ server_param server_2 -facility shadow -modify followdotdot - value 1 输出 server_2 : done 19 / 78

启用具有绝对路径的符号链接默认情况下, 代表 Windows 客户端的数据移动器不会跟踪含有绝对路径 ( 完整路径名称 ) 的符号链接如果更改了 shadow followabsolutpath 参数, 则数据移动器将跟踪包含完整路径名称的符号链接注意 : 如果设置了第 1 位, 则将给 NFS 访问带来潜在安全问题, 因为 NFS 客户端可以创建绝对符号链接来指向数据移动器中的任何位置如果未设置第 1 位, 则将仅跟踪 root (uid 0) 所拥有的链接操作要在目标是绝对路径时使代表 Windows 客户端的数据移动器能够跟踪符号链接, 请使用以下命令语法 : $ server_param < 移动器名称 > -facility shadow -modify followabsolutpath -value < 新值 > 其中 : < 移动器名称 > = 数据移动器的名称 < 新值 > = Bit list 第 0 位 : 0 = 不允许包含绝对路径的符号链接 1= 允许跟踪包含绝对路径的符号链接第 1 位 : 0 = 仅允许跟踪 root (UID 0) 所拥有的绝对符号链接 1= 允许跟踪任何绝对符号链接示例 : $ server_param server_2 -facility shadow -modify followabsolutpath -value 1 输出 server_2 : done 链接文件系统通过使用符号链接, CIFS 客户端可以从单一共享访问数据移动器上的多个文件系统这将呈现一个较大的命名空间, 而它实际上包含通过符号链接链接在一起的个别文件系统在启用 shadow followabsolutpath 参数后, 您可以创建单一 CIFS 共享来提供对数据移动器上的多个文件系统的访问权限第 20 页上的启用具有绝对路径的符号链接提供了详细信息要使用符号链接将文件系统链接在一起, 请执行下列操作 : 步骤操作 1. 启用 shadow followabsolutpath 默认情况下, 数据移动器上未启用此参数第 18 页上的更改默认的符号链接行为提供了详细信息 2. 装载文件系统 20 / 78

步骤操作 3. 创建顶层文件系统 ( 带有符号链接的文件系统 ) 的共享 4. 在 NFS 客户端上装载顶层文件系统 5. 在将访问链接的目录中, 创建指向文件系统的符号链接通过 CIFS 客户端访问符号链接以下示例显示装载两个文件系统创建顶层文件系统的共享, 然后使用符号链接将第二个文件系统链接到共享时所需的步骤 : 注意 : 只能使用控制站和 NFS 客户端来执行以下步骤步骤操作 1. 将 shadow followabsolutpath 参数设置为 1 ( 启用 ) 2. 装载两个文件系统 ufs1 和 ufs2: $ server_mount server_2 server_2 : root_fs_2 on / uxfs,perm,rw root_fs_common on /.etc_common uxfs,perm,ro ufs1 on /ufs1 uxfs,perm,rw ufs2 on /ufs2 uxfs,perm,rw 3. 创建 ufs1 ( 顶层文件系统 ) 的共享 : $ server_export server_2 server_2 : export "/ufs1" share "ufs1" "/ufs1" netbios=ns700-jb1 maxusr=4294967295 umask=22 4. 在 NFS 客户端上装载顶层文件系统 ufs1: # mount 192.168.101.238:/ufs1 /ufs1 # mount 192.168.101.238:/ufs1 on /ufs1 type nfs (rw,addr=192.168.101.238) 21 / 78

步骤操作 5. 符号链接跟踪与数据移动器相关的绝对路径此路径是相对于数据移动器上根文件系统的绝对路径注意 : 您必须具有 root 用户权限才能创建符号链接在将访问链接的目录 ( 本例中为 /ufs1) 中, 创建指向第二个文件系统 ufs2 的符号链接 : # ln -s /ufs2 fslink2 # ls -l total 8 lrwxrwxrwx 1 root root 5 Jun 10 2004 fslink2 -> /ufs2 drwxr-xr-x 2 root root 8192 Jun 9 12:14 lost+found 注意 : 所链接文件系统的检查点未出现在顶层文件系统 ( 本例中为 usf1) 下您必须位于所链接文件系统自身的目录中才能查看这些检查点在上述步骤中, 命令 ln -s /ufs2 fslink2 将 fslink2 链接到路径 /ufs2, 因为它适用于数据移动器访问 ufs1 共享的 CIFS 客户端可将 fslink2 作为其目录之一来查看, 如第 22 页上的图 2 中所示图 2 符号链接示例通过 NFS 客户端访问符号链接 NFS 客户端无法访问 fslink2 链接, 因为它们不知道其在数据移动器上的路径, 如下所示 : # ls -l total 8 lrwxrwxrwx 1 root root 5 Jun 10 13:20 fslink2 -> /ufs2 drwxr-xr-x 2 root root 8192 Jun 9 12:14 lost+found # cd fslink2 bash: cd: fslink2: No such file or directory 要使 NFS 客户端能够访问符号链接, 必须执行以下附加步骤 : 导出文件系统, 创建并装载目录, 然后将文件系统装载到该目录 22 / 78

以下示例显示导出数据移动器上的 /ufs2 在 NFS 客户端上创建并装载 /ufs2 目录, 然后将 ufs2 装载到该目录时所需的步骤 : 步骤操作 1. 导出数据移动器上的文件系统 : # server_export server_2 -o anon=0 /ufs2 server_2 : done 2. 在 NFS 客户端上创建目录并装载文件系统 : # mkdir /ufs2 # mount 192.168.101.238:/ufs2 /ufs2 # cd /ufs1 # ls -l total 8 lrwxrwxrwx 1 root root 5 Jun 10 13:20 fslink2 -> /ufs2 drwxr-xr-x 2 root root 8192 Jun 9 12:14 lost+found 3. 在 NFS 客户端上创建目录 /ufs2 并将文件系统装载到该目录后, 客户端可以跟踪符号链接 : # cd fslink2 # ls -l total 32 drwxr-xr-x 2 root root 8192 Jun 9 12:15 lost+found -rw-r--r-- 1 32769 32771 24064 Jun 10 09:52 test1.doc 文件链接限制文件链接限制如下 : 当用户跟踪从顶层文件系统到从属文件系统的链接时, 系统会将顶层文件系统上的访问检查策略应用于从属文件系统顶层文件系统 ( 用户连接的源 ) 的文件系统大小不反映从属文件系统的大小系统始终按文件系统报告配额如果从属文件系统上存在用户组或树, 则将单独报告每个文件系统如果在顶层文件系统上使用 WatchTree 位设置了通知请求, 则对从属文件系统所做的更改将不会触发通知某些请求会返回打开文件的完整路径名称如果打开文件位于通过符号链接访问的文件系统上, 则返回的路径可能不是期望的路径在通过符号链接遍历文件系统时, 命令 cd.. 可能不会返回包含符号链接的目录 ( 如果使用的是 Microsoft Windows 资源管理器, 则不会发生此问题 ) 如果将文件从备份恢复到所链接的文件系统, 请始终先恢复符号链接 ; 否则, 会对顶层文件系统执行完整恢复如果从属文件系统未装载在数据移动器上, 则符号链接将对 CIFS 客户端显示为目录此目录是数据移动器的根文件系统 23 / 78

选择访问检查策略第 24 页上的图 3 有助于确定最适合环境的访问检查策略图 3 访问检查策略的决策树注意 : 自动同步是指在从 NFS 客户端设置权限时将 UNIX 模式位转换为 ACL, 反过来则表示在从 CIFS 客户端设置权限时将 ACL 转换为文件系统对象上的 UNIX 模式位第 26 页上的自动同步说明如何在 Celerra Network Server 中执行自动同步第 25 页上的表 3 说明了 Celerra 访问策略如何与 CIFS 和 NFS 客户端进行交互, 以检查多协议环境中文件系统对象的权限 24 / 78

表 3 检查多协议环境中的权限访问检查策略权限属性 CIFS 客户端 NFS 客户端在一个权限集合中所做的更改是否会反映到其他集合中? NATIVE ( 默认值 ) 检查 ACL 检查 UNIX 权限 UNIX NT SECURE 两个权限属性 : ACL 和 UNIX 模式位检查 ACL 和 UNIX 权限检查 ACL 检查 ACL 和 UNIX 权限检查 ACL 和 UNIX 权限否 MIXED 由于自动同步, 不管使用什么协议, 都将使用一个权限属性集将检查 ACL 如果没有 ACL, 则将根据 UNIX 模式位创建 ACL 访问权限还由 ACL 确定 NFSv4 客户端可以管理 ACL ACL 修改会重新构建 UNIX 模式位, 但是不检查 UNIX 权限修改 UNIX 模式位会重新构建 ACL 权限, 但是不检查 UNIX 权限 MIXED_COMPAT 由于自动同步, 不管使用什么协议, 都将使用一个权限属性集如果文件或目录的权限在最近一次是由 CIFS 客户端设置或更改的, 则系统会检查 ACL, 会重新构建 UNIX 权限但不会检查这些权限如果文件或目录的权限在最近一次是由 NFS 客户端设置或更改的, 则系统会检查 UNIX 权限, 会重新构建 ACL 权限但不会检查这些权限 NFSv4 客户端可以管理 ACL 如果文件或目录的权限在最近一次是由 NFS 客户端设置或更改的, 则系统会检查 UNIX 权限, 会重新构建 ACL 权限但不会检查这些权限如果文件或目录的权限在最近一次是由 CIFS 客户端设置或更改的, 则系统会检查 ACL, 会重新构建 UNIX 权限但不会检查这些权限 NFSv4 客户端可以管理 ACL 是 25 / 78

注意 : 如果从 Windows 客户端进行访问, 则只有当 CIFS 用户身份验证方法设置为建议的默认值 NT 时, 才会检查 ACL 可以使用 server_cifs 命令的 -add security 选项设置此值可以通过修改 cifs acl.checkacl 参数来仅根据 UNIX 权限强制检查所有访问请求第 40 页上的仅使用 UNIX 权限执行访问检查提供了详细信息使用 MIXED 和 MIXED_COMPAT UNIX 和 Windows 处理访问控制的方式非常不同, 这导致很难在多协议环境中对文件系统对象设置相同的安全性 Celerra 的 MIXED 和 MIXED_COMPAT 策略使用可将 UNIX 权限转换为 ACL 项以及将 ACL 项转换为 UNIX 权限的算法, 来尽可能地同步 UNIX 和 Windows 权限 MIXED 和 MIXED_COMPAT 策略将 UNIX 组转换为 ACE 以及执行访问检查的方式有所不同 MIXED 策略始终独立于用于访问文件系统对象的协议根据 ACL 执行访问检查, 如以下示例所述 MIXED_COMPAT 策略将使用最近设置或更改了文件系统对象上的权限的协议中的权限 MIXED 示例为 FileX 分配了模式位 rwxrw-r- 如果 FileX 的 ACL 是按照下列方式修改的 : 向不是文件所有者的 user1 授予对该文件的读取写入和执行访问权限, 则 ACL 将显示文件所有者对 FileX 具有读取写入和执行访问权限所有者组的成员具有读取和写入访问权限, 其他用户具有读取访问权限, 而 user1 具有读取写入和执行访问权限然而, UNIX 模式位显示 rwxr-xrwx, 这意味着至少一个非文件所有者用户具有读取写入和执行访问权限虽然所有其他用户似乎具有 FileX 的完全访问权限, 但是仅 user1 具有完全访问权限, 因为 ACL 是一种控制访问权限, 而非 UNIX 模式位自动同步当为文件系统对象启用 MIXED 和 MIXED_COMPAT 策略时, 系统将自动同步 ACL 和 UNIX 模式位对 ACL 所做的更改会导致对模式位进行修改, 而对模式位进行更改会重建 ACL 第 26 页上的表 4 说明了在同步期间 MIXED 访问检查策略如何转换 ACL 和 UNIX 模式位表 4 MIXED 访问检查策略将 UNIX 模式位转换为 ACL 根据 Owner Group 和 Other 的模式位为 File Owner Group 和 Everyone 创建 ACL 项设置 Delete 或 Change 权限, 获取 Owner 的所有权, 而不是 Everyone 和其他组的所有权将 ACL 转换为 UNIX 模式位转换 ACL Allow 选项, 而不是 ACL Deny 选项根据 Owner 项文件或目录的 ACE 以及 Everyone ACE 构建 Owner 模式位 26 / 78

第 27 页上的表 5 说明了在自动同步期间 MIXED_COMPAT 访问检查策略如何转换 Windows ACL 和 UNIX 模式位表 5 MIXED_COMPAT 访问检查策略将 UNIX 模式位转换为 ACL 在 ACL 中仅创建两项 :Owner 和 Everyone 从 Group 模式位创建 Everyone ACE, 因为组不使用此策略进行转换将 ACL 转换为 UNIX 模式位转换 ACL Allow 选项, 而不是 ACL Deny 选项将 None Owner 和 Granted ACEs 构建成 Group 和 Other 模式位忽略 Other 模式位, 并且不使用它们来构建 ACL 设置 Delete 或 Change 权限, 取得 File Owner 的所有权, 而不是 Everyone 组的所有权将 ACL 权限映射到 UNIX 模式位第 27 页上的表 6 显示了 MIXED 和 MIXED_COMPAT 访问策略如何将 ACL 文件和目录权限映射到 UNIX 文件和目录权限注意 : 对于 MIXED 和 MIXED_COMPAT, 请确保设置 Windows 用户默认组, 因为 Celerra Network Server 使用此组来确定将哪些 UNIX 主组分配给通过 CIFS 创建的文件系统对象表 6 将 ACL 文件和目录权限转换为 UNIX 权限 ( 第 1 页, 共 2 页 ) 文件权限目录权限 R W X R W X 遍历文件夹 / 执行文件 X X 读取数据 X 读取属性 X X X 读取扩展属性 X X 写入数据附加数据 X X 写入属性 X X 写入扩展属性 X X 删除 X X 27 / 78

表 6 将 ACL 文件和目录权限转换为 UNIX 权限 ( 第 2 页, 共 2 页 ) 文件权限目录权限 R W X R W X 读取权限 X 列出文件夹 X 创建文件创建文件夹删除子文件夹和文件 X X X 注意 : 当 Celerra 用作 NFSv4 服务器, 并且文件系统对象具有 ACL 时, 某些 NFSv4 客户端可能会在 ls -l 输出中放置一个加号例如 :rwxrw-r + 将 UNIX 模式位映射到 ACL 权限第 28 页上的表 7 显示了 MIXED 和 MIXED_COMPAT 访问检查策略如何将 UNIX 模式位映射到 ACL 权限表 7 将 UNIX 权限转换为 ACL ( 第 1 页, 共 2 页 ) R W X 遍历文件夹 / 执行文件 X 列出文件夹 X X 读取数据读取属性读取扩展属性 X X X 创建文件 / 写入数据创建文件夹 / 附加数据写入属性写入扩展属性删除子文件夹和文件 X X X X X 28 / 78

表 7 将 UNIX 权限转换为 ACL ( 第 2 页, 共 2 页 ) R W X 删除读取权限 X X X 更改权限取得所有权继承规则第 29 页上的表 8 说明了 NATIVE UNIX NT 和 SECURE 访问检查策略的继承规则表 8 协议 NATIVE UNIX NT 和 SECURE 继承规则规则 CIFS 当 CIFS 客户端创建文件系统对象时 : 从父目录 ( 如果存在 ) 继承 ACL UNIX 模式位由共享上设置的 umask 确定共享的 umask 通过 server_export 命令的 umask 选项进行设置 NFS 当 NFS 客户端创建文件系统对象时 : 从父目录 ( 如果存在 ) 继承 ACL UNIX 模式位由用户的 umask 确定注意 : 在创建文件或目录时, NFS v4 客户端可能设置模式位和 / 或 ACL, 从而覆盖继承和 umask 注意 :umask 值以八进制格式指定, 并使用文件的权限 644 和目录的权限 755 执行异或计算常见值包括 002, 它向用户或所有者和组授予完整访问权限, 向其他用户授予读取 ( 和目录搜索 ) 访问权限 ; 或者 022 ( 默认值 ), 它向用户或所有者授予完全访问权限, 向组和其他用户授予读取 ( 和目录搜索 ) 访问权限, 但不授予写入权限要更改默认 umask 值, 请使用参数 share.default.umask 29 / 78

第 30 页上的表 9 说明了 MIXED 和 MIXED_COMPAT 访问检查策略的继承规则表 9 协议 CIFS MIXED 和 MIXED_COMPAT 继承规则规则当 CIFS 客户端创建文件系统对象时, 如果设置了继承标记, 并且对象的父对象具有 ACL, 则文件系统对象将继承 ACL, 并且将根据 ACL 转换来创建 UNIX 模式位权限如果父对象不具有 ACL, 则将根据 umask 值 * 设置 UNIX 权限, 并且根据这些值生成 ACL NFS UNIX 模式位基于 umask 值 1 从 UNIX 模式位创建 ACL 注意 : 在创建文件或目录时, NFS v4 客户端可能会设置模式位或 ACL, 从而覆盖继承和 umask 1umask 值以八进制格式指定, 使用文件的默认权限 644 和目录的默认权限 755 执行异或计算备份和恢复文件系统对象文件系统备份工具保存并恢复 ACL 和 UNIX 权限及其属性对于网络数据管理协议 (NDMP) 和 CIFS 网络备份, 只会对 ACL 权限进行备份和恢复, 并确定 UNIX 权限对于 NFS 备份, 只会对 UNIX 权限进行备份和恢复, 并确定 ACL 权限因此, 在执行 NFS 备份期间, ACL 中最复杂的 ACE 可能会丢失使用 NDMP 来备份和恢复多协议文件系统, 因为通过 NFS 或 CIFS 执行的网络备份仅捕获多协议文件系统上的一组元数据 30 / 78

设置访问检查策略如果文件系统当前具有 NATIVE NT UNIX 或 SECURE 访问检查策略, 并且使用 MIXED 或 MIXED_COMPAT 重新装载, 请在完成此命令后转到第 31 页上的迁移到 MIXED 和 MIXED_COMPAT 注意 : 执行此命令之前, 请始终检查文件系统的当前访问检查策略操作要设置文件系统的访问检查策略, 请使用以下命令语法 : $ server_mount < 移动器名称 > -o accesspolicy=nt UNIX SECURE NATIVE MIXED MIXED_COMPAT < 文件系统名称 > < 装载点 > 其中 : < 移动器名称 > = 数据移动器或 VDM 的名称 < 文件系统名称 > = 正在装载的文件系统的名称 < 装载点 > = 装载点的名称 < 装载点 > 的开头必须是正斜杠 (/) 示例 : 要将 server_2 上文件系统 ufs1 的访问检查策略设置为 NT, 请键入以下内容 : $ server_mount server_2 -o accesspolicy=nt ufs1 /ufs1 输出 server_2: done 迁移到 MIXED 和 MIXED_COMPAT 借助 NATIVE NT UNIX 和 SECURE 访问策略, Celerra Network Server 可以存储文件系统中每个文件和目录的 UNIX 和 Windows 权限在这些策略下, 更改一个权限集不会影响其他权限集因此, Windows 和 UNIX 权限彼此不大可能一致当使用原始访问检查策略 NATIVE NT UNIX 或 SECURE 重新装载具有 MIXED 或 MIXED_COMPAT 的文件系统时, 其现有文件和目录可能仍具有未同步的权限 nas_fs -translate 命令使文件系统能够同步文件系统中每个文件和目录的 UNIX 和 Windows 权限, 如第 27 页上的将 ACL 权限映射到 UNIX 模式位和第 28 页上的将 UNIX 模式位映射到 ACL 权限中所述 31 / 78

!! 警告迁移到 MIXED 或 MIXED_COMPAT 可能会更改某些文件系统对象的现有权限只有当多协议环境需要自动同步 UNIX 模式位和 ACL 项时或者您使用 NFSv4 访问数据时, 才应执行转换功能第 32 页上的表 10 说明了如何使用 NT UNIX NATIVE 或 SECURE 作为起始策略来将 Windows 和 UNIX 权限转换为 MIXED 或 MIXED_COMPAT 起始策略指示 Celerra 在迁移到 MIXED 或 MIXED_COMPAT 时从哪个权限属性 (ACL 或模式位 ) 集合派生权限它不一定与文件系统对象先前使用的策略相关起始策略在 nas_fs -translate 命令的 -from 选项中指定例如, 如果对 -from 选项指定 UNIX, 则将从模式位重新生成所有 ACL 表 10 迁移到 MIXED 或 MIXED_COMPAT 起始策略 NATIVE 和 NT 同步操作如果文件系统对象具有 ACL, 则将从 ACL 派生 UNIX 权限, 如第 27 页上的表 6 中所示如果对象不具有 ACL, 则将从模式位 ( 保持不变 ) 生成 ACL UNIX 所有 ACL 都根据模式位进行重建 UNIX 用户的访问控制保持不变由于 UNIX 安全模型不像 Windows 安全模型那样灵活, 在迁移期间, 可能会丢失某些 ACL 信息 SECURE 将检查并存储 ACL 和模式位通过添加三个 ACE 来将模式位合并到 ACL 中 :OWNER GROUP 和 OTHER ( 如果不存在 ) 如果其中任何一个 ACE 已存在, 则将使用对应的 UNIX 权限对它们进行合并执行同步之前由于同步过程无法撤消, 请首先备份文件系统在执行 translate 命令前后, 请始终检查文件系统上设置的访问检查策略在执行此命令之前, 必须将文件系统装载为 MIXED 或 MIXED_COMPAT 如果不这样做, 则该命令将被拒绝要转换的文件系统必须是以读 / 写方式装载的 UXFS 文件系统对象 32 / 78

执行同步在将文件系统对象重新装载为 MIXED 或 MIXED_COMPAT 后, 请使用 nas_fs - translate 命令同步文件系统上的 UNIX 和 Windows 权限迁移 : 从 NT NATIVE UNIX 或 SECURE 到 MIXED 或 MIXED_COMPAT 从 MIXED 至 MIXED_COMPAT 从 MIXED_COMPAT 至 MIXED 注意 : 在 -from 选项中键入的访问检查策略告知 Celerra 在执行转换期间使用哪些权限 (UNIX 或 Windows) 作为主策略, 如第 32 页上的表 10 中所述操作要同步文件系统上的 UNIX 和 Windows 权限, 请使用以下命令语法 : $ nas_fs -translate < 文件系统名称 > -access_policy start -to {MIXED} -from {NT NATIVE UNIX SECURE} 其中 : < 文件系统名称 > = 文件系统的名称示例 : 要同步 server_2 上 ufs1 的 UNIX 和 Windows 权限, 并根据 UNIX 模式位重新生成 ACL, 请键入以下内容 : $ nas_fs -translate ufs1 access_policy start -to MIXED -from UNIX 输出 server_2: done 33 / 78

检查转换状态操作要检查文件系统的转换状态, 请使用以下命令语法 : $ nas_fs -translate < 文件系统名称 > -access_policy status 其中 : < 文件系统名称 > = 正在转换的文件系统的名称示例 : 要检查 ufs1 的转换状态, 请键入以下内容 : $ nas_fs -translate ufs1 -a status 输出 status=in progress percent_inode_scanned=68 1097154093: ADMIN: 4: Command succeeded: acl database=/ufs1 convertaccesspolicy status 说明如果转换失败, 请检查文件系统是否装载为 MIXED 或 MIXED_COMPAT 如果转换由于系统故障而无法完成, 请再次运行该命令重置 MIXED 和 MIXED_COMPAT 可以将文件系统对象的 MIXED 或 MIXED_COMPAT 访问检查策略重置为 NT NATIVE UNIX 或 SECURE, 方法是使用所需的访问检查策略重新装载该文件系统对象除了应用新的访问权限策略外, ACL 权限或 UNIX 模式位不会更改 ; 并且首次修改时, ACL 和模式位将变为独立状态操作要重置文件系统的 MIXED 或 MIXED_COMPAT 访问检查策略, 请使用以下命令语法 : $ server_mount < 移动器名称 > -o accesspolicy=nt UNIX SECURE NATIVE MIXED MIXED_COMPAT < 文件系统名称 > < 装载点 > 其中 : < 移动器名称 > = 数据移动器的名称 < 文件系统名称 > = 正在装载的文件系统的名称 < 装载点 > = 装载点的名称, 开头为正斜杠 (/) 示例 : 要将 server_2 上文件系统 ufs1 的访问检查策略重置为 UNIX, 请键入以下内容 : $ server_mount server_2 -o accesspolicy=unix ufs1 /ufs1 输出 server_2: done 34 / 78

生成 Windows NT 凭据第 35 页上的图 4 说明了在 UNIX 客户端请求对文件系统对象的访问权限后, Celerra Network Server 如何生成 Windows NT 凭据图 4 创建 Windows NT 凭据处理 Windows NT 凭据 Celerra Network Server 将执行以下步骤来处理 Windows NT 凭据 : 步骤操作 1. 检查 UNIX 用户 ID 是否在 Windows NT 凭据缓存中 : 如果用户 ID 不在缓存中, 则转到步骤 2 如果用户 ID 在缓存中, 则检查 Windows NT 凭据的生存时间 (TTL) 过期戳记如果 TTL 已过期, 则转到步骤 2 ; 如果未过期, 则转到步骤 7 2. 尝试将用户 ID 映射到 Windows SID 35 / 78

步骤操作 3. 如果找不到匹配项 : 搜索与 UID 相关联的名称此名称有助于从域控制器检索 SID, 方法是 : 在 nfs NTcred.winDomain 参数中使用默认 Windows 域使用从 NIS 检索到的域扩展或者使用数据移动器上的本地密码文件如果找不到任何 SID, 则将映射失败的项插入到缓存在这种情况下, 将使用 NFS 请求中发送的 UNIX 凭据执行访问检查这将导致系统无法持续访问匹配 SID 的域控制器 4. 如果找到匹配项, 则从域控制器检索用户的组列表这可以是数据移动器的域或某个受信任的域 5. 将 UNIX 凭据替换为新的 Windows NT 凭据 6. 将 Windows NT 凭据插入缓存, 供 UNIX 客户端执行访问检查 7. 执行访问检查使用 Windows 2000 访问受信任域对于 Windows 2000, 访问受信任域时需要为 CIFS 服务器设置附加权限, 以便此服务器检索用户所属的组的列表必须向此服务器授予列出内容和读取全部属性权限执行以下任务来设置 CIFS 服务器的权限 : 步骤操作 1. 在专家模式下使用 Microsoft AD 用户和计算机 MMC 2. 从菜单中选择 View ( 查看 ) > Advanced ( 高级 ) 功能 3. 右键单击域名, 然后选择 Security ( 安全 ) > Advanced ( 高级 ) 4. 授予权限 : 对于数据移动器 NetBIOS 名称 :Everyone 或 Anonymous 对于数据移动器计算机名称 :serverdomain\domain Computers 36 / 78

设置 Windows 默认域 nfs NTcred.winDomain 参数指定默认 Windows 域名, 供 NFS 用户用于访问使用 ntcredential 选项的文件系统如果多个不同的 SID 与用户的 UNIX UID 相匹配, 或者 UID 至名称反向映射返回不明确的用户名, 则使用此名称注意 : 参数和工具名称区分大小写此参数不适用于 NFSv4, 但是可用于 NFSv2 和 NFSv3 操作要设置 Windows 默认域, 请使用以下命令语法 : $ server_param < 移动器名称 > -facility nfs -modify NTcred.winDomain -value < 新值 > 其中 : < 移动器名称 > = 数据移动器的名称 < 新值 > = 有效的 NETBIOS 域名示例 : 要将 Windows 默认域设置为 nasdocs.emc.com, 请键入以下内容 : $ server_param server_2 -facility nfs -modify NTcred.winDomain -value nasdocs.emc.com 输出 server_2 : done 定义 Windows NT 凭据缓存 NT 凭据缓存是一个大小受限的缓存, 包含 Windows NT 凭据以及任何无法映射到 SID 的 UID 项每项都有一个生存时间过期戳记通过使用 nfs NTcred.size 参数来设置缓存的大小 ( 最大项数 ) 注意 : 如果停止 CIFS 服务, 则所连接的用户可以继续使用缓存达 20 分钟重新启动 CIFS 时, 将从缓存中删除所有失败的映射项操作要设置 Windows NT 凭据缓存大小, 请使用以下命令语法 : $ server_param < 移动器名称 > -facility nfs -modify NTcred.size -value < 新值 > 其中 : < 移动器名称 > = 数据移动器的名称 < 新值 > = 缓存中的最大项数默认值为 1009 示例 : 要将 Windows NT 凭据缓存大小设置为 1000, 请键入以下内容 : $ server_param server_2 -facility nfs -modify NTcred.size -value 1009 37 / 78

输出 server_2 : done 设置生存时间过期戳记参数和工具名称区分大小写此参数不适用于 NFSv4, 但是可用于 NFSv2 和 NFSv3 操作要设置 NT 凭据缓存中 Windows NT 项的生存时间过期戳记, 请使用以下命令语法 : $ server_param < 移动器名称 > -facility nfs -modify NTcred.TTL -value < 新值 > 其中 : < 移动器名称 > = 数据移动器的名称 < 新值 > = 分钟数默认值为 20 分钟示例 : 要将 Windows NT 凭据的生存时间过期戳记设置为 30 分钟, 请键入以下内容 : $ server_param server_2 -facility nfs -modify NTcred.TTL -value 30 输出 server_2 : done 生成 Windows NT 凭据 Windows NT 凭据功能用于多协议文件系统此功能只能与 NT SECURE MIXED 和 MIXED_COMPAT 访问检查策略配合使用操作要生成文件系统对象的 Windows NT 凭据, 请使用以下命令语法 : $ server_mount < 移动器名称 > -o accesspolicy=nt UNIX SECURE NATIVE MIXED MIXED_COMPAT,ntcredential < 文件系统名称 > < 装载点 > 其中 : < 移动器名称 > = 数据移动器或 VDM 的名称 < 文件系统名称 > = 正在装载的文件系统的名称 < 装载点 > = 装载点的名称示例 : 要将访问检查策略设置为 NT, 并为 server_2 上的文件系统 ufs1 生成 Windows NT 凭据, 请键入以下内容 : $ server_mount server_2 -o accesspolicy=nt,ntcredential ufs1 /ufs1 输出 server_2: done 38 / 78

将 UNIX 组包括到 Windows NT 凭据当用户通过 CIFS 访问 Celerra 时, 可将 Celerra 配置为将用户的 UNIX 组包括在用户的 Windows 凭据中这是添加到用户的 Windows 组如果服务器参数 cifs acl.extendextragid 设置为 1, 则 Celerra 会将用户的 UNIX 组包括在其 Windows 凭据中 Windows NT 凭据可包含任意数量的组此参数仅适用于数据移动器上包含网络信息服务 (NIS) 或.etc/group 文件的多协议环境通过使用不带.domain 扩展名的用户名从数据移动器上配置的 UNIX 名称服务示例本地组文件 NIS 和 LDAP 等检索 UNIX 组注意 : 参数和工具名称区分大小写操作要将用户的 UNIX 组包括在用户的 Windows NT 凭据中, 请使用以下命令语法 : $ server_param < 移动器名称 > -facility cifs -modify acl.extendextragid - value < 新值 > 其中 : < 移动器名称 > = 数据移动器的名称 < 新值 > = 1 ( 启用映射 ) 或 0 ( 禁用映射 ) 示例 : 要合并用户的 UNIX 和 Windows 组以构建 Windows NT 凭据, 请键入以下内容 : $ server_param server_2 -facility cifs -modify acl.extendextragid -value 1 输出 server_2 : done 39 / 78

仅使用 UNIX 权限执行访问检查只有当文件系统访问策略设置为 UNIX 时, 才应该配置 cifs acl.unixcheckacl 命令以根据 UNIX 权限执行访问检查如果针对数据移动器将此参数设置为零, 则在文件系统的访问策略设置为 UNIX 时, 从不强制实施 Windows ACL 使用此命令来确保下列各项 : 当文件系统的访问策略设置为 UNIX 时, 从不检查 Windows ACL 注意 : 参数和工具名称区分大小写 cifs acl.unixcheckacl 参数仅影响数据移动器上配置为使用 UNIX 访问策略的那些文件系统操作要指定仅检查 UNIX 权限 ( 当文件系统的访问策略设置为 UNIX 时 ), 请使用以下命令语法 : $ server_param < 移动器名称 > -facility cifs -modify ac1.unixcheckac1 -value < 新值 > 其中 : < 移动器名称 > = 数据移动器的名称 < 新值 > = 0 ( 解除 ACL 检查 ) 或 1 ( 检查 ACL) 示例 : 要确保仅检查 UNIX 权限 ( 当文件系统的访问策略设置为 UNIX 时 ), 请键入以下内容 : $server_param server_2 -facility cifs -modify acl.unixcheckacl -value 0 输出 server_2 : done 40 / 78

设置文件锁定策略当多个用户尝试访问同一文件时, 文件锁定可确保文件完整性文件锁定管理读取写入或锁定另一用户正在使用的文件的尝试 NFS 和 CIFS 协议以不同方式实施文件锁定功能, 如第 41 页上的表 11 中所示表 11 NFS 版本 2 或版本 3 与 CIFS 或 NFSv4 锁定之间的区别 NFS 版本 2 或版本 3 环境中的锁定使用读取锁定和独占 ( 写入 ) 锁定 NFS 锁定是建议的, 而不是必需的建议锁定不是强制实施的锁定 ( 因此不影响对文件的读写访问权限 ), 但是它会向其他客户端建议 : 该文件已在使用中 CIFS 或 NFSv4 环境中的锁定 CIFS 使用伺机锁定 (oplock) 和拒绝模式相当于 oplock 的 NFSv4 称为委派 CIFS 和 NFSv4 协议强制实施严格的文件锁定以及对文件的解锁访问权限 CIFS 和 NFSv4 锁定是必需的如果 CIFS 或 NFSv4 进程锁定了文件, 则系统会拒绝其他用户对该文件进行特定类型的访问, 具体情况取决于所施加的锁定类型 CIFS 或 NFSv4 客户端可以使用以下各项锁定文件 : 整个文件上的拒绝读 / 写访问权限文件某一部分上的锁定范围在多协议环境中, 文件的锁定可能由 CIFS 和 NFS 用户设置由于 NFS ( 版本 2 或版本 3) 锁定 CIFS 或 NFSv4 拒绝模式以及 oplock 或委派并不直接等价, Celerra Network Server 必须将 CIFS 或 NFSv4 拒绝模式和 oplock 或委派将转换为 NFS ( 版本 2 或版本 3) 锁定, 并将 NFS ( 版本 2 或版本 3) 锁定将转换为 CIFS 或 NFSv4 拒绝模式和 oplock 或委派例如 : CIFS 拒绝读 / 写模式请求转换为 NFS ( 版本 2 或版本 3) 独占读 / 写锁定 NFS ( 版本 2 或版本 3) 共享读取锁定转换为 CIFS 拒绝写入模式为了在某种程度上控制 CIFS 和 NFS 文件锁定的交互, Celerra Network Server 提供了三种可以在装载文件系统时指定的不同锁定策略第 41 页上的表 12 中定义了这些策略这些策略用于多协议环境, 指明在并发 NFS 和 CIFS 文件锁定情况下锁定行为对 NFS 客户端的影响表 12 Celerra Network Server 文件锁定策略 nolock 1 wlock 2 rwlock 3 无锁定 : 将所有锁定视为 NFS (v2 或 v3) 客户端的建议值 ( 默认设置, 最不安全 ) 写入锁定 : 针对 NFSv2 或 NFSv3 客户端访问强制实施 CIFS 或 NFSv4 写入锁定读 / 写锁定 : 针对 NFSv2 或 NFSv3 客户端访问强制实施 CIFS 或 NFSv4 读写锁定 ( 最安全 ) 锁定请求 : 如果 CIFS 或 NFS 客户端锁定了文件, 则任何其他客户端都无法锁定该文件锁定请求 : 如果 CIFS 或 NFS 客户端锁定了文件, 则任何其他客户端都无法锁定该文件锁定请求 : 如果 CIFS 或 NFS 客户端锁定了文件, 则任何其他客户端都无法锁定该文件 41 / 78

表 12 Celerra Network Server 文件锁定策略 nolock 1 wlock 2 rwlock 3 访问请求 : CIFS 客户端将忽略 NFS 设置的锁定 NFSv2 或 NFSv3 客户端可以读写 CIFS 或 NFSv4 锁定的文件访问请求 : 拒绝并发写入访问的 CIFS 客户端无法打开 NFS 锁定的文件进行独占访问 NFSv2 或 NFSv3 客户端可以读取, 但是不能写入或删除 CIFS 或 NFSv4 锁定的文件访问请求 : 拒绝并发读取或写入访问的 CIFS 客户端无法打开 NFS 锁定的文件进行独占访问或共享访问 NFSv2 或 NFSv3 客户端无法读取写入或删除 CIFS 锁定的文件 1. Nolock 是 MPFS 文件系统上支持的唯一锁定策略 2. 意外遇到读 / 写操作锁定冲突 ( 权限被拒绝 ) 的 NFSv2 或 NFSv3 应用程序可能会出现问题 3. 意外遇到读 / 写操作锁定冲突 ( 权限被拒绝 ) 的 NFSv2 或 NFSv3 应用程序可能会出现问题注意 : 只有当客户端应用程序使用锁定时, Celerra Network Server 才会强制实施文件锁定 ( 当配置为这样做时 ) 一些简单的应用程序 ( 例如 Windows 记事本或写字板 UNIX more 和 vi) 不使用文件锁定使用这些应用程序创建的文件不会被锁定, 即使文件系统使用 wlock 或 rwlock 进行装载, 其他应用程序也可打开和编辑这些文件装载文件系统在装载文件系统时, 可以指定用于控制 CIFS 和 NFS 锁定交互的策略选定的文件锁定选项取决于业务要求以及网络环境是仅 CIFS 环境还是多协议 ( 组合 CIFS 和 NFS) 环境注意 :mount_point 的开头必须是正斜杠 (/) Managing EMC Celerra Volumes and File Systems ( 管理 EMC Celerra 卷和文件系统 ) 提供了有关创建文件系统和装载点的信息操作要指定文件系统锁定, 请使用以下命令语法 : $ server_mount < 移动器名称 > -o nolock wlock rwlock < 文件系统名称 > < 装载点 > 其中 : < 移动器名称 > = 数据移动器的名称 < 文件系统名称 > = 正在装载的文件系统的名称 < 装载点 > = 装载点的名称示例 : 要使用读 / 写锁定装载文件系统 ufs1, 请键入以下内容 : $ server_mount server_2 -o rwlock ufs1 /ufs1 输出 server_2: done 42 / 78

从 Windows 客户端查看并设置 UNIX 权限默认情况下, 将禁用 Windows 用户查看和修改 UNIX 权限的能力 cifs acl.extacl 参数允许 Windows 用户查看并设置文件和目录上的 UNIX 权限, 以及启用特殊功能以执行 ACL 管理, 如 EMC Celerra Network Server Parameters Guide (EMC Celerra Network Server 参数指南 ) 中所述设置 cifs acl.extacl 参数会导致 UNIX 权限显示在文件或目录的 Windows 属性对话框中, 如第 43 页上的图 5 中所示图 5 含有 UNIX 权限的属性对话框注意事项在查看和修改 UNIX 权限之前, 请考虑以下事项 : 由于 UNIX 目录权限是不可继承的 ( 针对 This folder only ( 仅此文件夹 ) 进行设置 ), 它们仅显示在 Advanced ( 高级 ) 区域中为此, 最好使用 Advanced ( 高级 ) 区域来查看和编辑文件夹权限当从 Windows 更改 UNIX 权限时, 清除 Allow ( 允许 ) 复选框将不会清除所有项 ( 从 Advanced Settings ( 高级设置 ) 查看时 ) 要清除所有项, 必须选中 Deny ( 拒绝 ) 复选框 43 / 78

如果选择 Allow Inheritable permissions ( 允许可继承的权限 ) 复选框, 则可能导致在从 Windows 更改 UNIX 权限时出现异常结果如果选择此复选框, 则 UNIX 权限可能会从父对象获取默认值围绕 ACL 管理启用特殊功能使用此过程来围绕 ACL 管理启用特殊功能 EMC Celerra Network Server Parameters Guide (EMC Celerra Network Server 参数指南 ) 说明了 cifs acl.extacl 命令及其值 ACL 只存在两种功能 : 备份或恢复特定 UNIX 属性查看或更改 UNIX 访问权限操作要针对 ACL 管理启用特定功能, 请使用以下命令语法 : $ server_param < 移动器名称 > -facility cifs -modify extac1 -value < 新值 > 其中 : < 移动器名称 > = 数据移动器的名称 < 新值 > = 位列表包含七个二进制位 (0 到 6) 0 = 向 CIFS 备份客户端呈现与文件和目录相关联的 UNIX 元数据 1 = Windows 客户端可以查看和修改 UNIX 权限 2 = CIFS 网络备份应用程序可以备份和恢复 UNIX 文件和目录安全属性 3 = CIFS 网络备份应用程序可以备份和恢复 UNIX 符号链接 4 = CIFS 网络备份应用程序可以备份和恢复文件和目录的所有三个名称 5 = 允许 NFS v2 和 v3 客户端使用 emcsetsd 客户端工具来查看和修改 ACL 6 = 修改第 1 位的行为所应用的 UNIX 权限是授予的权限, 低于随机 ACL 拒绝的权限示例 : 要使 Windows 用户能够查看和修改 UNIX 权限, 请键入以下内容 : $ server_param server_2 -facility cifs -modify extacl -value 1 输出 server_2 : done 44 / 78

配置和管理 DFS 支持要在 CIFS 共享上配置 DFS 根目录, 请使用 Microsoft dfsutil.exe 命令行工具或 MMC DFS 工具对于 dfsutil.exe, 请使用可选标记处理 API, 而不是用 Windows 注册表注意 : 如果计划将 CIFS 服务器仅用作独立 DFS 服务器 ( 不含任何域基础结构 ), 则必须使用 dfsutil.exe 创建它 DFS 根目录内容使用 Microsoft dfscmd.exe 命令进行管理 ( 例如, 创建和删除链接 ) 不能使用此命令删除 DFS 树结构注意 : 不会在访问检查策略为 UNIX 或 SECURE 的文件系统对象上建立 DFS 根目录, 因为不能使用 UNIX 权限创建任何 DFS 链接组件 Windows 2000 或 Windows Server 2003 支持工具附带提供了 dfsutil.exe 和 dfscmd.exe 工具注意 : 当通过执行 Microsoft Windows 2000 支持工具附带的 dfsutil /siteinfo:<cifs 服务器名称 > 命令在网络上查询 DFS 时, 客户端将连接到 srvsvc 管道, 并发出 NetrDfsManager ReportSiteInfo 命令 Celerra 将返回 DCE RPC 0x1c010002 故障或范围错误要避免此错误, 请使用 Microsoft Windows Server 2003 dfsutil /sitename:<cifs 服务器名称 > 命令配置和管理 DFS 支持之前在 CIFS 共享上配置 DFS 根目录之前, 请完成以下任务在 Celerra 上配置 CIFS 提供了有关这些任务的说明 : 1. 在数据移动器上配置 CIFS 服务器 2. 在数据移动器上启动 CIFS 服务, 这将自动启用 DFS 支持 3. 在 CIFS 服务器上, 按照第 45 页上的表 13 中的指导原则配置要在其上创建 DFS 根目录的文件系统共享表 13 DFS 环境 DFS 随附于共享类型 DFS 根目录数 Windows 2000: 本地共享单个 Windows Server 2003 和 Windows XP 计算机 : 全局共享可以从数据移动器上的任何 CIFS 服务器中查看全局共享上的 DFS 根目录多个这是建议选项, 因为它可以管理相同 CIFS 服务器上的多个 DFS 根目录 45 / 78

使用 dfsutil.exe 创建 DFS 根目录步骤操作 1. 要在 Windows Server 2003 环境中使用 dfsutil.exe 在全局共享上创建 DFS 根目录, 请使用下列命令 : C:\>dfsutil /AddStdRoot /Server:DM2-ANA0-1-SA /Share:wl_root-1 Microsoft(R) Windows(TM) Dfs Utility Version 4.0 Copyright (C) Microsoft Corporation 1991-2001. All Rights Reserved. Indicates that DfsUtil command completed successfully. 使用 MMC DFS 创建独立 DFS 根目录要使用 MMC DFS 工具创建 DFS 根目录, 请执行下列操作 : 步骤操作 1. 从 MMC DFS 启动 New Root Wizard ( 新建根目录向导 ) 工具 46 / 78

步骤操作 2. 在 Host Server ( 主服务器 ) 对话框中, 键入数据移动器上要用作 DFS 根目录的 CIFS 服务器 3. 在 Root Type ( 根目录类型 ) 对话框中, 选择 Stand-alone root ( 独立的根目录 ) 47 / 78

步骤操作 4. Root Name ( 根目录名称 ) 对话框显示根目录和共享的 UNC 路径键入 DFS 根目录的唯一名称和所有可能的注释 48 / 78

步骤操作 5. 如果先前指定了与现有共享不相符的根目录名称, 请键入该共享的路径成功完成后, 将显示 Completing the New Root Wizard ( 正在完成新建根目录向导 ) 49 / 78

启用和禁用 DFS 支持启动 CIFS 服务后, 默认情况下会启用 DFS 支持要禁用 DFS 支持, 请执行下列操作 : 步骤操作 1. 使用 RegEdit 等工具在数据移动器上将下列 Windows 注册表项设置为 0: HKEY_LOCAL_MACHINE\SOFTWARE\EMC\DFS\Enable 2. 停止并重新启动 CIFS 服务 50 / 78

使用宽链接在创建宽链接之前, 请考虑下列各项 : 宽链接基于 Microsoft DFS 功能在建立宽链接之前, 必须满足 DFS 要求, 如第 11 页上的将数据移动器用作 DFS 服务器中所述宽链接的目标必须位于 DFS 根目录 (CIFS 共享或 Windows 共享 ) 上此共享可以是本地共享或位于远程服务器上可以根据需要在根目录共享上创建尽可能多的宽链接由于 DFS 仅重定向目录, 必须在 DFS 链接中设置用于宽链接的目录路径名称在重定向宽链接期间, 系统将执行以下操作 : 查找与符号链接中的目标路径开头相匹配的 DFS 链接将此路径的其余部分附加到要进行最终重定向的 DFS 目标可以按照每个虚拟数据移动器 (VDM) 配置一个宽链接这将使 Windows 客户端能够根据需要定向到尽可能多的不同目录位置在配置宽链接之后, 包含绝对路径的符号链接在 Windows 资源管理器中会显示为目录, 而不是文件 DFS 链接中的路径在 Windows 和 UNIX 中必须相同 ( 换句话说, 每个组件的 UNIX 名称必须是 Windows 中的 M256 名称 ) 在 NT4 客户端上, 如果文件位于支持宽链接的共享中, 则该文件的属性对话框中不会显示安全选项卡可通过使用 cacls 等安全工具来设置安全性或者, 通过使用 Windows 2000 客户端的文件或不支持宽符号链接的共享来管理文件的 ACL 相同目录上可以存在两个不同的共享 ( 一个支持宽链接, 另一个不支持宽链接 ), 并且可以通过使用 NT4 客户端将不支持宽链接的共享用于管理安全设置如果 Windows 客户端连接到 DFS 根目录上的 CIFS 共享, 而此共享已从 DFS 中删除, 则客户端可能无法访问此共享由于宽链接功能基于 Microsoft DFS, 宽链接也会发生这种情况发生这种行为的原因是客户端使用 DFS 缓存来跟踪所有 DFS 链接在共享的缓存项超时之前, Windows 客户端会尝试访问所删除的共享, 即使它不再存在于 DFS 中要解决此问题, 请执行下列操作 : 等待 DFS 缓存项超时或者, 断开客户端与共享的连接, 使用 Microsoft 命令行工具 dfsutil/pktflush 清除客户端的 DFS 缓存, 然后重新连接到共享 51 / 78

处理步骤以下步骤概述了 Windows 客户端如何使用 DFS 处理宽链接功能 : 步骤操作 1. 客户端打开包含绝对符号链接的路径 2. 服务器检测到绝对链接路径, 并发送一个错误, 表明未涵盖此路径这是典型的 DFS 行为 3. 客户端请求此路径的 DFS 参照以确定下一个连接位置 4. 从数据移动器上的 DFS 根目录 ( 在数据移动器的 Windows 注册表中定义为宽链接数据库 ) 中, CIFS 服务器查找与符号链接中的目标路径开头相匹配的链接, 然后确定要用于宽链接解析的 CIFS 共享 5. CIFS 服务器发送将客户端指向新路径的 DFS 参照建立宽链接在以下示例中, w1_root-1 文件系统包含具有符号链接的 user1 目录 : 示例链接到本地数据移动器上的 fs_wslink-1\user1 链接到远程数据移动器上的 fs_wlink-29\user1 w1_root-1 文件系统存在于 server_2 上 : $ server_export server_2 grep -w "wl_root-1" export "/wl_root-1" share "wl_root-1" "/wl_root-1" maxusr=4294967295 umask=22 user1 目录位于 w1_root-1 中 : [user1@linux1pag01 user1]$ pwd /wl_root-1/user1 user1 有两个 UNIX 符号链接指向单独数据移动器上的其他目录 : [user1@linux1pag01 user1]$ ls -lhat total 8.0K drwxr-xr-x 3 root root 0 Feb 2 13:19.. drwxr-xr-x 3 user1 group-1001 1.0K Feb 2 12:43. -rw-r--r-- 1 user1 group-1001 0 Feb 2 12:43 NFS_user_file lrwxrwxrwx 1 user1 group-1001 15 Feb 2 12:25 user1_on_fs_wlink-29 -> /wlink-29/user1 lrwxrwxrwx 1 user1 group-1001 14 Feb 2 12:25 user1_on_fs_wlink-1 -> /wlink-1/user1 drwxr-xr-x 2 user1 group-1001 80 Feb 1 17:49 user1 52 / 78

这些符号链接指向 : 本地数据移动器 (server_2) 的 fs_wlink-1 上的 user1: [user1@linux1pag01 user1]$ mount grep wlink-1 automount(pid26562) on /wlink-1 type autofs (rw,fd=5,pgrp=26562,minproto=2,maxproto=3) dm2-ana0-1-sa:/wlink-1/user1 on /wlink-1/user1 type nfs (rw,addr=172.24.100.50) 远程数据移动器 (server_3) 的 fs_wlink-29 上的 user1: [user1@linux1pag01 user1_on_fs_wlink-29]$ mount grep wlink-29 automount(pid26592) on /wlink-29 type autofs (rw,fd=5,pgrp=26592,minproto=2,maxproto=3) vdm3-ana0-6-sa:/root_vdm_3/wlink-29/user1 on /wlink-29/user1 type nfs (rw,addr=172.24.100.58) 从 Windows 中, user1 中的符号链接显示为文件 : C:\>dir \\dm2-ana0-1-sa\wl_root-1\user1 Volume in drive \\dm2-ana0-1-sa\wl_root-1 is 102 Volume Serial Number is 0000-0014 Directory of \\dm2-ana0-1-sa\wl_root-1\user1 02/02/2005 12:43 PM <DIR>. 02/02/2005 12:23 PM <DIR>.. 02/01/2005 05:49 PM <DIR> user1 02/02/2005 12:25 PM 14 user1_on_fs_wlink-1 02/02/2005 12:25 PM 15 user1_on_fs_wlink-29 02/02/2005 12:43 PM 0 NFS_user_file 3 File(s) 29 bytes 3 Dir(s) 52,867,235,840 bytes free 53 / 78

创建宽链接以下过程说明了如何创建两个宽链接以将 Windows 客户端定向到本地数据移动器上的 fs_wslink-1\user1 目录和远程数据移动器上的 fs_wlink-29\user1 目录在创建两个宽链接后, user1 目录将这些符号链接显示为 Windows 中的目录, 而不是文件, 如上所示步骤操作 1. 启动 MMC Distributed File System ( 分布式文件系统 ) 工具注意 : 此过程假设已启用 DFS 支持 ( 默认情况下已启用 ) 并且创建了 DFS 根目录, 如第 11 页上的将数据移动器用作 DFS 服务器中所述 54 / 78

步骤操作 2. 从 Action ( 操作 ) 对话框中选择 Show Root ( 显示根目录 ) 键入用作 DFS 根目录 ( 要在其上创建宽链接 ) 的 CIFS 服务器的 NetBIOS 名称 ( 此例中为 DM2- ANA0-1-SA) 3. 系统将显示 DM2-ANA0-1-SA 的 DFS 根目录选择要在其上创建宽链接的 DFS 根目录 ( 本例中为 \\DM2-ANA0-1-SA\w1_root-1) 55 / 78

步骤操作 4. 右键单击 \\DM2-ANA0-1-SA\w1_root-1 DFS 根目录, 并选择 New Link ( 新建链接 ) 此时将显示 New Link ( 新建链接 ) 对话框, 其中显示了 DFS 根目录的 UNC 路径所创建的每个链接都必须与 CIFS 共享或 Windows 共享相对应 5. 键入目标的链接名称和路径, 它们在 Windows 和 UNIX 中必须相同 ( 换句话说, 每个组件的 UNIX 名称必须是 Windows 中的 M256 名称 ), 如本例中所示本示例显示如何创建第一个指向本地数据移动器的 wlink-1 上 user1 的宽链接 wlink-1\user1 56 / 78