為什么80%的碼農都做不了架構師？>>> ??

• 最近收到一個基于 isilon 的Windows共享訪問的需求：

要求指定IP能訪問；

目錄按用戶來區分讀寫權限；

上傳的文件不允許修改和刪除。

• 指定IP訪問比較容易了：

可以在網絡各個層面控制。
也可以在 isilon 系統中控制：

isi smb shares modify public-share --host-acl=allow:192.168.10.31 --host-acl=allow:10.10.22.33 --host-acl=deny:ALL --zone system isi smb shares view public-share --zone system

• 按用戶區分權限，首先得接入認證系統。我考慮接入LDAP統一認證：

筆者用的 OpenLDAP - v2.4.40+dfsg-1+deb8u2 并開啟了 smb 支持。

通過 smb 認證的用戶，需要增加 sambaConfig、sambaSamAccount、sambaNTPassword、sambaSID屬性：

在 isilon - v7.2.1.1 管理后臺配置認證 ACCESS - Authencication Providers - LDAP ：

注意：
Windows Password Attribute 務必改為 sambaNTPassword，否則Windows用戶無法驗證！

正確填寫 Distinguished Name 和 Query Filter 以便用于用戶和群組的授權：

注意：
默認的權限非常嚴格，在實踐中會帶來巨大的教育和維護成本。
于是上圖中的 Advanced SMB Share Settings 里有所放開。

其中的 source 目錄，通過 Windows 的權限控制實現：允許上傳、禁止更新或刪除：

顯示申明允許“創建文件/寫入數據”，明確禁止“刪除”和“修改屬性”

• 測試通過，玩得開心。

轉載于:https://my.oschina.net/anglix/blog/679312

總結

以上是生活随笔為你收集整理的在 isilon 的 Samba 中接入 LDAP 认证并严格控制权限的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。