[图文]Openfiler应用篇（三） Accounts

openfiler帐户（Accounts）设置，是openfiler深入一步使用的重要步骤，openfiler许多功能必须在帐户的支持下才能使用，也只有帐户作了正确的设置，openfiler才能真正作为文件服务器、FTP服务器、实现磁盘配额等。openfiler帐户有两种，既LDAP和Windows Domain controller两种授权，组合起来就有三种方式：LDAP、Windows Domain controller和两者均有的混合模式。在这里我们主要讨论LDAP方式。

备注：LDAP的英文全称是Lightweight Directory Access Protocol，即轻量级目录访问协议。

一、在Standard view下，开启LDAP

点击主菜单Accounts，在Standard view下，我们看一下openfiler的默认设置，见下图

 

我们现在按照下图进行设置

勾选Use LDAP，勾选Local LDAP server，Base DN:处，输入“dc=njwz,dc=com”；Root bind DN:处输入“cn=root, dc=njwz,dc=com”；Root bind password:处输入“123456”，点击页面下方Submit按钮，这样完成了把openfiler本身当作LDAP服务器来使用的设置。

二、建立用户组和用户

依次点击主菜单Accounts，右侧菜单Administration，如果前面LDAP设置正确将会出现用户组管理设置Group Administration界面，否则会出现一个错误信息界面，见下面两张图。

 

1、建立用户组，在Group Administration界面中，分别建立两个组，teacher和student组

2、建立用户，点击User Administration，在teacher组中建立两个用户th1、th2，在student组中建立两个用户stu1、stu2。

返回组设置界面，可以看到组与用户的关系，需要说明的是openfiler允许用户加入不同的组，其中一个为主要组Primary Group，初始加入组（现在看到的）就是Primary Group，见下图。

三、应用openfiler帐户，进行访问控制

1、开启Controlled access

 

 

点击主菜单Shares，点击Network Shares中的teacher-1共享文件夹，在Share Access Control Mode中，点选Controlled access，点击Update按钮，看看下面多了什么。

 

 

 

2、赋予teacher组对teacher-1共享文件夹读写权限

 

 

下面出现了Group access configuration，现在teacher组、student组对于teacher-1共享文件夹都没有任何权限，我们点击teacher组的PG（既Primary Group）和RW，点击Update按钮，赋予教师组对teacher-1文件夹拥有读写权限，此时，suudent组对共享文件夹仍然没有任何权限。

3、连接测试

 

 

现在IP访问控制仍然有效，如果想连接openfiler，必须从192.168.1.1或192.168.1.50这两台机器连接。下面我们用th1、stu1这两个用户分别从192.168.1.1、192.168.1.50机器连接共享文件夹。

 

 

在192.168.1.1机器上，用th1访问，可以映射网络驱动器，可以正常读写共享文件夹，见下图。

 

在192.168.1.1机器上，用stu1访问，由于stu1不是teacher组成员，所以openfiler拒绝其访问，见下图。

 

 

在192.168.1.50机器上，由于该机器没有权力访问teacher-1共享文件夹，所以无论是th1、th2还是stu1、stu2均不能访问共享文件夹。

 

 

四、openfiler LDAP帐户（Accounts）应用总结

当我们应用openfiler LDAP帐户（Accounts）进行访问控制时，openfiler首先从IP地址判断用户所使用机器允不允许连接至openfiler，如不被允许，则立即拒绝连接；如该IP地址允许连接，则再从用户组判断允不允许连接。