2024年4月16日发(作者:)
serv-u的权限配置机制
摘要:单位局域网内用serv-u安装ftp服务器,架设信息共享
平台,可避免大量的u盘拷贝和节省许多纸张打印,是信息化办公
的有效手段之一。搞清楚serv-u的权限配置机制,合理进行用户
权限配置是用serv-u安装ftp服务器的必修课。
关键词:ftp服务器;serv-u用户权限;信息化办公
作为一款专业的ftp服务器软件,serv-u以其设置简单、功能强
大、性能稳定、安全性好[1]等诸多优点受到用户的喜爱,应用越
来越广泛。在用serv-u架设ftp服务器过程中,不可避免地要涉
及到用户权限的配置。那么serv-u为ftp管理员提供了什么样的
用户权限配置机制呢?
1 三级权限配置及用户最终权限的确定
serv-u通过三个级别为用户设置权限,第一级为服务器级,第二
级为域级,第三级为用户级,优先等级为用户最高,域级次之,服
务器级最低。但作用范围正好相反,服务器级的作用范围最广,对
登录服务器的所有用户都起作用[2];域级次之,其设置的权限只
对登录本域的用户有作用。域级权限会覆盖掉服务器级的权限,用
户级权限又覆盖域级权限,所以用户的最终权限由这种覆盖关系决
定。
2 群组权限与用户权限
群组是serv-u中一个可设置权限的特殊对象,用户可以隶属于
某个群组,也可以不属于任何群组,由于群组可以设置权限,就容
易引起我们对群组权限与用户权限的混淆。注意,群组权限其实是
用户级别,群组并不是在服务器、域和用户之外的第四级。群组与
用户级的权限有个取舍问题,如果在群组处设置了群组优先,那么
组中用户的用户级的权限就将被群组的权限覆盖而不起作用,反
之,如果取消群组权限的优先权,那么群组的权限对组中用户就无
效,此时用户对某个目录的权限就与其隶属的群组的权限无关了。
3 目录权限与文件权限
serv-u中文件的权限有6个,分别是“读(read)”、“写(write)”、
“追加(append)”、“重命名(rename)”、“删除(delete)”、“执
行(execute)”;对目录的权限为4个:“列表(list)”、“创建
(create)”、“重命名(rename)”、“删除(remove)”[3]。
文件的“read”(读)权限允许用户读取(即下载)文件。该权
限不允许用户列出目录内容,执行该操作需要有目录的列表权限;
文件的“write”(写)权限允许用户写入(即上传)文件,但该权
限不允许用户修改现有的文件,要对现有文件进行修改需要
“append”(追加)权限才行;文件的“rename”(重命名)权限允
许用户重命名现有的文件。注意,版本7.0以前的 serv-u 要重命
名文件还需要删除和写权限;文件的“delete”(删除)权限允许
用户删除文件;“execute”(执行)权限允许用户远程执行文件,
这是非常强大的权限,在将该权限授予用户时需格外谨慎,具有写
和执行权限的用户实际上能够选择在您的系统上安装程序。
目录的“list”(列表)权限允许用户列出目录中包含的文件及
子目录,“create”(创建)权限允许用户在目录中新建子目录,
“rename”(重命名)权限允许用户在目录中重命名现有子目录,
版本7.0本以前的 serv-u 要重命名目录还需要删除和写权限,
“remove”(删除)权限允许用户在目录中删除现有子目录。注意:
如果子目录中有文件,用户要删除子目录还需要具有删除文件权
限。
文件的权限不能针对某个具体的文件设置,而是在配置目录访问
权限时设置,设置的文件权限对该目录中的所有文件均有效[4],
如果允许“inherit”(继承)的话,则对该目录的子目录中的文件
也都有效。
4 权限的继承性
“inherit”(继承)是针对子目录的特有权限,它允许用户在子
目录上获得(继承)对其父目录所具有的相同权限。
对一个目录设置权限后,其子目录是否继承这些权限,由管理员
设定,置选“inherit”项,则子目录继承父目录的权限,否则不
继承。如果继承,则用户对子目录具有与父目录相同的权限,对子
目录再设置的权限将无效。如果不继承,则子目录的权限必须单独
设置,在需要实施强制访问控制(mandatory access control)时,
就可取消继承并为子文件夹逐一授予某项权限,这对于访问必须受
限于子文件夹的情况是必要的。
5 同级多重置权
同一个目录,同一级多次设置权限时,serv-u以读到的第一个权
限为准,以后的忽略。同级设置多个权限时,排在最前面的即为第
一个权限,即是该级别起作用的权限,管理员可以根据需要调整这
些权限的排列顺序。
6 设置举例
6.1实例背景:单位局域网,用serv-u内建ftp服务器。四个部
门:财务室、办公室、生产科、营销处。要求:
1)为每个部门建一个文件夹,另设一个“通知公告”夹;
2)每个部门的用户登录ftp后,可看到所有四个部门的文件夹
及通知公告夹;
3)给予每个部门的用户对本部门的文件夹除“执行”外的全权,
而且允许“i”(继承);
4)在每个部门的文件夹中建一个“收件夹”,所有部门的用户对
其他部门夹中的收件夹都只有“w”(写)和“l”(列表)权,无其
它权限,包括“r”(读)权,即不能下载,保证两个部门之间的通
信文件不被第三个部门下载阅读;
5)“通知公告”夹由办公室管理,办公室用户对其有除“e”(执
行)权外的全权,其他部门用户只给予“w”、“r”和“l”权,即
只允许写入和下载通知公告,不允许进行删除或修改通知公告中任
何内容。
6.2配置方法
本例的特点是用户登录ftp看到的文件夹结构是一种自然结构,
与单位实际的部门结构设置相同,一个部门一个文件夹,每个部门
文件夹中都有收件夹,部门文件夹的作用是提供本部门与其它部门
共享的文件,可让其它部门下载,而收件夹用于接收其它部门专门
投递给本部门的文件。显然由于这种文件夹结构与实际部门结构的
一致性,用户感到很自然,容易接受。
1)文件夹设置。根据要求,该实例的文件夹配置宜采取自然结
构,建立ftp的根“\ftpserver”后,在其下就以部门的名称建
立部门的文件夹及通知公告夹,然后在每个部门的文件夹中再建
“收件夹”;
2)用户配置。为各部门设置用户:办公室用户为“bgs”,财务
室用户为“cws”,生产科用户为“sck”,营销处用户为“yxc”。
3)用户权限配置。
这个案例中用户权限配置的复杂性来自对部门“收件夹”的权限
设置。因为收件夹建在部门夹的下面,每个用户会面临两个收件夹
的权限配置,一个是对自己的收件夹具有除执行权外的全部权限,
另一个是对其它部门的收件夹只有写权和列表权(注意,如果不给
予列表权,怎么知道文件是否已上传到对方收件夹中?)
下面以办公室用户“bgs”为例,来配置其对收件夹权限。
第一,对自己收件夹的权限。因为这个收件夹是自己的,管理权
属于自己,所以其权限与办公室夹相同,在配置对办公室夹的权限
时允许继承即可。
第二,对其它部门收件夹的权限。本案例设置收件夹是考虑用户
文件交换有私密性要求,这一要求是排他性的,即交换的文件内容
不能让第三部门知晓。保证这一要求的方法是任何一个部门对其他
部门的收件夹都只有列表权和写权,没有读取权,所以就不能下载
其它部门的收件中的文件。配置分两轮进行,第一轮配置“bgs”
用户对其它部门的部门夹有列表、读取两项权限,保证可以下载该
部门共享出来的文件,不允许继承;第二轮配置“bgs”用户对其
它部门夹下的收件夹有列表、写入两项权限。
对其他部门用户,注意转换角色如法炮制即可。
6.3利用权限机制,清晰轻松配置权限
如果部门远不止四个,上述配置方法就很繁锁,怎样才能使配置
简单清晰呢?弄清serv-u用户权限的三级权限机制后,抽取案中
的共性权限需求,对共性需求高的权限在高级别中设置,而对某些
特殊的权限要求,则可利用三级配置间的覆盖关系进行权限运算来
达到目的。以例案来说,共性需求高的权限是所有用户对全部一级
文件夹的列表权和读取权,故在服务器级别对这两项权限进行配
置,并允许继承;收件夹权限的共性需求是列表权和写入权,只在
域级别设置所有收件夹的写入权,去掉读取权即可;接下来就只管
配置各用户对本部门夹除执行权以外的权限,并允许继承即告完
工。
这样配置后,我们来看收件夹的权限是怎样满足要求的。由于域
级的权限优先权高于服务器级的权限,域级权限将覆盖服务器级权
限,所有用户对所有收件夹就只有写入和列表权了,而当用户级权
限去覆盖域级权限后,用户管理自己部门夹所需的权限就得到了保
证,又因为允许继承,自己的收件夹也就有了与自己部门夹相同的
权限,对其也就可以进行除执行权外的其他操作了,但对其它部门
收件夹的权限不变,还是只有写入和列表权。可见服务器级、域级
和用户级三级协作,可以清晰简练地完成serv-u用户权限的设置。
参考文献:
[1] 朱银奇.使用serv-u软件构建内网文件中转站[j].电脑知识
与技术,2010(1): 64-66.
[2] 辛士光. ftp服务器serv-u用户的批量创建[j].硅谷,2009
(9):37-39.
[3] servr-u(v9.4.0.0)软件帮助。
[4] 陈珊珊.利用serv-u的ftp服务器实现计算机实验教学文件
网络存储[j].中国现代教育装备,2008 (10):35-37.
发布评论