【附图说明】
[0039] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可W根据 提供的附图获得其他的附图。
[0040] 图1为本发明实施例提供的一种网络文件系统的访问权限控制方法的流程图;
[0041] 图2为本发明实施例提供的一种网络文件系统的访问权限控制系统的结构框图示 意图。
【具体实施方式】
[0042] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。
[0043] 本发明的核屯、是提供一种网络文件系统的访问权限控制方法及系统,W实现减少 权限管理员的工作量,进而提高工作效率的目的。
[0044] 为了使本技术领域的人员更好地理解本发明方案,下面结合附图和【具体实施方式】 对本发明作进一步的详细说明。
[0045] 参考图1,图1示出了本发明实施例提供的一种网络文件系统的访问权限控制方法 的流程图,该方法具体可W包括如下步骤:
[0046] 步骤S100、接收来自NFS客户端的针对目标文件的访问请求。
[0047] 本发明实施例方法的执行主体为网络文件系统的访问权限控制系统,在具体实施 过程中,该系统可软件的形式运行在NFS服务器上。W下WNFS服务器为执行主体来对 本发明方案进行描述,W增加方案的场景代入感,有助于本领域技术人员理解本发明所提 供的技术方案。如上现有技术,现有技术中,WS的权限控制主要是集中在主机名、网络IP、 网络IP段(通过掩码的方式)的权限控制,而WS针对网络组的权限控制还不明确。
[004引对此,本发明填补了 NFS对网络组控制的空缺,具体地:
[0049] 每个网络组包括主机名、用户名和域名,可W说,网络组是不同主机名、不同用户 名和不同域名的集合,每个网络组中的所有成员对NFS服务器的访问权限时一样的。对于网 络组运样一个集合,如果将主机名、用户名和域名看作里面不同类型的成员的话,那么,实 际上,每个网络组只要至少包含两种类型的成员即可,并不是严格限定为上述Ξ种成员,本 领域技术人员可根据实际情况进行相适应的设置。W下W每个网络组包含主机名、用户名 和域名Ξ种类型成员为例进行说明。
[0050] 在实际应用中,管理员可W先将访问权限一样的不同的主机名、用户名和域名划 分成一个网络组,即W网络组为单位来进行管理;简单来说,我们可W把网络组看成一个班 级,主机名、用户名和域名便是班级里的学生。当要给一批主机名、用户名和域名分配同一 个权限时,就可W将运些主机名、用户名和域名都归到一个网络组中,只要给运个组分配此 权限,组内的所有成员就都会拥有此权限。就好像一个班级发了一个通知,班级内的所有学 生都会收到运个通知一样,网络组是为了方便管理用户的权限而设计的。
[0051] 本发明中,基于上述管理员对网络组的权限的管理方案,在具体实施过程中,NFS 服务器可W先获取权限管理员为每个网络组配置的权限内容,然后建立网络组与权限内容 的对应关系,W便后续需要时使用。
[0052] 进一步地,本发明可W支持外部NIS/LADP服务器的认证方式,可W更加方便和准 确的实现网络文件系统中内容的共享。具体地,可W利用NIS (Network Inf ormat ion Service)服务器或LDAPiXi曲twei曲t DirectoiT Access Protocol)服务器建立网络组与 权限内容的对应关系,并将网络组与权限内容的对应关系W映射文件形式存至NIS服务器 或LDAP服务器。
[0053] 本发明中,可W理解的是WS客户端向NFS服务器发送的访问请求可W携带客户端 主机名、客户端用户名W及客户端所属域名,运些都是WS客户端自身的参数。
[0054] 可见,在本发明中,管理员对一个网络组的权限内容进行配置即是对运个网络组 中所有成员的权限内容进行批量配置,实现了减少权限管理员的工作量,进而提高工作效 率的目的。
[0055] 步骤S101、根据客户端主机名或客户端用户名或客户端所属域名确定客户端的所 属网络组。
[0056] 根据上述描述我们知道,每个网络组包括主机名、用户名和域名,管理员在授权时 是对整个网络组进行授权。可W理解的是,在被授权的网络组中,所有成员对NFS服务器的 访问权限一致。也就是说,对于同一 NFS客户端而言,其所对应的对NFS服务器的访问权限通 常是固定的,也就是说,同一WS客户端所对应的主机名、用户名和域名中任意一个所在的 网络组所对应的权限内容均是一致的。
[0057] 本发明中,考虑到管理员只需将WS客户端所对应的主机名、用户名和域名中任意 一个或者多个纳入相应的网络组,即能实现对WS客户端的访问权限进行控制。也就是说, 运些成员(主机名、用户名和域名)并不一定都是对于同一WS客户端匹配存在的,其中,对 于同一 WS客户端匹配存在指的是某WS客户端所对应的主机名、用户名和域名Ξ者都在某 个网络组中。
[0058] 基于上述分析,在管理员管理网络组进行授权的时候,可能只将某WS客户端的客 户端主机名纳入了网络组,而没有将用户名和域名纳入网络组,或者其他情况。但是,只要 通过WS客户端发送访问请求中的的客户端主机名、客户端用户名和客户端所属域名中的 任意一个查找到其所对应的网络组,既能确定运个WS客户端是否有权利访问NFS服务器中 的目标文件。
[0059] 对此,本发明给出了 W下确定客户端的所属网络组的顺序:
[0060] (1)判断是否存在客户端主机名对应的网络组;
[0061] (2)当存在客户端主机名对应的网络组时,将其作为客户端的所属网络组,如果不 存在,则判断是否存在客户端用户名对应的网络组;
[0062] (3)当存在客户端用户名对应的网络组时,将其作为客户端的所属网络组,如果不 存在,则判断是否存在客户端所属域名对应的网络组;
[0063] (4)当存在客户端所属域名对应的网络组时,将其作为客户端的所属网络组。
[0064] 当然,W上顺序仅仅是举个例子,在实际应用中,本领域技术人员可根据实际情况 进行相适应的调整。
[0065] 步骤S102、参考预设的网络组与权限内容的对应关系,查找与所属网络组相对应 的权限内容。
[0066] 具体地,从NIS服务器或LDAP服务器中获取映射文件,并从映射文件中提取网络组 与权限内容的对应关系;参考提取的网络组与权限内容的对应关系,查找与发起访问的客 户端主机所属的网络组相对应的权限内容。
[0067] 步骤S103、根据查找到的权限内容,判断访问请求是否合法;如果是,则进入步骤 S104;否则,进入步骤S105。
[0068] 步骤S104、控制NFS客户端访问目标文件。
[0069] 具体地,控制发起访问的客户端主机访问NFS服务器中相应的目标文件。
[0070] 步骤S105、显示无权访问目标文件的提示信息。
[0071] 综上,在本发明中,管理员对一个网络组的权限内容进行配置即是对运个网络组 中所有成员的权限内容进行批量配置,实现了减少权限管理员的工作量,进而提高工作效 率的目的。
[0072] 同时,管理员只需将WS客户端所对应的主机名、用户名和域名中任意一个或者多 个纳入相应的网络组,即能实现对ws客户端的访问权限进行控制,W此,丰