计算机三级权限管理方法,Serv―U 三级用户权限机制及配置一例

狄凯
2023-12-01

摘要:单位局域网内用SERV-U安装FTP服务器,架设信息共享平台,可避免大量的U盘拷贝和节省许多纸张打印,是信息化办公的有效手段之一。搞清楚SERV-U的权限配置机制,合理进行用户权限配置是用SERV-U安装FTP服务器的必修课。

关键词:FTP服务器;SERV-U用户权限;信息化办公

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)03-0481-02

作为一款专业的FTP服务器软件,Serv-U以其设置简单、功能强大、性能稳定、安全性好[1]等诸多优点受到用户的喜爱,应用越来越广泛。在用SERV-U架设FTP服务器过程中,不可避免地要涉及到用户权限的配置。那么SERV-U为FTP管理员提供了什么样的用户权限配置机制呢?

1 三级权限配置及用户最终权限的确定

SERV-U通过三个级别为用户设置权限,第一级为服务器级,第二级为域级,第三级为用户级,优先等级为用户最高,域级次之,服务器级最低。但作用范围正好相反,服务器级的作用范围最广,对登录服务器的所有用户都起作用[2];域级次之,其设置的权限只对登录本域的用户有作用。域级权限会覆盖掉服务器级的权限,用户级权限又覆盖域级权限,所以用户的最终权限由这种覆盖关系决定。

2 群组权限与用户权限

群组是SERV-U中一个可设置权限的特殊对象,用户可以隶属于某个群组,也可以不属于任何群组,由于群组可以设置权限,就容易引起我们对群组权限与用户权限的混淆。注意,群组权限其实是用户级别,群组并不是在服务器、域和用户之外的第四级。群组与用户级的权限有个取舍问题,如果在群组处设置了群组优先,那么组中用户的用户级的权限就将被群组的权限覆盖而不起作用,反之,如果取消群组权限的优先权,那么群组的权限对组中用户就无效,此时用户对某个目录的权限就与其隶属的群组的权限无关了。

3 目录权限与文件权限

SERV-U中文件的权限有6个,分别是“读(Read)”、“写(Write)”、“追加(Append)”、“重命名(Rename)”、“删除(Delete)”、“执行(Execute)”;对目录的权限为4个:“列表(List)”、“创建(Create)”、“重命名(Rename)”、“删除(Remove)”[3]。

文件的“Read”(读)权限允许用户读取(即下载)文件。该权限不允许用户列出目录内容,执行该操作需要有目录的列表权限;文件的“Write”(写)权限允许用户写入(即上传)文件,但该权限不允许用户修改现有的文件,要对现有文件进行修改需要“Append”(追加)权限才行;文件的“Rename”(重命名)权限允许用户重命名现有的文件。注意,版本7.0以前的 Serv-U 要重命名文件还需要删除和写权限;文件的“Delete”(删除)权限允许用户删除文件;“Execute”(执行)权限允许用户远程执行文件,这是非常强大的权限,在将该权限授予用户时需格外谨慎,具有写和执行权限的用户实际上能够选择在您的系统上安装程序。

目录的“List”(列表)权限允许用户列出目录中包含的文件及子目录,“Create”(创建)权限允许用户在目录中新建子目录,“Rename”(重命名)权限允许用户在目录中重命名现有子目录,版本7.0本以前的 Serv-U 要重命名目录还需要删除和写权限,“Remove”(删除)权限允许用户在目录中删除现有子目录。注意: 如果子目录中有文件,用户要删除子目录还需要具有删除文件权限。

文件的权限不能针对某个具体的文件设置,而是在配置目录访问权限时设置,设置的文件权限对该目录中的所有文件均有效[4],如果允许“Inherit”(继承)的话,则对该目录的子目录中的文件也都有效。

4 权限的继承性

“Inherit”(继承)是针对子目录的特有权限,它允许用户在子目录上获得(继承)对其父目录所具有的相同权限。

对一个目录设置权限后,其子目录是否继承这些权限,由管理员设定,置选“Inherit”项,则子目录继承父目录的权限,否则不继承。如果继承,则用户对子目录具有与父目录相同的权限,对子目录再设置的权限将无效。如果不继承,则子目录的权限必须单独设置,在需要实施强制访问控制(Mandatory Access Control)时,就可取消继承并为子文件夹逐一授予某项权限,这对于访问必须受限于子文件夹的情况是必要的。

5 同级多重置权

同一个目录,同一级多次设置权限时,SERV-U以读到的第一个权限为准,以后的忽略。同级设置多个权限时,排在最前面的即为第一个权限,即是该级别起作用的权限,管理员可以根据需要调整这些权限的排列顺序。

6 设置举例

6.1实例背景:单位局域网,用SERV-U内建FTP服务器。四个部门:财务室、办公室、生产科、营销处。要求:

1)为每个部门建一个文件夹,另设一个“通知公告”夹;

2)每个部门的用户登录FTP后,可看到所有四个部门的文件夹及通知公告夹;

3)给予每个部门的用户对本部门的文件夹除“执行”外的全权,而且允许“I”(继承);

4)在每个部门的文件夹中建一个“收件夹”,所有部门的用户对其他部门夹中的收件夹都只有“W”(写)和“L”(列表)权,无其它权限,包括“R”(读)权,即不能下载,保证两个部门之间的通信文件不被第三个部门下载阅读;

5)“通知公告”夹由办公室管理,办公室用户对其有除“E”(执行)权外的全权,其他部门用户只给予“W”、“R”和“L”权,即只允许写入和下载通知公告,不允许进行删除或修改通知公告中任何内容。

6.2配置方法

本例的特点是用户登录FTP看到的文件夹结构是一种自然结构,与单位实际的部门结构设置相同,一个部门一个文件夹,每个部门文件夹中都有收件夹,部门文件夹的作用是提供本部门与其它部门共享的文件,可让其它部门下载,而收件夹用于接收其它部门专门投递给本部门的文件。显然由于这种文件夹结构与实际部门结构的一致性,用户感到很自然,容易接受。

1)文件夹设置。根据要求,该实例的文件夹配置宜采取自然结构,建立FTP的根“\Ftpserver”后,在其下就以部门的名称建立部门的文件夹及通知公告夹,然后在每个部门的文件夹中再建“收件夹”;

2)用户配置。为各部门设置用户:办公室用户为“bgs”,财务室用户为“cws”,生产科用户为“sck”,营销处用户为“yxc”。

3)用户权限配置。

这个案例中用户权限配置的复杂性来自对部门“收件夹”的权限设置。因为收件夹建在部门夹的下面,每个用户会面临两个收件夹的权限配置,一个是对自己的收件夹具有除执行权外的全部权限,另一个是对其它部门的收件夹只有写权和列表权(注意,如果不给予列表权,怎么知道文件是否已上传到对方收件夹中?)

下面以办公室用户“bgs”为例,来配置其对收件夹权限。

第一,对自己收件夹的权限。因为这个收件夹是自己的,管理权属于自己,所以其权限与办公室夹相同,在配置对办公室夹的权限时允许继承即可。

第二,对其它部门收件夹的权限。本案例设置收件夹是考虑用户文件交换有私密性要求,这一要求是排他性的,即交换的文件内容不能让第三部门知晓。保证这一要求的方法是任何一个部门对其他部门的收件夹都只有列表权和写权,没有读取权,所以就不能下载其它部门的收件中的文件。配置分两轮进行,第一轮配置“bgs”用户对其它部门的部门夹有列表、读取两项权限,保证可以下载该部门共享出来的文件,不允许继承;第二轮配置“bgs”用户对其它部门夹下的收件夹有列表、写入两项权限。

对其他部门用户,注意转换角色如法炮制即可。

6.3利用权限机制,清晰轻松配置权限

如果部门远不止四个,上述配置方法就很繁锁,怎样才能使配置简单清晰呢?弄清Serv-U用户权限的三级权限机制后,抽取案中的共性权限需求,对共性需求高的权限在高级别中设置,而对某些特殊的权限要求,则可利用三级配置间的覆盖关系进行权限运算来达到目的。以例案来说,共性需求高的权限是所有用户对全部一级文件夹的列表权和读取权,故在服务器级别对这两项权限进行配置,并允许继承;收件夹权限的共性需求是列表权和写入权,只在域级别设置所有收件夹的写入权,去掉读取权即可;接下来就只管配置各用户对本部门夹除执行权以外的权限,并允许继承即告完工。

这样配置后,我们来看收件夹的权限是怎样满足要求的。由于域级的权限优先权高于服务器级的权限,域级权限将覆盖服务器级权限,所有用户对所有收件夹就只有写入和列表权了,而当用户级权限去覆盖域级权限后,用户管理自己部门夹所需的权限就得到了保证,又因为允许继承,自己的收件夹也就有了与自己部门夹相同的权限,对其也就可以进行除执行权外的其他操作了,但对其它部门收件夹的权限不变,还是只有写入和列表权。可见服务器级、域级和用户级三级协作,可以清晰简练地完成SERV-U用户权限的设置。

参考文献:

[1] 朱银奇.使用Serv-U软件构建内网文件中转站[J].电脑知识与技术,2010(1): 64-66.

[2] 辛士光. FTP服务器Serv-U用户的批量创建[J].硅谷,2009 (9):37-39.

[3] SERVR-U(V9.4.0.0)软件帮助。

[4] 陈珊珊.利用serv-u的FTP服务器实现计算机实验教学文件网络存储[J].中国现代教育装备,2008 (10):35-37.

 类似资料: